https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

殺手病毒追蹤報導

2005 / 02 / 02
文/梁玉容
殺手病毒追蹤報導

史上最短的攻擊週期
與Blaster相同,兩者都是以微軟系統的弱點做攻擊,在漏洞公佈後的一個月內發動攻擊。Sasser是目前為止微軟在發佈修補程式之後最快出現攻擊的蠕蟲,從公佈出現的日期與微軟發佈修補程式的日期,僅差18天(Blaster為26天),創下史上最短的記錄。 災情之所以可以控制得住,除了用戶本身的應變能力外,各家防毒廠商的通報機制發揮了功能,均能在第一時間通報所有的使用者相關訊息,並提供最新病毒碼及移除工具做下載,而防止了災情擴大。 趨勢科技這次大約是在5月1日(周末)下午3點左右,得到美國客戶第一時間的回報,解藥及病毒防禦政策都已經做好,而在台灣大約快5點左右接到由優質服務(Premium Support)的客戶中毒回報,在緊急與應變中心聯繫後,決定發出中度警戒病毒簡訊給Premium Support客戶及TSP(Trend Micro Service Partner),並以電話連絡,之後再發簡訊給客戶。 相同的,賽門鐵克在回報資訊的速度上也不徨多讓,大致的流程及所提供的相關資訊如下:

加強patch管理機制
探究這次Sasser所帶來的災情,主要的原因還是漏洞未修補。「經過去年Blaster的洗禮後,大部份的政府機構及大型企業都有修補漏洞的觀念,不過主要還是針對伺服器端,而對於數量龐大的用戶端卻往往疏忽。」賽門鐵克亞太區技術顧問林育民表示,這次的災情中主要是來自用戶端的安全防護未做好, patch未能即時更新便是其一。 有些企業因為深怕所安裝的修補程式與公司的系統或是應用軟體不相容,便暫時不做漏洞的修補,致使遭受攻擊。「企業對於patch的更新,不要抱著賭運氣的心理,賭對了九次,只要中一次就損失慘重。」微軟資訊安全處經理詹家琛也指出,仍有少部份的企業用戶對資安有不正確的觀念。無專職人員的問題,一直以來存在中小企業,雖然MIS人員知道有MS04-011的修補程式,但是卻無法強迫公司的使用者去做更新,讓政策由上而下真正落實執行。 趨勢科技技術支援部協理康宏旭也表示,由於大公司的軟體管理相當複雜,因為本身會有開發的應用程式,如果要上patch,必須要有完整的測試,而Sasser從微軟公佈MS04-11到病毒爆發時,只有短短18天,不夠做完測試,也無法完整的在公司內部安裝好所有的修補程式。針對patch的更新管理機制,詹家琛也提出他的想法,他認為較優的機制有兩點:第一是測試機制,在測試無誤後再安裝,可避免在安裝後與系統、應用軟體不相容的問題發生;第二是集中式的軟體派送,以自動派送取代人工的不便。 康宏旭表示,這次的受災戶除了在patch的管理無法貫徹執行外,對於外來電腦及遠端電腦無法掌控的問題更加突顯出來。例如在各地的業務透過VPN與公司連線,可能在沒有安裝防毒軟體或未下載最新防毒元件的高風險下,將病毒帶回公司。

對外把關者-防火牆
除了在內部做好漏洞的修補以及隨時更新最新的病毒碼外,對外的網路出口也要做好防護。「一旦有漏洞消息,對外的防護,如防火牆,在不影響公司作業之下,先關閉所有的port以避免受到無謂的攻擊。」TWCERT/CC台灣電腦網路危機處理暨協調中心工程師蔡更達認為防火牆未關閉port445,是這次Sasser會釀成災情的另外一個原因。 蔡更達表示,這次是針對微軟作業系統漏洞Port 445做攻擊,雖然有許多企業都架設了防火牆,但是仍然傳出災情,主要是防火牆某些port未關閉所致。林育民也指出,企業除了防火牆的規則過於寬鬆外,內部員工受病毒感染的筆記型電腦,到公司接上內部網路後,造成內部網路其它電腦感染,因為大多數的企業網路架構中,內部網路之通訊,並未經過防火牆,故無法加以阻擋或防範。

滴水不漏-整合式防禦
從賽門鐵克回收的病毒樣本數及分佈推測得知,當時在發現病毒的40個小時之後才真正做大規模的攻擊;對企業而言,其實是有充裕的時間可下載最新病毒定義檔以及移除工具,讓災情不致擴大,更重要的是,用戶仍必須自行修補漏洞。然而,還是有許多企業用戶因疏忽而錯失自我防禦的黃金時間。 面對目前所謂網路型的病毒,其混合式的威脅,單單使用防毒軟體是不夠的,特別是用戶端,更需要多方的做好防禦機制。防毒軟體可有效偵測與掃除系統中已知的病毒、病蟲或是木馬程式;而針對未知的病蟲、駭客攻擊,就如微軟近來積極提倡的「保護你的電腦三步驟」,呼籲使用者應在個人電腦上加裝防火牆軟體,拒絕未經授權的連線,可有效降低新的或是未知的病毒、病蟲或是木馬程式的威脅;此外,入侵偵測產品則可偵測可疑的封包連線,甚至做第一時間攔截阻擋。因此,藉由結合防毒、防火牆及入侵偵測的整合性安全防禦機制,因為多層的防護檢測,能更有效地對抗新一代的網際網路威脅。

後續發展
和其他病毒一樣,Sasser陸續會有新的變種病毒出現,但攻擊的速度及威力已減弱,所造成的影響也不大,企業用戶只要把漏洞趕快修補起來,並隨時下載最新的病毒碼及清除工具,Sasser對企業而言已不構成威脅。 微軟指出5月7日在德國所逮捕到的嫌疑犯,目前還在對Sasser事件進行進一步的調查。Sasser作者是因為受到微軟獎金吸引所舉報,至於是否為當事人,目前還在調查中。

04.13 賽門鐵克發佈 MS04-011 漏洞初步分析結果
04.13 更新賽門鐵克入侵偵測特徵與弱點檢測產品之檢查項目
04.13 eEye 發佈漏洞公告;賽門鐵克更新漏洞之技術細節描述與攻擊資訊
04.13 更新緩和利用該漏洞進行攻擊之策略
04.14 提升全球預警系統之嚴重等級
04.14 US-CERT 發佈漏洞公告
04.14 更新漏洞之技術細節描述與緩和利用該漏洞進行攻擊之策略

04.21 新增受影響之Avaya 產品資訊
04.26 發佈已有利用本漏洞之攻擊程式被釋放出來
04.29 發佈已發現其他利用本漏洞之攻擊程式,且已被公佈於公開網站
05.01 發佈全球預警系統已偵測到有病蟲利用本漏洞進行散播
05.01 發佈 Sasser 病蟲初步分析結果
05.01 發佈病毒定義檔
05.02 提升 Sasser 病蟲之嚴重等級
05.02 發佈 Sasser 病蟲之細部分析報告