傳播載體Email—談防范蠕蟲病毒

　　蠕蟲與郵件病毒不同 　　隨著網絡資源的共享,電子郵件系統的廣泛應用，利用電子郵件作為主要傳播載體的病毒越來越多，並且造成了極大的危害。孫子兵法曰：知己知彼，百戰不殆,了解敵手是克敵制勝的重要先決條件。隨著蠕蟲和病毒的危害趨於加劇，我們有必要將二者區分開來，按照各自的特點進行各個擊破。 　　目前公眾乃至業界對蠕蟲和病毒的理解不統一，一般都將兩者統稱為病毒。從廣義上定義，凡能夠引起計算機故障、破壞計算機數據的程序統稱為計算機病毒，所以從這個意義上說，蠕蟲也是一種病毒，但是蠕蟲病毒和一般的病毒有著很大的區別。一般認為，蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在於內存中），對網絡造成拒絕服務，以及和黑客技術相結合等等。如Morris, Codered, Nimda, SQL Slammer, MSBlaster之類的蠕蟲。而根據RFC以及Eugene Spafford的定義，蠕蟲的特點是：可以獨立運行，並能把自身的一個包含所有功能的版本傳播到另外的計算機上。在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。而計算機病毒則是一段代碼，能把自身加到其它程序包括操作系統上，不能獨立運行，需要由它的宿主程序運行來激活它。 　　而郵件病毒其實和普通的電腦病毒一樣，只不過由於它們的傳播途徑主要是通過電子郵件，所以才被稱為“郵件病毒”。但是郵件病毒具有感染速度快、擴散面廣、傳播的形式復雜多樣、難於徹底清除、破壞性大等特點。一般的郵件病毒就如:Mellisa, Loveletter, Sircam, Sobig, Mydoom 　　蠕蟲和郵件病毒具備的相同之處就是具有極強的傳染性。設置後門程序、發動拒絕服務攻擊等也往往成為二者的重要行為特征。由此我們可以看到，控制蠕蟲和郵件病毒的有力手段是控制網絡傳播途徑，包括郵件傳播、漏洞入侵傳播、共享傳播等；而控制普通計算機病毒的重要手段則是分布全網所有計算機終端的集中網絡防病毒系統。 　　分而治之 　　雖然蠕蟲和郵件病毒就像電影《黑客帝國》中，特工Smith在進攻中不斷將他人復制為自身，借以倍增其攻擊力,不斷地傳播和復制進行進攻能力的積聚。蠕蟲通常利用系統存在的安全漏洞進行入侵傳播，而郵件病毒則利用電子郵件系統的便捷性以及用戶安全意識的薄弱作為突破口進行傳播。明確這一點後，控制蠕蟲和郵件病毒的傳播是非常重要的,制定防御策略是相當關鍵的。 　　分而制之是控制蠕蟲和郵件病毒傳播的主要方針。冠群金辰安全專家建議采用基於單元的防御策略（Cell-Based defense policy）。其基本原理是在整個網絡中進行安全單元（Cell）劃分，對容易感染的單元、重點防范單元進行蠕蟲隔離。比如將遠程訪問網段、具有Internet訪問能力的網段等和業務網段隔離，避免這些網段感染的蠕蟲和郵件病毒進一步滲透到業務網段中來。同時，在一些關鍵網段如核心業務網段前，也有必要進行蠕蟲隔離，避免突發事件造成嚴重破壞。經過周密規劃和部署後，即使一些員工的計算機不慎感染了蠕蟲或病毒，其影響也會被嚴格控制在該計算機所在的單元(Cell)之內，而不會通過網絡擴散到其它單元，造成事態的惡化。 　　總體上講，對於類似於Mydoom這樣的郵件病毒或其它具有高傳播能力的蠕蟲，我們可以采用傳染病學原理進行控制。控制傳染病有三要素：控制傳染源，切斷傳播途徑，保護易感人群。對應於蠕蟲和郵件病毒的防范，這三個要素就是：利用網絡監控系統（如干將/莫邪IDS）快速發現感染計算機並實施控制措施；利用蠕蟲和病毒隔離措施（如赤霄郵件過濾網關）進行蠕蟲和病毒的傳播途徑阻斷；對關鍵服務器進行安全加固（打補丁、安全配置或利用專用產品如龍淵服務器核心防護），對客戶端計算機進行補丁程序的集中升級和管理。
赤宵網關 　　赤霄郵件過濾網關是冠群金辰公司的網關防御產品。赤霄郵件過濾網關獨有的抗蠕蟲攻擊技術（Anti-Worm）能夠全方位抵御包括Mydoom在內的所有已知蠕蟲病毒的攻擊和傳播行為，填補了信息安全界的空白。 　　赤霄過濾網關是一個針對EMAIL系統的SMTP協議進行過濾的產品。對於發進來的郵件，赤霄過濾網關主要是利用郵件路由協議的特點進行工作，出於容錯和擴展方面的考慮，簡單郵件傳輸協議(SMTP)在設計時引入了郵件路由的思想，郵件總是首先試圖傳遞給優先級值相對較高的MX郵件服務器，失敗後才試圖傳遞給優先級值稍大的MX郵件服務器；同時郵件總是在試遍了同一優先級的MX郵件服務器都失敗後，才試圖傳遞給優先級稍低的MX郵件服務器。因此一封具有一個收件人地址的Email可以有多個MX郵件服務器目標，每台MX郵件服務器可以設置成不同的優先級，高優先級的郵件服務器將先進行處理，如果高優先級的郵件服務器出現意外，郵件會自動發向第二優先服務器，依次直到最低優先級服務器。 　　對於發出去的郵件，可以在DNS中修改RELAY服務器（即發件服務器）的IP指向，或者用戶直接修改自己所用的郵件客戶端軟件的RELAY服務器以指向赤霄過濾網關就可以了。顯然，這種方式規避了在郵件服務器上直接安裝郵件過濾軟件帶來的問題，它與具體使用的郵件服務器類型無關，無需占用郵件服務器的系統資源，相比在郵件服務器上安裝過濾軟件而言，具有更高的工作效率。它的接入方式也很簡單，通常無須修改郵件服務器的任何配置，即使用戶更換了新的郵件服務器，也無需更換網關，保護了用戶的已有投資。 　　就以最近剛剛爆發的Mydoom為例。首先Mydoom是通過電子郵件傳播,其造成郵件使用者感染病毒，在危害本機安全性的同時，又成為Mydoom的傳播者。甚至由於郵件的大量增加導致網絡癱瘓。赤霄郵件過濾網關應對所有電子郵件進行病毒檢查，一旦發現郵件攜帶Mydoom病毒即進行病毒清除，避免客戶端接收到攜帶病毒的郵件，避免造成網絡癱瘓。事實上，赤霄郵件過濾網關包括了一個完整的蠕蟲、病毒庫，能夠過濾任何已知的惡意代碼。 　　其次,在對於病毒設置的後門程序時,Mydoom會在感染機上留下後門程序，監聽TCP 3127等端口，造成用戶信息洩漏,而通過啟用赤霄郵件過濾網關的入侵防御功能，管理員能夠發現利用Mydoom後門進行的攻擊行為，並且實時阻斷，避免造成用戶機密信息的洩漏。 　　最後,Mydoom還有一個非常顯著的特點，其當前版本會在近期內對發動DoS攻擊行為，但是很容易被修改成為在另一個時間段對其他站點進行DoS攻擊；然而通過啟用赤霄郵件過濾網關的抗DoS攻擊功能，，管理員能夠確保阻斷可能由於Mydoom或其它方式導致的DoS攻擊，避免由此引發的安全事件、網絡故障以及法律糾紛。 　　人是防毒關鍵 　　Mydoom是郵件病毒的一種。根據冠群金辰安全專家的分析，Mydoom並沒有采用什麼新的入侵手段和傳播模型，但是為何造成了如此巨大的破壞呢？除了Mydoom的編寫者選擇了適當的擴散時間之外，Mydoom具有的更加強的欺騙性是導致全球大規模傳播的重要因素。 　　在其傳播的過程中，計算機的使用者是傳播的觸發者，是傳播的關鍵環節，使用者的計算機知識水平的高低、警覺性程度常常決定了病毒所能造成的破壞程度。計算機病毒為了誘使計算機使用者執行病毒程序以進行傳播和破壞，手段層出不窮。孫子兵法曰：兵不厭詐。深受其思想影響的著名黑客Kevin Mitnick 在專著《欺騙的藝術》（The Art of Deception）中幾乎沒有對他入侵的技術手段作任何描述，而是強調了人的因素在整個入侵過程中的關鍵作用。了解並控制了人的思路就控制了整個入侵的進程。Mydoom的作者將包含病毒體的郵件內容偽造成為郵件系統自動發出的錯誤信息，具有極大的欺騙性，甚至能夠蒙蔽一些計算機專業人員打開附件。對蠕蟲和病毒的抵御是一場“人民的戰爭”，需要發動所有的計算機使用者投入進來。針對全員的安全知識普及教育能夠在其中起到至關重要的作用。

