20090408重要通知:

近期蠕蟲病毒盛行，為了避免中毒對外掃描導(dǎo)致違規(guī)暫停，請大家做好安保防黑防毒工作

 

蟲病毒是計算機(jī)病毒的一種。它的傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。

比如近幾年危害很大的“尼姆達(dá)”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計算機(jī)感染這一病毒后，會不斷自動撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。

蠕蟲病毒的一般防治方法是：使用具有實時監(jiān)控功能的殺毒軟件，并且注意不要輕易打開不熟悉的郵件附件。




一、蠕蟲的基本結(jié)構(gòu)和傳播過程

蠕蟲的基本程序結(jié)構(gòu)為：

1、傳播模塊：負(fù)責(zé)蠕蟲的傳播，這是本文要討論的部分。

2、隱藏模塊：侵入主機(jī)后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。

3、目的功能模塊：實現(xiàn)對計算機(jī)的控制、監(jiān)視或破壞等功能。

傳播模塊由可以分為三個基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。

蠕蟲程序的一般傳播過程為：

1.掃描：由蠕蟲的掃描功能模塊負(fù)責(zé)探測存在漏洞的主機(jī)。當(dāng)程序向某個主機(jī)發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。

2.攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機(jī)的權(quán)限(一般為管理員權(quán)限)，獲得一個shell。

3.復(fù)制：復(fù)制模塊通過原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動。

我們可以看到，傳播模塊實現(xiàn)的實際上是自動入侵的功能。所以蠕蟲的傳播技術(shù)是蠕蟲技術(shù)的首要技術(shù)，沒有蠕蟲的傳播技術(shù)，也就談不上什么蠕蟲技術(shù)了。

二、入侵過程的分析

想必大家對入侵的一般步驟都是比較熟悉的。我們簡單回憶一下。

第一步：用各種方法收集目標(biāo)主機(jī)的信息，找到可利用的漏洞或弱點。

第二步：針對目標(biāo)主機(jī)的漏洞或缺陷，采取相應(yīng)的技術(shù)攻擊主機(jī)，直到獲得主機(jī)的管理員權(quán)限。

第三步：利用獲得的權(quán)限在主機(jī)上安裝后門、跳板、控制端、監(jiān)視器等等，清除日志。

我們一步一步分析。

先看第一步，搜集信息，有很多種方法，包括技術(shù)的和非技術(shù)的。采用技術(shù)的方法包括用掃描器掃描主機(jī)，探測主機(jī)的操作系統(tǒng)類型、版本，主機(jī)名，用戶名，開放的端口，開放的服務(wù)，開放的服務(wù)器軟件版本等。非技術(shù)的方法包括和主機(jī)的管理員拉關(guān)系套口風(fēng)，騙取信任，威逼利誘等各種少兒不宜的手段。當(dāng)然是信息搜集的越全越好。搜集完信息后進(jìn)入第二步。

第二步，對搜集來的信息進(jìn)行分析，找到可以有效利用的信息。如果有現(xiàn)成的漏洞可以利用，上網(wǎng)找到該漏洞的攻擊方法，如果有攻擊代碼就直接COPY下來，然后用該代碼取得權(quán)限,OK了；如果沒有現(xiàn)成的漏洞可以利用，就用根據(jù)搜集的信息試探猜測用戶密碼，另一方面試探研究分析其使用的系統(tǒng)，爭取分析出一個可利用的漏洞。如果最后能找到一個辦法獲得該系統(tǒng)權(quán)限，那么就進(jìn)入第三步，否則，放棄。

