计算机病毒事故紧急救援系统

韩涌

张瑞飞销售经理

趋势科技中国Nov 2003

议程安排

电脑部风险因素及通常的管理措施

网络病毒将导致新的安全问题

混合攻击威胁到金融交易系统

具有混合攻击能力的病毒

趋势科技 EPS II 解决方案

建立计算机病毒应急救援中心

内容介绍

电脑部风险因素及通常的管理措施

电脑部风险因素及通常的管理措施

电脑系统风险因素

系统风险• 硬件部分

－电力供给设备系统保障风险－电脑、网络及周边设备－安防系统风险－通讯线路

电脑部风险因素及通常的管理措施

电脑系统风险因素

系统风险• 软件部分

－操作系统、数据库、应用软件的安全等级－网络入侵及恶意操作－计算机病毒－数据完整性、机密性及可恢复性－灾难备份及恢复

电脑部风险因素及通常的管理措施

电脑系统风险因素

管理风险• 日常差错• 业务、资金权限• 违规操作• 系统升级及参数设置修改• 泄密

计算机病毒风险及通常的防护手段

计算机病毒风险及通常的防护手段

－柜台交易系统死机         － ATM 网络中断         －办公系统运行缓慢         －办公网阻塞         －财务及其他业务数据丢失（多数 EXCEL 表）         －莫名其妙的电子邮件         －网络打印失灵         －后台系统数据被监听、窜改

计算机病毒风险及通常的防护手段

各金融机构目前已经采用的防范措施

1 ．  安装经公安部认证检测过的计算机防病毒软件 单机（ 95/98/ME ） 网关（ SMTP/POP3/HTTP/FTP ） 服务器（ NT/2000/NETWARE/UNIX ）

邮件 (NOTES,EXCHANGE)

中央管控系统 (Management Console)  

  2. 设立专职人员负责全辖范围内的计算机病毒维护，升级及防范工作。 3. 杜绝使用外来软盘、光盘及游戏程序等未经检查的软件，阻断病毒传播的来源。 4. 建立《计算机病毒防范管理制度》，对个人的上机操作，登录密码，上网，软

件使用及升级作出规范。 5. 发现病毒及时隔离，由各级人员指导查杀工作，并形成报告制度。

内容介绍

网络病毒将导致新的安全问题

确定为邮件型病毒 … ..

网络病毒将导致新的安全问题

资料来源： ICSA 实验室 《 2002 年流行病毒调查报告》

病毒的传染途径被分成 7 类：1.         电子邮件2.         互联网下载3.         WEB 浏览4.         第三方设备5.         软件分发6.         磁盘7.         未知

网络病毒将导致新的安全问题

资料来源： ICSA 实验室 《 2002 年流行病毒调查报告》

在绝大多数机构内部，对于通过磁盘交叉使用而感染病毒的途径已经得到控制，但对于通过网络进行传播的病毒依然束手无策

网络病毒将导致新的安全问题

网络病毒特征：

1.         网络病毒主要通过无形介质进行传播 2.       网络病毒的传播仅需要几个小时的时间，并且越来越快 3.      网络病毒多数利用系统注册表、电子邮件附件、网络攻击漏洞等

方式实现驻留并控制系统 4.      网络病毒不怕暴露特征码明文给防病毒软件，因为只要连着网，

即使被防毒软件杀灭，它们也有机会再复制回来 5.        网络病毒的破坏性变得相对隐蔽

网络病毒将导致新的安全问题

资料来源： ISS 《 Reponse Strategies For Hybrid Threats 》

在 10年的时间里，计算机病毒向全球扩散的速度居然提高了 5000 多倍

网络病毒将导致新的安全问题

网络病毒的潜在性破坏

a)         监听密码b)        运行外来应用程序c)        替换系统密钥d)        截获屏幕显示信息e)         远程控制键盘、鼠标f)         启动 / 中止系统进程g)        关闭系统h)        阻塞网络

