計(jì)算機(jī)病毒防范及應(yīng)對策略

時(shí)間:2022-10-26 11:09:52

導(dǎo)語:計(jì)算機(jī)病毒防范及應(yīng)對策略一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

摘要:介紹了內(nèi)部局域網(wǎng)與廣域網(wǎng)的區(qū)別,提出了計(jì)算機(jī)病毒在不同環(huán)境下需要不同的處理方案,通過梳理震網(wǎng)病毒事件,并結(jié)合作者實(shí)際工作中經(jīng)歷的WannaCry病毒應(yīng)急處理案例進(jìn)行內(nèi)部局域網(wǎng)的風(fēng)險(xiǎn)分析,提出了普適性較強(qiáng)的防范及應(yīng)對辦法。

關(guān)鍵詞:內(nèi)部局域網(wǎng);病毒;震網(wǎng)病毒;勒索病毒

1概述

以前郵差的健康,影響著信息的傳遞效率;如今網(wǎng)絡(luò)的健康,決定了數(shù)據(jù)的通信情況。從這個(gè)角度來看,作為病毒,同樣都會給通信帶來負(fù)面影響,不同的是它附著的載體發(fā)生了變化。醫(yī)人需要對癥下藥,解決計(jì)算機(jī)病毒也需要因地制宜。當(dāng)下的信息時(shí)代里,像國防、金融、通信、工業(yè)等維持國家穩(wěn)定運(yùn)轉(zhuǎn)的重要組成,它們的日常運(yùn)作或出于工作便利、或出于安全保密的因素都會依托于內(nèi)部局域網(wǎng),而如何處理在網(wǎng)絡(luò)中的計(jì)算機(jī)病毒則成為一個(gè)重要環(huán)節(jié)。

2內(nèi)部局域網(wǎng)的特性

計(jì)算機(jī)網(wǎng)絡(luò)可以分為廣域網(wǎng)及局域網(wǎng),所涉及的網(wǎng)絡(luò)環(huán)境為獨(dú)立組網(wǎng),并與其他網(wǎng)絡(luò)環(huán)境物理隔離的內(nèi)部局域網(wǎng)。內(nèi)部局域網(wǎng)通常具備的特性有:(1)相較廣域網(wǎng)更高的傳輸速率;(2)覆蓋地理范圍較小;(3)具有較低的誤碼率及較低的時(shí)延;(4)文件及設(shè)備共享較廣域網(wǎng)中更便捷;(5)網(wǎng)絡(luò)環(huán)境隔離,與廣域網(wǎng)無數(shù)據(jù)通信。可以說局域網(wǎng)在構(gòu)建了一個(gè)封閉系統(tǒng),與外界物理隔離后,網(wǎng)絡(luò)環(huán)境的安全取決于人工操作的合規(guī)性及內(nèi)部信任程度。如果由于人員操作不當(dāng),致使某種病毒或惡意代碼進(jìn)入局域網(wǎng)某終端設(shè)備,繼而由于相互信任關(guān)系導(dǎo)致監(jiān)控管控力度不足,致使病毒或惡意代碼肆意傳播,最終于局域網(wǎng)內(nèi)大規(guī)模爆發(fā)產(chǎn)生不良后果。所以,內(nèi)部局域網(wǎng)只有在對外物理隔離對內(nèi)保持監(jiān)控及實(shí)時(shí)可控的情況下才能更好地為員工及企業(yè)服務(wù)。

3震網(wǎng)病毒事件

震網(wǎng)病毒正式走入公眾視野是在2010年11月29日,由時(shí)任伊朗總統(tǒng)的內(nèi)賈德在官方承認(rèn),伊朗的核設(shè)施受到了黑客攻擊,造成了離心機(jī)故障并導(dǎo)致反應(yīng)堆無法正常工作,使得伊朗的核計(jì)劃至少推遲了兩年。而造成一系列問題的根源就是發(fā)作于2009年6月起在全球開始傳播的Stuxnet病毒,中文譯作震網(wǎng)病毒。該病毒破壞力強(qiáng),波及面大,且目的性強(qiáng),它不同于普通病毒以傳播垃圾信息、篡改系統(tǒng)配置、盜取用戶信息等主要以獲取利益為驅(qū)動的作用機(jī)理,而是通過感染工業(yè)控制計(jì)算機(jī),來對重要設(shè)施進(jìn)行破壞,影響其正常運(yùn)行,造成巨大安全風(fēng)險(xiǎn)。震網(wǎng)病毒主要利用了Windows操作系統(tǒng)的MS10-046漏洞、MS10-061漏洞、MS08-067等多種漏洞,偽裝數(shù)字簽名繞過檢測后,針對西門子公司控制系統(tǒng)中的監(jiān)控與數(shù)據(jù)采集模塊(SCADA系統(tǒng)),進(jìn)行數(shù)據(jù)的攔截、竊取和修改??梢哉f震網(wǎng)病毒的復(fù)雜性和高端性及主要作用于工業(yè)控制系統(tǒng)的特征,都使它的定義成為了一種信息時(shí)代的攻擊手段。震網(wǎng)病毒可以在U盤與主機(jī)插接連通之后,盡管未獲得許可、未執(zhí)行任何進(jìn)程,仍能將病毒注入主機(jī),這也使得它能在欠缺準(zhǔn)入控制的物理隔離的網(wǎng)絡(luò)中肆意妄為。一度被廣泛接納的觀點(diǎn),即該病毒是以美國為主的西方國家創(chuàng)造并用于制約伊朗核計(jì)劃進(jìn)程的工具。

