基于ACL的网络病毒过滤的研究

2023-02-14

1“计算机病毒”的分类

病毒制造者初衷从开个玩笑或一个恶作剧到用于特殊目的, 病毒种类让我们眼花缭乱, 但是, 我们可以对它们进行如下的分类。

按照传染方式可分为从引导型病毒, 文件型病毒, 以及混合型病毒。

按连接方式分为:源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。

按破坏性可分为:良性病毒, 恶性病毒。

新兴一族:宏病毒, 属于文件型病毒。

由此可见, 计算机病毒的种类虽多, 但对病毒代码进行分析、比较可看出, 它们的主要结构是类似的, 有其共同特点。整个病毒代码虽短小但也包含三部分:引导部分, 传染部分, 表现部分。

引导部分的作用是将病毒主体加载到内存, 为传染部分做准备:如驻留内存、修改中断、修改高端内存、保存原中断向量等操作。

传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式, 传染条件上各有不同。

表现部分是病毒间差异最大的部分, 前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的, 如以时钟、计数器作为触发条件或用键盘输入特定字符来触发。

2 部分病毒档案

我们的机器一旦感染了病毒, 所引起的症状大多是上网速度慢, 网页打不开, 机器不断重启等等。经过实践, 他们中有的能够用ACL规则进行很好的控制, 而有的在实现起来却会遇到其他的问题, 比如下面的MyDoom, 如果我们建立起相应的规则进行阻止它的传播或扩散的话, 我们就会相应的终止我们浏览器服务, 因为MyDoom利用的是80端口, 而80端口恰恰是浏览器与web服务器进行通讯的接口。

2.1 示例一:Worm.Msblast

病毒详情:冲击波。

这是一种针对MS03-026Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫, 危害极大。

主要症状和表现:凡是连在互连网上机器都会受到针对Windows 2000和Windows XP的攻击数据, 而在攻击包和本身的操作系统不一致的情况下, 就会使RpcSS服务崩溃。默认情况下, Windows 2000不能正常使用Windows update功能, 访问一些网页也会有问题, 而Windows XP和Windows2003会不断重启。

病毒特征:该蠕虫大小为6176字节。用LCC-Win32 v1.03编译, upx 1.22压缩, 创建时间是2003年8月11日7点21分。

受影响系统:

攻击过程:蠕虫感染系统后首先检测是否有名为“BILLY”的互斥体存在, 若有, 蠕虫就会退出, 如果没有, 就创建一个。然后蠕虫就在注册表H K E Y_L O C A L_M A C H INESOFTWAREMicrosoftWindowsC urrentVersionRun中添加以下键值:“wind ows auto update”=“msblast.exe”保证每次用户登录的时蠕虫会自动运行。蠕虫还会在本地的UDP/69端口上建立一个tftp服务器, 用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP, 然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立, 蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功, 会监听目标系统的TCP/4444端口作为后门, 并绑定cmd.exe。然后蠕虫会连接到这个端口, 发送tftp命令, 回连到发起进攻的主机, 将msblast.exe传到目标系统上, 然后运行它。

蠕虫所带的攻击代码来自一个公开发布的攻击代码, 当攻击失败时, 可能造成没有打补丁的Windows系统RpcSS服务崩溃。默认情况下, RpcSS服务崩溃会导致Windows XP系统自动重启。该蠕虫不能成功侵入Windows 2003, 但是可以造成Windows2003系统的RpcSS服务崩溃, 和Windows XP一样, RpcSS服务崩溃将使系统重启。

蠕虫检测到当前系统月份是8月之后或者日期是15日之后, 就会向微软的更新站点“windowsupdate.com”的80端口发动synflood拒绝服务攻击。也就是说, 从2003年8月16日开始就会一直进行拒绝服务攻击。

问题的解决:病毒是针对未打补丁的Windows操作系统攻击的。攻击的端口一般集中在135、139、445、4444、69等, 137、138、139分别为netbios名称解释、数据服务端口及会话服务端口, 69为tftp端口。

(1) 在华为路由器中, 我们可以定义以下几个规则。

用于控制Blaster蠕虫的传播:rule deny

用于控制冲击波病毒的扫描和攻击 (防止利用LSASS漏洞)

(2) 对于计算机用户, 要及时打上相应的补丁, 为了防止病毒利用了LSASS漏洞, 要关闭UDP135, 137, 138和445端口, TCP135, 139, 445和593端口, 并经常进行Update操作。

2.2 示例二:Worm.SQLexp.376

病毒名称:Worm.SQLexp.376。

又称Win32.SQLExp.worm病毒, 它利用SQL server的漏洞进行传播, 危险级别, 破坏性属于中等, 而传播速度则很高!

发作时间:2003年1月25日。

病毒特征:该蠕虫攻击安装有Microsoft SQL的NT系列服务器, 该病毒尝试探测被攻击机器的1434/udp端口, 如果探测成功, 则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞, 使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。

问题的解决。

用于控制Worm.SQLexp.376蠕虫的传播。

rule deny udp source any destinationany destination-port eq 1434

说明:蠕虫利用的端口是UDP/1434, 该端口是SQL Server Resolution服务。建议所有运行Microsoft SQL Server 2000的用户进行以下操作。

(1) 在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问即建立上述规则。

(2) 找到被感染的主机。

在边界路由器或者防火墙上进行检查, 也可启动网络监视程序进行检查, 找到网络中往目的端口为UDP/1434发送大量数据的主机, 这些主机极为可能感染了该蠕虫。

如果不能确定, 则认为所有运行Micro soft SQL Server 2000而没有安装补丁程序的机器都是被感染的机器。

可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机。但是由于UDP端口扫描并不准确, 可以扫描TCP/1433端口找到运行SQL Server的主机。只有SQL Server2000才会受到此蠕虫的感染。