网络病毒将导致新的安全问题

由于这些差别非常之大，以至于有时候很难戒定是网络入侵还是病毒，这些差别在挑战着安全管理人员的同时也挑战着厂商的安全防范系统，它是否还能够抵御网络病毒的入侵？

内容介绍

混合攻击威胁到金融交易系统

混合攻击威胁到金融交易系统

新一代的网络病毒会带来新一代的网络攻击方式

•混合攻击（ Hybrid Attack ）

1. 攻击可以不是人为的，而是由计算机病毒或更复杂的攻击系统（攻击树）自动发出的 2. 来自外部的入侵感染模型在爆发时多数呈现不均匀分布

3. 现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具

混合攻击威胁到金融交易系统

资料来源： Cert <Sumlating Virus> -02tr039

来自外部的入侵感染模型显示，在爆发时多数呈现不均匀分布

混合攻击威胁到金融交易系统

来自外部的入侵感染模型显示，在爆发时多数呈现不均匀分布

混合攻击威胁到金融交易系统

现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具

1 、组合攻击因子。通常包括启动因子（最为核心部分，负责通讯），传播因子（可组合），入侵因子，控制指令解码（被加密），监听因子，自毁因子等。2、生成攻击树。向攻击目标释放含有不同因子的攻击树，并监控其渗透过程。3 、建立指令通道。启动因子利用控制引擎建立指令通道，负责攻击树内部及攻击树之间互相通讯4 、建立攻击通道。启动因子利用入侵因子建立攻击通道，在攻击树之间进行路由运算。5 、获取合法身份。启动因子利用监听因子实现获取包括证书备份，截获屏幕（如果网上银行系统不用键盘输入口令），监听口令等动作5 、内部、外部攻击。注意防火墙这时候不起作用，证书和口令也许均被截获，攻击完全从内部‘合法’发出。6、自我销毁。

混合攻击威胁到金融交易系统

现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具

攻击树及攻击子集――资料来源： CERT 《 Attack Modeling for information Security and Survivability 》

混合攻击威胁到金融交易系统

缓存溢出（ buffer overflow ）入侵因子

目的：利用缓存溢出漏洞向目标系统释放恶意代吗条件：攻击者能够在目标系统运行特定程序攻击：

AND 1.识别目标系统可疑的缓存溢出漏洞 2.确定在当前权限下可以运行的攻击程序 3. 制作参数及 SHELL CODE 4. 运行程序以覆盖返回地址并跳转执行 SHELL CODE

事后处理：确保程序正常返回并清理记录

混合攻击威胁到金融交易系统

一个形象的混合攻击过程

           防火墙：请出示工作证           电子邮件混合攻击：我是正常的电子邮件           防火墙：可以，校验通过           电子邮件混合攻击：启动进入邮件服务器及办公系统，并截获其他人的邮件地址           电子邮件混合攻击：现已进入邮件系统，处于防火墙之内，可以在网络内部发起攻击了           电子邮件混合攻击：感染通讯因子并生成监听因子，生成攻击通道          电子邮件混合攻击：发现与预先设定的触发模式吻合，应该是生产交易系统，开始下载攻击工具           电子邮件混合攻击：攻击开始，并从系统内部发出，身份获得伪装           生产交易系统：请出示身份证           电子邮件混合攻击：给出伪装身份证           生产交易系统：可以，校验通过           电子邮件混合攻击：利用攻击通道通知远端控制台攻击过程           电子邮件混合攻击：攻击成功。传出加密数据，自毁。电子邮件混合攻击：攻击失败。清理现场，下载新的攻击因子，尝试继续攻击。

内容介绍

具有混合攻击能力的病毒

具有混合攻击能力的计算机病毒

SQL 蠕虫

• 病毒体－－ 376字节

• 生存方式－－驻留内存感染

• 受攻击系统• Microsoft SQL Server 2000 SP2

Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000    - Microsoft Windows NT 4.0 SP6a    - Microsoft Windows NT 4.0 SP6    - Microsoft Windows NT 4.0 SP5    - Microsoft Windows NT 4.0    - Microsoft Windows 2000 Server SP3    - Microsoft Windows 2000 Server SP2    - Microsoft Windows 2000 Server SP1    - Microsoft Windows 2000

具有混合攻击能力的计算机病毒

SQL 蠕虫

• 传播方式－－ SQL Resolution Service Buffer Overflow (UDP/1434)*

• 攻击方式－－ DoS (UDP Flood)*

• HKLM\Software\Microsoft\Microsoft SQL Server\ %s%s\MSSQLServer\CurrentVersion

• *Microsoft 2002/07/25 发布• *CERT Advisory 1996/02/08 发布

具有混合攻击能力的计算机病毒

该恶意病毒采用了结合蠕虫和后门程序等多种特性的方式。在传播中，它会向网络中的共享文件夹中散布自身。而同时作为后门攻击程序，它会打开一个网络端口 (默认情况为” 10168”) ，从而允许远端访问者控制和操作整个受感染的系统；同时还向 2 个邮箱通知受感染系统的情况 : 54love@fescomail.net ， hacker117@163.com