4WannaCry病毒應(yīng)急處理案例

以在某公司內(nèi)部局域網(wǎng)維護(hù)工作中遇到的一起風(fēng)險(xiǎn)較大、知名的病毒傳播案例進(jìn)行分析,闡述了該病毒在全球領(lǐng)域爆發(fā)的過程、所任職的信息化部門在事件中的應(yīng)急處理辦法。病毒由漏洞利用模塊、加密器、解密器3部分組成。病毒利用MS17-010漏洞進(jìn)行入侵,通過加密器完成主要攻擊步驟,隨后通過解密器進(jìn)行勒索。具體攻擊WannaCry勒索病毒常見的解決方案參照圖中邏輯過程,分別為:(1)在病毒利用漏洞進(jìn)入終端的過程中,工程師可以提前通過禁用端口的方式進(jìn)行攔截:由于該病毒利用的MS17-010是針對Windows操作系統(tǒng)上的關(guān)于SMB服務(wù)的漏洞,而該服務(wù)需要通過TCP445端口進(jìn)行通信,因而禁用該端口即可完全阻止病毒利用漏洞入侵,而且該方法操作難度小,一般都可以熟練掌握。(2)通過打補(bǔ)丁對終端進(jìn)行處理:針對MS17-010漏洞,微軟雖然在病毒爆發(fā)前放出了補(bǔ)丁,但并未得到使用者足夠重視及大規(guī)模的更新。伴隨病毒大規(guī)模爆發(fā),企業(yè)、個(gè)人計(jì)算機(jī)使用者開始重新重視并下載該補(bǔ)丁。微軟面向所有操作系統(tǒng)均配備了對應(yīng)版本的補(bǔ)丁,該方式能完全防御該病毒。(3)通過研究病毒樣本的發(fā)作機(jī)理及邏輯,防病毒工程師們發(fā)現(xiàn)該病毒存在一個(gè)類似后門的滅活開關(guān),因?yàn)樵诟腥竞蟮絾臃?wù)之間存在一個(gè)觸發(fā)邏輯為,判斷終端能否訪問iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如不能訪問該域名則服務(wù)啟動,繼而開始攻擊。因而工程師可以在內(nèi)部局域網(wǎng)中建立一個(gè)域名,搭建內(nèi)部解析服務(wù)(DNSServer)建議映射關(guān)系,將該域名地址解析到局域網(wǎng)WebServer中一個(gè)合法的IP地址,使得內(nèi)部局域網(wǎng)用戶可以訪問該域名,即可實(shí)現(xiàn)對病毒的免疫。(4)在攻擊邏輯中,加密器啟動后病毒程序會判斷染毒終端中是否已經(jīng)有一個(gè)加密器程序存在,防止病毒程序重復(fù)運(yùn)行互相產(chǎn)生干擾。因而,工程師們通過創(chuàng)建一個(gè)名為MsWinZonesCacheCounterMutexA的互斥體,通過誤導(dǎo)病毒程序,就可以使病毒運(yùn)行之后自動退出,無法完成后續(xù)攻擊步驟,部分殺毒軟件即使用了該辦法。在實(shí)際情況中,工作環(huán)境為內(nèi)部局域網(wǎng),一旦病毒在內(nèi)網(wǎng)爆發(fā),不論是文件共享機(jī)制下染毒文件極易傳播亦或是因工作需要導(dǎo)致防火墻訪問控制的限制較少,都對病毒傳播提供了便利條件。在獲取輿情及了解到該病毒的威脅后,信息化部門立即制定應(yīng)急響應(yīng)方案,并于24小時(shí)內(nèi)完成了以下工作:(1)各部門的終端訪問控制設(shè)置為僅能訪問登錄認(rèn)證服務(wù)器(基于Linux)用于開機(jī)登錄。(2)通過聯(lián)系各部門的信息化負(fù)責(zé)人,講授如何關(guān)閉TCP445端口并實(shí)施。(3)下載補(bǔ)丁,根據(jù)服務(wù)器、計(jì)算機(jī)的操作系統(tǒng)版本進(jìn)行鋪設(shè)及安裝。在確保內(nèi)部局域網(wǎng)安全后,開放了訪問控制,并在后續(xù)工作中,團(tuán)隊(duì)自互聯(lián)網(wǎng)獲取有關(guān)該病毒的更為全面的介紹及分析,積極與國內(nèi)知名防病毒廠商的工程師進(jìn)行溝通獲得幫助,并及時(shí)對各服務(wù)器、計(jì)算機(jī)的殺毒軟件的病毒庫進(jìn)行了針對勒索病毒的更新。