补充说明:这条规则也同样适用于阻止Worm_MSBlast.A的扩散和攻击, 它是冲击波病毒的变种。

它的症状如下。

(1) 不能正常浏览网页。

(2) 每隔一段时间, 自动重启计算机。

2.3 示例三:Worm.MyDoom

病毒别名:Shimgapi, Novarg, W32/Mydoom, 诺维格, SCO炸弹, 悲惨命运等。

病毒变种:M y D o o m.A, M y D o o m.B。

受影响的系统:W i n 9 x/N T/2 K/X P/2003。

病毒特征:MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒, 当用户打开并运行附件内的病毒程序后, 病毒就会以用户信箱内的电子邮件地址为目标, 伪造邮件的源地址, 向外发送大量带有病毒附件的电子邮件, 同时在用户主机上留下可以上载并执行任意代码的后门 (TCP3127到3198范围内) 。

“Worm.Novarg”病毒发作时会对网址“SCO.COM”进行DoS即拒绝服务式攻击。病毒攻击时会开启多达64个线程, 造程系统变慢或是不稳定, 并可大量浪费网络资源。病毒还会将被感染的系统做代理服务器, 监听TCP端口3127-3198。

MyDoom病毒还设定了自2月1日起向www.sco.com和ww.microsoft.com网站发起大量连接请求而造成DDOS攻击, 一直持续到3月1日, 但DDOS攻击停止后蠕虫留下的后门不会自动消除。Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。

(1) MyDoom.A。

攻击过程如下。

(1) 监听从TCP3127到3198范围内的一个端口。

(2) 将值:“ (Default) ”=“%System%shim gapi.dll”写进注册表。

(3) 通过新创建63个会发送GET请求、直接连接到80端口的线程, 尝试对www.sco.com发动拒绝服务攻击。

(4) 在具有下列扩展名的文件中搜索电子邮件地址, 并发送带有病毒的邮件。

注意:它会忽略以.edu结尾的地址, 但不会忽略以.edu.cn结尾的地址。

(5) 将自身作为下列文件之一复制到Kazaa下列文件夹winamp5, icq2004-final,

使用下列之一作为扩展名为:.pif, .scr, .bat, .exe等。

(6) 这个病毒还包括一种功能, 可以把病毒自身远程安装到被感染MyDoom.A的系统上。

实现步骤如下:产生2到6个并发进程, 随机扫描一个C类的网络的3127端口, 如果连接成功, 则病毒会发送一个命令, 并把自身拷贝到远程计算机上。

(2) MyDoom.B的特征分析。

该蠕虫运行后首先寻找Mydoom.A, 如果找到则终止Mydoom.A蠕虫体进程的运行并且删除“shimgapi.dll”文件。

(1) 加载ctfmon.dll。ctfmon.dll是个后门组件。

(2) 在注册表中增加键值:[HKLMSoft

如果失败, 则添加至:

%ctfmon.dll。

(3) 通过对等文件分享软件进行传播。

该变种把蠕虫体拷贝到Kazaa下载目录中

可能的扩展名为:.bat, .exe, .scr, .pif

(4) 蠕虫以自身的邮件引擎发送蠕虫体。

该蠕虫从Windows的地址簿以及一些特定类型文件中收集邮件地址, 并以自身的邮件引擎向它们发送蠕虫体, 同时它也避免向一些有特定邮件帐户名的地址发送。

(5) 期限。

该蠕虫将在2004年3月1日后停止运行, 但是后门程序还将继续运行。

(6) 后门。

该蠕虫有能力发送自身到已经感染Mydoom.A的主机上。它首先对随机生成的I P地址列表进行扫描以便发现已被Mydoom.A感染的主机, 之后尝试连接TCP3127端口 (Mydoom.A所留后门利用的端口) , 如果连接成功则传送自身并立即执行, 从而不需要用户通过邮件接收新蠕虫体就可更新被感染蠕虫为新的版本。

此外, 该蠕虫通过调用函数gethostbyn ame () 获知被感染主机的主机名, 解析其IP地址并扫描寻找同一网段内感染Mydoom.A蠕虫的其他主机。

该蠕虫与Mydoom.A一样也留有后门组件ctfmon.dll, 该组件在被感染的系统中打开端口1080以接受来自远程用户的访问。它也可能利用3128, 80, 8080, 10080等端口。

(7) D D O S攻击。

该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和ww w.sco.com网站进行DDOS攻击。该蠕虫在DDOS攻击时如果无法成功解析www.sc o.com, 则等待65秒后重新尝试, 如果无法成功解析www.microsoft.com, 则等待16秒后重新尝试。

(8) 阻止被感染主机访问反病毒网站。

该蠕虫通过改写被感染主机的hosts file, 强制被感染主机将一些著名反病毒公司及其他一些商业站点的网址解析成0.0.0.0的IP地址, 从而使得该主机无法访问这些站点。

在攻击微软网站的时间到来之前还添加了0.0.0.0 www.microsoft.com, 这使得感染主机无法访问微软站点。2月3日之后, 该行被删除, 从而保证D D O S攻击可以进行。如果DDOS攻击成功, 会导致所有用户很难访问该网站。

改动hosts file主要的目的是使得用户不能通过下载更新最广泛使用的反病毒产品来清除该蠕虫。

采用的A C L规则:

摘要：随着网络技术的不断发展, 出现了大量的基于网络的服务, 网络安全问题也就变得越来越重要。基于ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰, 是一种比较好的中小型局域网网络安全控制技术。

关键词：ACL,访问控制列表