第三步，有了主機(jī)的權(quán)限，你想干什么就干什么吧。如果你不知道想干什么，那你就退出來去玩你喜歡玩的游戲吧。

上面說的是手動入侵的一般過程，對于自動入侵來說，在應(yīng)用上有些特殊之處。

蠕蟲采用的自動入侵技術(shù)，由于程序大小的限制，自動入侵程序不可能有太強(qiáng)的智能性，所以自動入侵一般都采用某種特定的模式。我們稱這種模式為入侵模式，它是由普通入侵技術(shù)中提取出來的。目前蠕蟲使用的入侵模式只有一種，這種模式是就是我們前面提到的蠕蟲傳播過程采用的模式：掃描漏洞-攻擊并獲得shell-利用shell。這種入侵模式也就是現(xiàn)在蠕蟲常用的傳播模式。這里有一個問題，就是對蠕蟲概念的定義問題，目前對蠕蟲的定義把這種傳播模式作為蠕蟲的定義的一部分，實際上廣義的蠕蟲應(yīng)該包括那些使用其他自動傳播模式的程序。

我們先看一般的傳播模式。

三、蠕蟲傳播的一般模式分析

1.模式：掃描-攻擊-復(fù)制。

從新聞中看到關(guān)于蠕蟲的報道，報道中總是強(qiáng)調(diào)蠕蟲如何發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡(luò)擁塞，影響網(wǎng)絡(luò)通信速度。實際上這不是蠕蟲程序的本意，造成網(wǎng)絡(luò)擁塞對蠕蟲程序的發(fā)布者沒有什么好處。如果可能的話，蠕蟲程序的發(fā)布者更希望蠕蟲隱蔽的傳播出去，因為蠕蟲傳播出去后，蠕蟲的發(fā)布者就可以獲得大量的可以利用的計算資源，這樣他獲得的利益比起造成網(wǎng)絡(luò)擁塞的后果來說顯然強(qiáng)上萬倍。但是，現(xiàn)有的蠕蟲采用的掃描方法不可避免的會引起大量的網(wǎng)絡(luò)擁塞，這是蠕蟲技術(shù)發(fā)展的一個瓶頸，如果能突破這個難關(guān)，蠕蟲技術(shù)的發(fā)展就會進(jìn)入一個新的階段。

現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)一般是盡快地傳播到盡量多的電腦中，于是掃描模塊采用的掃描策略是這樣的：

隨機(jī)選取某一段IP地址，然后對這一地址段上的主機(jī)掃描。笨點的掃描程序可能會不斷重復(fù)上面這一過程。這樣，隨著蠕蟲的傳播，新感染的主機(jī)也開始進(jìn)行這種掃描，這些掃描程序不知道那些地址已經(jīng)被掃描過，它只是簡單的隨機(jī)掃描互聯(lián)網(wǎng)。于是蠕蟲傳播的越廣，網(wǎng)絡(luò)上的掃描包就越多。即使掃描程序發(fā)出的探測包很小，積少成多，大量蠕蟲程序的掃描引起的網(wǎng)絡(luò)擁塞就非常嚴(yán)重了。

聰明點的作者會對掃描策略進(jìn)行一些改進(jìn)，比如在IP地址段的選擇上，可以主要針對當(dāng)前主機(jī)所在的網(wǎng)段掃描，對外網(wǎng)段則隨機(jī)選擇幾個小的IP地址段進(jìn)行掃描。對掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描。把掃描分散在不同的時間段進(jìn)行。掃描策略設(shè)計的原則有三點：

盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小2保證掃描覆蓋到盡量大的范圍3處理好掃描的時間分布，使得掃描不要集中在某一時間內(nèi)發(fā)生。怎樣找到一個合適的策略需要在考慮以上原則的前提下進(jìn)行分析，甚至需要試驗驗證。

掃描發(fā)送的探測包是根據(jù)不同的漏洞進(jìn)行設(shè)計的。比如，針對遠(yuǎn)程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對web的cgi漏洞就需要發(fā)送一個特殊的http請求來探測。當(dāng)然發(fā)送探測代碼之前首先要確定相應(yīng)端口是否開放，這樣可以提高掃描效率。一旦確認(rèn)漏洞存在后就可以進(jìn)行相應(yīng)的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實現(xiàn)這一過程就可以了。這一部關(guān)鍵的問題是對漏洞的理解和利用。關(guān)于如何分析漏洞不是本文要討論的內(nèi)容。

