计算机病毒防范及应对策略

时间:2022-10-26 11:09:52

计算机病毒防范及应对策略

摘要:介绍了内部局域网与广域网的区别,提出了计算机病毒在不同环境下需要不同的处理方案,通过梳理震网病毒事件,并结合作者实际工作中经历的WannaCry病毒应急处理案例进行内部局域网的风险分析,提出了普适性较强的防范及应对办法。

关键词:内部局域网;病毒;震网病毒;勒索病毒

1概述

以前邮差的健康,影响着信息的传递效率;如今网络的健康,决定了数据的通信情况。从这个角度来看,作为病毒,同样都会给通信带来负面影响,不同的是它附着的载体发生了变化。医人需要对症下药,解决计算机病毒也需要因地制宜。当下的信息时代里,像国防、金融、通信、工业等维持国家稳定运转的重要组成,它们的日常运作或出于工作便利、或出于安全保密的因素都会依托于内部局域网,而如何处理在网络中的计算机病毒则成为一个重要环节。

2内部局域网的特性

计算机网络可以分为广域网及局域网,所涉及的网络环境为独立组网,并与其他网络环境物理隔离的内部局域网。内部局域网通常具备的特性有:(1)相较广域网更高的传输速率;(2)覆盖地理范围较小;(3)具有较低的误码率及较低的时延;(4)文件及设备共享较广域网中更便捷;(5)网络环境隔离,与广域网无数据通信。可以说局域网在构建了一个封闭系统,与外界物理隔离后,网络环境的安全取决于人工操作的合规性及内部信任程度。如果由于人员操作不当,致使某种病毒或恶意代码进入局域网某终端设备,继而由于相互信任关系导致监控管控力度不足,致使病毒或恶意代码肆意传播,最终于局域网内大规模爆发产生不良后果。所以,内部局域网只有在对外物理隔离对内保持监控及实时可控的情况下才能更好地为员工及企业服务。

3震网病毒事件

震网病毒正式走入公众视野是在2010年11月29日,由时任伊朗总统的内贾德在官方承认,伊朗的核设施受到了黑客攻击,造成了离心机故障并导致反应堆无法正常工作,使得伊朗的核计划至少推迟了两年。而造成一系列问题的根源就是发作于2009年6月起在全球开始传播的Stuxnet病毒,中文译作震网病毒。该病毒破坏力强,波及面大,且目的性强,它不同于普通病毒以传播垃圾信息、篡改系统配置、盗取用户信息等主要以获取利益为驱动的作用机理,而是通过感染工业控制计算机,来对重要设施进行破坏,影响其正常运行,造成巨大安全风险。震网病毒主要利用了Windows操作系统的MS10-046漏洞、MS10-061漏洞、MS08-067等多种漏洞,伪装数字签名绕过检测后,针对西门子公司控制系统中的监控与数据采集模块(SCADA系统),进行数据的拦截、窃取和修改。可以说震网病毒的复杂性和高端性及主要作用于工业控制系统的特征,都使它的定义成为了一种信息时代的攻击手段。震网病毒可以在U盘与主机插接连通之后,尽管未获得许可、未执行任何进程,仍能将病毒注入主机,这也使得它能在欠缺准入控制的物理隔离的网络中肆意妄为。一度被广泛接纳的观点,即该病毒是以美国为主的西方国家创造并用于制约伊朗核计划进程的工具。

