如今Windows暴露了许多严重的安全漏洞,利用这些漏洞的恶意软件数量正在迅速增长,如何才能更加彻底解决恶意软件的威胁呢?本文将为你展现蜜罐系统的强大威力……
【IT专家网独家】近来,Windows暴露了许多严重的安全漏洞,如冲击波蠕虫在2003年利用的MS03-026安全漏洞和2006年8月Mocbot/Wargbot蠕虫利用的MS06-040安全漏洞。利用这些安全漏洞的恶意软件数量正在迅速增长。大多数蠕虫都有许多变体,大多数bot系列蠕虫的变体比其本身的数量还要多,例如,Agobot、Phatbot和Sdbot等等。众所周知,bots是僵尸计算机的集合体,用于组成恶意的僵尸网络。
安全专家在今年早些时候的报告中声称:在4个月的时间里,我们收集了15,500个独特的恶意软件样本代码,大约1400MB数据。同时提供了四种不同杀毒引擎新的检测率为73%至84%。从这些数据中我们不难看出,依靠杀毒软件始终不适用于每一个用户。
如何才能更加彻底解决恶意软件的威胁呢?利用干预率很低的蜜罐平台检测恶意软件被广泛认可,通常蜜罐系统广泛的被运用于病毒样本的收集,但这个蜜罐也能够捕捉恶意软件并帮助隔离及清除感染。
扫描蠕虫的IDS警报
最近几年发现的破坏性巨大的蠕虫几乎都是利用Windows服务安全漏洞进行破坏的。例如,冲击波、Sasser、Welchia和Slammer等蠕虫,给全球企业带来了巨大的损失。
入侵检测系统(IDS)厂商拥有已知的这些蠕虫的特征数据,配合端口扫描功能能够发现新的蠕虫。2003年的冲击波蠕虫,每一个被感染的主机每秒钟要向135/tcp端口发送大约10个数据包,这足以引起Snort软件报警,有些工具甚至能够在冲击波蠕虫特征数据创建之前就能够发现这个问题。
僵尸网络的一些问题
僵尸计算机(肉鸡)与蠕虫的主要区别是僵尸计算机有一个中央控制通道,向被感染的计算机发送指令,这通常是通过IRC完成的。当进行扫描时,这些僵尸计算机可能会出现类似蠕虫的行为。但僵尸计算机它们仅根据指令进行扫描。在这种情况下,IDS系统能够检测到C&C(指挥与控制)通讯并报告为:
| [SCAN]: Exploited yyy.yyy.123.45. |
总的来说,僵尸计算机在接到命令扫描一个特定的网络之前通常是非常安静的:
#(4 - 1329104) [2005-03-25 03 49.297] [snort/2001372] BLEEDING-EDGE IRC Trojan Reporting (Scan)
IPv4: yyy.yyy.231.32 -> zzz.zzz.163.59
hlen=5 TOS=0 dlen=168 ID=18140 flags=0 offset=0 TTL=127 chksum=56572
TCP: port=3023 -> dport: 8000 flags=***AP*** seq=1483308911
ack=501861482 off=5 res=0 win=64331 urp=0 chksum=51363
Payload: length = 128
000 : 50 52 49 56 4D 53 47 20 23 61 73 74 72 6F 20 3A PRIVMSG #astro :
010 : 5B 53 43 41 4E 5D 3A 20 52 61 6E 64 6F 6D 20 50 [SCAN]: Random P
020 : 6F 72 74 20 53 63 61 6E 20 73 74 61 72 74 65 64 ort Scan started
030 : 20 6F 6E 20 yy yy yy 2E yy yy yy 2E 78 2E 78 3A on yyy.yyy.x.x:
040 : 34 34 35 20 77 69 74 68 20 61 20 64 65 6C 61 79 445 with a delay
050 : 20 6F 66 20 35 20 73 65 63 6F 6E 64 73 20 66 6F of 5 seconds fo
060 : 72 20 30 20 6D 69 6E 75 74 65 73 20 75 73 69 6E r 0 minutes usin
070 : 67 20 32 30 30 20 74 68 72 65 61 64 73 2E 0D 0A g 200 threads...
|
还有一种僵尸计算机利用Google搜索潜在的安全漏洞,这就意味着寻找这种目标不需要进行端口扫描。这种分析结果同样是在IRC上提出的:
僵尸计算机并不总是像扫描蠕虫那样容易被发现,因为它可以长时间处于休眠状态,只有在接到指令向其它计算机传播的时候才能引发IDS警报。