Worm_LoveGate.C 爱虫

具有混合攻击能力的计算机病毒

将文件放置在系统目录下。通常为：C:\Windows\System ， Windows 9x 系统中C:\WinNT\System32 in Windows NT/2K 系统中

文件名称（都是 79KB大小）：• WinRpcsrv.e • syshelp.exe • winrpc.exe • WinGate.exe • rpcsrv.exe

具有混合攻击能力的计算机病毒

自动运行

添加注册表键值

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

具有混合攻击能力的计算机病毒

如图所示：

具有混合攻击能力的计算机病毒

其它注册表键值

该键值由病毒添加，目的是通过修改注册表使得每次用户打开 TXT文件时，病毒即可自动运行

注册表键值如下：

HKEY_CLASSES_ROOT\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE %1" "winrpc.exe %1"

HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE %1" "winrpc.exe %1"

具有混合攻击能力的计算机病毒

INI 文件

病毒会通过修改 Win.ini文件的方式，使得自己可以自动运行

具有混合攻击能力的计算机病毒

网络传播 . – 病毒会通过网络共享将自身复制到具有读写权限的网络共享文件夹中

具有混合攻击能力的计算机病毒

感染后的其它特征：

在命令行模式下，运行 NETSTAT –A ，可观察到 10168端口已经被打开

MSBlaster.A - Details

病毒详细描述自启动技术以及常驻内存检验

在运行时，该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows auto update" = MSBLAST.EXE

然后检查自身是否已常驻内存，如果已在内存中运行，则停止继续运行。

如果继续运行，则检查当前计算机是否有可用的网络连接。如果没有连接，则休眠 10秒然后再次检查Internet连接。该过程一直持续到一个 Internet 连接被建立。

MSBlaster.A - Details

病毒详细描述分布式拒绝服务攻击

在 Internet连接建立的情况下，蠕虫开始检查系统日期，在满足下列日期的情况下蠕虫发送对 windowsupdate.com的分布式拒绝服务攻击 :

以下月份的 16 日至 31 日 : 一月 二月 三月 4月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后，蠕虫开始尝试连接至其他目标系统的 135端口。

MSBlaster.A - Details

病毒详细描述A 变种- 经 UPX压缩- 使用 MSBLAST.EXE 作为生成的文件名称- 使用 "windows auto update" 作为注册表自启动项目名称- 包含下列字符串I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

2. .B 变种- .A变种的解压缩版本- 使用 PENIS32.EXE 作为生成的文件名称

3. .C 变种经 FSG压缩使用 teekids.exe 作为文件名称使用 "Microsoft Inet Xp" 作为注册表自启动项目名称包含下列字符串Microsoft can suck my left testi! Bill Gates can suck my right testi! And All Antivirus Makers Can Suck My Big Fat Cock

MSBlaster.A - Details

病毒详细描述分布式拒绝服务攻击

在 Internet连接建立的情况下，蠕虫开始检查系统日期，在满足下列日期的情况下蠕虫发送对 windowsupdate.com的分布式拒绝服务攻击 :

以下月份的 16 日至 31 日 : 一月 二月 三月 4月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后，蠕虫开始尝试连接至其他目标系统的 135端口。

内容介绍

趋势科技 EPS II 解决方案

利用趋势科技 EPS II 解决方案建立计算机病毒应急救援中心

EPSII 解决方案

Outbreak Lifecycle Timeline

Declared Yellow/Red Alert August 11, 2003, 8:55 PM (GMT)Network wormFirst Spotted: US, August 11, 2003 (GMT)

Outbreak Policies Deployed• TMCM 43• Prevents the spread of the malware

+ 0:48 min +0:51 min

Pattern File Deployed• Pattern File - OPR 604

+ 1:45 min

Cleaning Template Deployed• DCT 153

Threat Informatio

n

Attack Prevention

Notificationand

Assurance

Pattern File

Scan and Eliminate

AssessAnd

cleanup

Restoreand Post-

mortem

+ 0:00 min.