4WannaCry病毒应急处理案例

以在某公司内部局域网维护工作中遇到的一起风险较大、知名的病毒传播案例进行分析,阐述了该病毒在全球领域爆发的过程、所任职的信息化部门在事件中的应急处理办法。病毒由漏洞利用模块、加密器、解密器3部分组成。病毒利用MS17-010漏洞进行入侵,通过加密器完成主要攻击步骤,随后通过解密器进行勒索。具体攻击WannaCry勒索病毒常见的解决方案参照图中逻辑过程,分别为:(1)在病毒利用漏洞进入终端的过程中,工程师可以提前通过禁用端口的方式进行拦截:由于该病毒利用的MS17-010是针对Windows操作系统上的关于SMB服务的漏洞,而该服务需要通过TCP445端口进行通信,因而禁用该端口即可完全阻止病毒利用漏洞入侵,而且该方法操作难度小,一般都可以熟练掌握。(2)通过打补丁对终端进行处理:针对MS17-010漏洞,微软虽然在病毒爆发前放出了补丁,但并未得到使用者足够重视及大规模的更新。伴随病毒大规模爆发,企业、个人计算机使用者开始重新重视并下载该补丁。微软面向所有操作系统均配备了对应版本的补丁,该方式能完全防御该病毒。(3)通过研究病毒样本的发作机理及逻辑,防病毒工程师们发现该病毒存在一个类似后门的灭活开关,因为在感染后到启动服务之间存在一个触发逻辑为,判断终端能否访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如不能访问该域名则服务启动,继而开始攻击。因而工程师可以在内部局域网中建立一个域名,搭建内部解析服务(DNSServer)建议映射关系,将该域名地址解析到局域网WebServer中一个合法的IP地址,使得内部局域网用户可以访问该域名,即可实现对病毒的免疫。(4)在攻击逻辑中,加密器启动后病毒程序会判断染毒终端中是否已经有一个加密器程序存在,防止病毒程序重复运行互相产生干扰。因而,工程师们通过创建一个名为MsWinZonesCacheCounterMutexA的互斥体,通过误导病毒程序,就可以使病毒运行之后自动退出,无法完成后续攻击步骤,部分杀毒软件即使用了该办法。在实际情况中,工作环境为内部局域网,一旦病毒在内网爆发,不论是文件共享机制下染毒文件极易传播亦或是因工作需要导致防火墙访问控制的限制较少,都对病毒传播提供了便利条件。在获取舆情及了解到该病毒的威胁后,信息化部门立即制定应急响应方案,并于24小时内完成了以下工作:(1)各部门的终端访问控制设置为仅能访问登录认证服务器(基于Linux)用于开机登录。(2)通过联系各部门的信息化负责人,讲授如何关闭TCP445端口并实施。(3)下载补丁,根据服务器、计算机的操作系统版本进行铺设及安装。在确保内部局域网安全后,开放了访问控制,并在后续工作中,团队自互联网获取有关该病毒的更为全面的介绍及分析,积极与国内知名防病毒厂商的工程师进行沟通获得帮助,并及时对各服务器、计算机的杀毒软件的病毒库进行了针对勒索病毒的更新。

5内部局域网病毒的防范与应对

震网病毒及Wannacry勒索病毒分别代表了两种内部局域网中病毒爆发的途径:据置信度较高的报道称,震网病毒是欧美间谍进入伊朗核电站,经由介质(U盘)直接连接内网终端将病毒导入,自内部发作;而Wannacry病毒经由互联网传播,病毒攻击逻辑使得每个被感染终端均成为新的攻击发起者,向若干随机IP发送数据包,并最终侵入防范措施不得当的内部局域网。这两种入侵途径互为补充及衍生,即介质自内感染后病毒通过文件的导出会影响到互联网;介质中病毒也存在随文件自外网导入内网的可能。从病毒的防范角度出发,需要做到:(1)严格控制文件的中转导入,设置多重病毒查杀过程。(2)可通过物理封堵或软件管控禁止内部局域网中的服务器、计算机能够直接读写介质。(3)加强计算机使用者的防病毒意识,在高危病毒发作期间减少不必要的文件传递,一旦出现感染情况应当立即报备信息化责任部门进行处理,条件允许则立即作脱网处理。(4)提高使用者防范计算机病毒的意识。从病毒的应对角度开展应急工作,需要做到:(1)“化整为零”,将内部局域网以设备为个体进行拆分,除特殊情况外避免设备之间存在通信可能。(2)完成内部局域网设备加固前,不建议进行文件的中转导入。(3)通过研究病毒的发作机理及攻击逻辑,制定有效的防范措施。(4)对疑似或已经染毒的设备立即进行物理隔离,并调查该设备近期文件传递情况,将与之产生过通信的设备进行排查。如能定位染毒文件则追溯染毒文件来源并跟进处理。(5)与防病毒厂商积极沟通,获取解决办法及病毒库的及时升级。依靠严格的管控机制及物理隔离,使内部局域网工作环境中的设备不暴露于互联网环境下;通过运用有效的防病毒软件对网络定期进行检查及隐患消除;建立完善的应急响应预案,于突发状况中快速反应,保障网络安全。可使得内部局域网在应对各类计算机病毒的威胁中成为更安全、更可靠、更值得信赖的工作环境。

参考文献

[1]饶跃东,熊瑜.基于“震网”病毒的物理隔离网络的风险控制措施[J].广西科学院学报,2012,(1):38-40.

[2]蔺聪,黑霞丽.蠕虫病毒的特点、原理及应对方法[J].网络安全技术与应用,2008,(5):30-31.

作者:张莫 孟凡 吴晓菲 单位:上海机电工程研究所