　　尾聲　　由於網絡化已經成為一個社會特征，網絡安全已經成為一個關系到中國現代化進程的社會問題，對網絡安全的關注絕不僅僅是某個人、某個部門或者某部分人的問題，需要政府、專家、企業、媒體、網民的整體關注，各盡其責。也正是從這個意義上，冠群金辰將為中國網絡安全產業的發展出一把力，盡一份責。

·黑客知識之解析並防范蠕蟲病毒·用Delphi來編寫蠕蟲病毒淺析·高危害級別W32網絡蠕蟲病毒擴散·實例解析蠕蟲病毒的原理·病毒報告:Zotob蠕蟲病毒可導致系統頻繁·通過移動設備傳播的蠕蟲病毒·蠕蟲病毒制作·木馬蠕蟲病毒危害空前嚴重 PC上網12分·深入了解網絡蠕蟲病毒·進入新年全球傳播 高危蠕蟲病毒威脅電 赤霄郵件過濾網關拓撲圖

　　全面防范蠕蟲和郵件病毒的技術要求　　SQL slammer, Sobig, Mydoom等造成了巨大危害，但是不管是傳統的防病毒網關還是防火牆/NIDS，或者新出現的NIPS都無法全面防止蠕蟲和病毒的危害。全面防止蠕蟲和病毒的危害至少需要以下的幾種技術：

　　● 通過電子郵件方式傳播的病毒在網關處的識別和阻斷，主要是切斷郵件病毒的傳播途徑。

　　● 對蠕蟲傳播時采用的攻擊手段進行識別和阻斷，切斷蠕蟲的主要傳播途徑。

　　● 對蠕蟲和病毒留下的後門程序的活動進行識別和阻斷。

　　● 對蠕蟲和病毒造成的DoS/DDoS攻擊進行識別和阻斷。

　　● 對病毒和蠕蟲造成的大量垃圾郵件進行識別和過濾。

　　以上的要素對於抵抗蠕蟲和病毒的威脅缺一不可。全球著名的信息安全教育機構SANS Institute在最近一期的Network Security Roadmap中將抗蠕蟲（Anti-Worm）解決方案和防火牆、IDS等並列為安全技術中的一大類。但是在業界卻尚未出現集上述要素於一身的抗蠕蟲和病毒的復合產品。