MSBLaster.A Attack

TCP PORT135 Closed

TCP PORT135 Closed

TCP PORT135 Closed

INFECTED SYSTEM ATTEMPTS TO INFECT OTHER CLIENTS

A. Worm uses infected computer to search for other computers without the Microsoft™ patch

B. Worm forces un-patched computer to receive a program. Then it takes control of the computer. The worm, MSBlaster begins spreading when the computer is restarted. In Windows XP, worm reboots the computer to begin spreading immediately.

TCP PORT135 OPEN

C. MSBlaster continues spreading and all infected computers begin sending repetitive messages to www.windowsupdate.com creating a cyber traffic jam that could crash the site.

TMCM 2.5 – Outbreak Commander

Outbreak Commander – OPP Deployment…

1.8 Virus awareness notification

为了保险起见对移动用户和机器异常的用户，提供在线杀毒

1.7 AV portal - Customized AV Knowledge Base and report

发布 OPS

部署策略

发布病毒代码文件

部署病毒代码文件

趋势科技可以协助银行节省的投入

清除

清除

感染数量

时间

EPS II 解决方案及金融业专署服务

趋势科技 EPS II 解决方案及金融业专署服务

趋势科技 EPS II 解决方案及金融业专署服务

趋势科技 EPS II 解决方案及金融业专署服务

2.1 AV solution deployment simulation

Response Time Line

内容介绍

建立金融业计算机病毒应急救援中心

Internet

攻击模式

染毒电脑染毒电脑

未修补漏洞的系统

已修补漏洞的系统随机攻击随机攻击

随机攻击随机攻击

随机攻击随机攻击

被感染被感染被感染被感染

不被感染不被感染不被感染不被感染

不被感染不被感染不被感染不被感染

被感染被感染被感染被感染

被感染被感染被感染被感染

不被感染不被感染不被感染不被感染不被感染不被感染不被感染不被感染

金融企业计算机病毒事故应急救援模型

全行安全管理架构

集中与分布相结合

以分行作为基本管理单位

总行承担监控职责

补丁与防毒相结合

操作系统补丁安装

防病毒组件更新

全局性管理

网关防毒

总行网络防毒

自助设备 / 服务器 / 客户端

防毒管理

银行总体防毒架构

总行：

全局性管理—

状态监控 / 更新分行：

业务服务器管理

安全事件响应

• 分布式防护与集中管理相结合的整体安全体系架构；• 明确的、层次化的职责划分

对分行防病毒进行集中监管

工作方式： 心跳检查

61

主要功能的实现

关闭状态

被攻击状态

正常状态

用户分组

补丁检查客户端工具

工具：Microsoft

Baseline Security

Analyzer

作用：1 发现客户端操作系

统确实的补丁2 配合 SUS 服务器，按照管理员制定的策略部署系统补丁程序

63

总行 SUS 服务器：Patch.bank.com采取双备方式确保高可用性

各分行 SUS 服务器命名规则：Patch.XX.Cebbank.com建议使用稳定的服务器设备

# 各分行 SUS指向总行 SUS 同步

64

操作系统漏洞扫描SUS 服务器部署

主要功能的实现安全漏洞扫描工具

可以扫描整个网段

可以报告多项信息

可以预定义多个任务

可以自动发送扫描结果到管理员信箱

主要功能的实现病毒来源跟踪

维护过程中的注意事项

情况描述

数据列表

改进建议

病毒情况

病毒爆发应急规划

应急规划的要素 联系人名单 应急操作流程 事件处理文档化

应急规划的原则 有效的预警机制 重新获得控制权 处置后监控 系统恢复 安全修补 记录和通报情况

在应急处置过程中，预先的规划，快速的响应，以及优秀的服务品质是成功的关键

病毒爆发应急处理

病毒爆发应急处理

根据紧急病毒查杀通知，及时传达到本行（部）工作人员 监督本行（部）病毒清除情况及补丁安装情况 查找本行（部）的病毒来源，采取必要的隔离和处理措施 对本行（部）工作人员发布病毒爆发情况、处理方法、注意事项、杀

毒工具 重大事件及时通知本行各部门管理负责人

金融企业计算机病毒事故应急救援模型

联系方式

张瑞飞 (Roy Chang)Sales Manager

Trend Micro Incorporated Tel: (010) 65978678

Cell Phone:13801368509Email: roy_zhang@trendmicro.com.cn

http://www.trendmicro.com.cn