5內(nèi)部局域網(wǎng)病毒的防范與應(yīng)對

震網(wǎng)病毒及Wannacry勒索病毒分別代表了兩種內(nèi)部局域網(wǎng)中病毒爆發(fā)的途徑:據(jù)置信度較高的報(bào)道稱,震網(wǎng)病毒是歐美間諜進(jìn)入伊朗核電站,經(jīng)由介質(zhì)(U盤)直接連接內(nèi)網(wǎng)終端將病毒導(dǎo)入,自內(nèi)部發(fā)作;而Wannacry病毒經(jīng)由互聯(lián)網(wǎng)傳播,病毒攻擊邏輯使得每個(gè)被感染終端均成為新的攻擊發(fā)起者,向若干隨機(jī)IP發(fā)送數(shù)據(jù)包,并最終侵入防范措施不得當(dāng)?shù)膬?nèi)部局域網(wǎng)。這兩種入侵途徑互為補(bǔ)充及衍生,即介質(zhì)自內(nèi)感染后病毒通過文件的導(dǎo)出會影響到互聯(lián)網(wǎng);介質(zhì)中病毒也存在隨文件自外網(wǎng)導(dǎo)入內(nèi)網(wǎng)的可能。從病毒的防范角度出發(fā),需要做到:(1)嚴(yán)格控制文件的中轉(zhuǎn)導(dǎo)入,設(shè)置多重病毒查殺過程。(2)可通過物理封堵或軟件管控禁止內(nèi)部局域網(wǎng)中的服務(wù)器、計(jì)算機(jī)能夠直接讀寫介質(zhì)。(3)加強(qiáng)計(jì)算機(jī)使用者的防病毒意識,在高危病毒發(fā)作期間減少不必要的文件傳遞,一旦出現(xiàn)感染情況應(yīng)當(dāng)立即報(bào)備信息化責(zé)任部門進(jìn)行處理,條件允許則立即作脫網(wǎng)處理。(4)提高使用者防范計(jì)算機(jī)病毒的意識。從病毒的應(yīng)對角度開展應(yīng)急工作,需要做到:(1)“化整為零”,將內(nèi)部局域網(wǎng)以設(shè)備為個(gè)體進(jìn)行拆分,除特殊情況外避免設(shè)備之間存在通信可能。(2)完成內(nèi)部局域網(wǎng)設(shè)備加固前,不建議進(jìn)行文件的中轉(zhuǎn)導(dǎo)入。(3)通過研究病毒的發(fā)作機(jī)理及攻擊邏輯,制定有效的防范措施。(4)對疑似或已經(jīng)染毒的設(shè)備立即進(jìn)行物理隔離,并調(diào)查該設(shè)備近期文件傳遞情況,將與之產(chǎn)生過通信的設(shè)備進(jìn)行排查。如能定位染毒文件則追溯染毒文件來源并跟進(jìn)處理。(5)與防病毒廠商積極溝通,獲取解決辦法及病毒庫的及時(shí)升級。依靠嚴(yán)格的管控機(jī)制及物理隔離,使內(nèi)部局域網(wǎng)工作環(huán)境中的設(shè)備不暴露于互聯(lián)網(wǎng)環(huán)境下;通過運(yùn)用有效的防病毒軟件對網(wǎng)絡(luò)定期進(jìn)行檢查及隱患消除;建立完善的應(yīng)急響應(yīng)預(yù)案,于突發(fā)狀況中快速反應(yīng),保障網(wǎng)絡(luò)安全??墒沟脙?nèi)部局域網(wǎng)在應(yīng)對各類計(jì)算機(jī)病毒的威脅中成為更安全、更可靠、更值得信賴的工作環(huán)境。

參考文獻(xiàn)

[1]饒躍東,熊瑜.基于“震網(wǎng)”病毒的物理隔離網(wǎng)絡(luò)的風(fēng)險(xiǎn)控制措施[J].廣西科學(xué)院學(xué)報(bào),2012,(1):38-40.

[2]藺聰,黑霞麗.蠕蟲病毒的特點(diǎn)、原理及應(yīng)對方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008,(5):30-31.

作者:張莫 孟凡 吳曉菲 單位:上海機(jī)電工程研究所