攻擊成功后，一般是獲得一個遠(yuǎn)程主機(jī)的shell，對win2k系統(tǒng)來說就是cmd.exe，得到這個shell后我們就擁有了對整個系統(tǒng)的控制權(quán)。復(fù)制過程也有很多種方法，可以利用系統(tǒng)本身的程序?qū)崿F(xiàn)，也可以用蠕蟲自代的程序?qū)崿F(xiàn)。復(fù)制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網(wǎng)絡(luò)文件傳輸很簡單，這里不再討論。

2.模式的使用

既然稱之為模式，那么它就是可以復(fù)用的。也就是說，我們只要簡單地改變這個模式中各個具體環(huán)節(jié)的代碼，就可以實現(xiàn)一個自己的蠕蟲了。比如掃描部分和復(fù)制部分的代碼完成后，一旦有一個新的漏洞出現(xiàn)，我們只要把攻擊部分的代碼補(bǔ)充上就可以了。

利用模式我們甚至可以編寫一個蠕蟲制造機(jī)。當(dāng)然利用模式也可以編寫一個自動入侵系統(tǒng)，模式化的操作用程序?qū)崿F(xiàn)起來并不復(fù)雜。

四、蠕蟲傳播的其他可能模式

除了上面介紹的傳播模式外，還可能會有別的模式出現(xiàn)。

比如，我們可以把利用郵件進(jìn)行自動傳播也作為一種模式。這種模式的描述為：由郵件地址薄獲得郵件地址-群發(fā)帶有蠕蟲程序的郵件-郵件被動打開，蠕蟲程序啟動。這里面每一步都可以有不同的實現(xiàn)方法，而且這個模式也實現(xiàn)了自動傳播所以我們可以把它作為一種蠕蟲的傳播模式。

隨著蠕蟲技術(shù)的發(fā)展，今后還會有其他的傳播模式出現(xiàn)。

五、從安全防御的角度看蠕蟲的傳播模式

我們針對蠕蟲的傳播模式來分析如何防止蠕蟲的傳播思路會清晰很多。對蠕蟲傳播的一般模式來說，我們目前做的安全防護(hù)工作主要是針對其第二環(huán)即"攻擊"部分，為了防止攻擊，要采取的措施就是及早發(fā)現(xiàn)漏洞并打上補(bǔ)丁。其實更重要的是第一環(huán)節(jié)的防護(hù)，對掃描的防護(hù)現(xiàn)在人們常用的方法是使用防護(hù)墻來過濾掃描。使用防火墻的方法有局限性，因為很多用戶并不知道如何使用防火墻，所以當(dāng)蠕蟲仍然能傳播開來，有防火墻保護(hù)的主機(jī)只能保證自己的安全，但是網(wǎng)絡(luò)已經(jīng)被破壞了。另外一種方案是從網(wǎng)絡(luò)整體來考慮如何防止蠕蟲的傳播。

從網(wǎng)絡(luò)整體來防止蠕蟲傳播是一個安全專題，需要進(jìn)一步研究。這里簡單提一下。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進(jìn)行，那么就可以防止蠕蟲的傳播了。可能的方法是在網(wǎng)關(guān)或者路由器上加一個過濾器，當(dāng)檢測到某個地址發(fā)送掃描包就過濾掉該包。具體實現(xiàn)時可能要考慮到如何識別掃描包與正常包的問題，這有待進(jìn)一步研究。

了解了蠕蟲的傳播模式，可以很容易實現(xiàn)針對蠕蟲的入侵檢測系統(tǒng)。蠕蟲的掃描會有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測的入侵特征。了解了這些特征就可以針對其制定入侵檢測規(guī)則。

 

縱橫數(shù)據(jù) 國際互聯(lián)數(shù)據(jù)中心

網(wǎng)絡(luò)安全部

20090408