摘要 由于群发邮件蠕虫病毒阻塞网络造成网速缓慢、网络连接丢失、传输文件时频繁的连接超时报错,这些典型问题几乎所有人都遇到过。 本文提供了群发邮件病毒威胁的背景信息。介绍了群发邮件蠕虫病毒及其生成、传播和构成的威胁,内容涵盖蠕虫的危害、影响和副作用,探讨了邮件服务器协议在遏制病毒传播方面的重要性,还评价了几种防范蠕虫病毒的方法。最后,文中还讲述了包括垃圾邮件和网络诱骗邮件在内的其它群发邮件病毒及其构成的威胁。 关于群发邮件蠕虫病毒 群发邮件蠕虫病毒最早出现于20世纪80年代后期,到90年代后期开始大量繁殖,在过去的2~3年中呈现出明显的复杂化发展趋势。蠕虫病毒引发了严重的安全危机,它能造成互联网、企业内部网、企业外联网、B2B电子商务应用程序及企业等部分瘫痪。病毒从网络内部和外部均可发起攻击,阻塞邮件服务器,关闭运行网络服务的应用软件,消耗系统内其它关键应用程序的带宽。蠕虫病毒几小时就可写完并由一种典型的软件调制解调器生成,传播到任何一个人的电脑上就会迅速影响到数十万台电脑、工作站、家用电脑、网络电脑及邮件服务器。尽管明显不合法,而且会造成上亿美元的损失,但对这种网上犯罪的惩罚却极为有限。事实上,病毒越厉害,知名度越高,病毒创造者之后将因此得到越多的回报。 蠕虫使用独立的自行传播的恶意代码。利用软件自动进行自我复制并发送至被感染电脑中所有地址及邮件列表的联系人,以传播为目的逐个获取地址,通过合法邮件向尽可能多的地址发送病毒副本。其结果是传播诸如特洛伊木马、拒绝代理服务和邮件转发服务一类具有破坏性的数据净荷,如果没有正确的分布式防护工具,很难对这种病毒进行大范围的控制。 最重要的是,蠕虫病毒的威胁几乎随时存在,每天发生小型攻击,每隔十几天发生大规模攻击。病毒通过携带数据净荷或通过病毒传播的副作用而造成巨大的危害,它效力迅速而造成致命一击,可在极短的时间使整个站点瘫痪。很多人应该还记得在2001年,yahoo网站遭到病毒程序攻击而陷于瘫痪,并通过自动引擎蔓延到代理服务器,使得攻击者可以操纵上百万个站点准备发动进一步的攻击。 群发邮件蠕虫的传播 解决群发邮件蠕虫病毒的主要难题在于它的易传播性,特别是在最初几个小时内,此时尚未形成对其足够的威慑力量。通过一个非常简单的进程,一个蠕虫病毒便可以逐一发送上百万封邮件。 图一:蠕虫病毒通过SMTP服务器传播 病毒一旦生成,攻击者便连接到SMTP服务器上并发送病毒。如图一所示,这时病毒已储存在SMTP服务器内,客户机在访问SMTP服务器的同时也下载了病毒。通过读取邮件激活了病毒,在一些复杂的案例中甚至只要客户端接收了病毒邮件就会激活病毒,病毒发送数据净荷到电脑后开始扫描硬盘寻找邮件地址,并将自身复制发送至寻找到的所有地址。由于我们通常使用的程序如OUTLOOK中存有大量邮件地址,这样,病毒传播范围进一步扩大,它可以传播到其他的SMTP服务器、邮件接收端或客户机。 图二:蠕虫病毒传播对服务器的影响 普通的防护措施并不能充分地防范蠕虫病毒,自然,蠕虫病毒在邮件服务器上传播造成非常严重的后果,产生沉重的负载,导致连接失败和服务器传输失败等一系列现象。例如图二中的曲线图显示蠕虫传播所造成的影响。大部分外出TCP流程都有一个针对服务器运行的最优阈值,一旦超过此门限阈值,服务器将停止工作。图中可看出,病毒传播产生的全面的、破坏性的影响在数日后才显现出来。到第十三天,流程超出服务器门限值,邮件服务器的服务被终止。 1998年11月2日,互联网络在第一个蠕虫病毒的冲击下遭受重创,病毒的创造者却是一个23岁的学生,他的名字叫RobertTappanMorrisJr.,其父亲在NSA工作。从那时以来,蠕虫病毒的发展主要历经了两代。第一代是在上世纪90年代末到本世纪初,使用邮件客户端而不是SMTP引擎进行传播,典型病毒有Mellisa 和 I-Love。这一代的蠕虫病毒不能扫描硬盘,但可以将地址簿中的邮件地址作为传播的接收人,而且病毒运行前提是带毒邮件附件被点击打开。因此,所有的病毒邮件都来自被感染电脑中的经过确认的邮件帐号。由于没有地址簿造假功能,通常很容易就能追踪到合法地址的邮件发送人。病毒使用VB脚本和office宏来执行恶意代码,极少数则使用可执行的二进制代码,附件的扩展名一般为.vbs,.doc,.xls或.exe。 第二代蠕虫病毒出现于2002年,比第一代病毒更为危险,加强了自动化功能且携带致命的数据净荷,传播的速度更快、媒介更多,而且由于传播途径的多样化愈加难以截获,对数据净荷和带宽消耗造成更大危害。 第二代病毒如Bagle,Mydoom和Netsky等已经可以扫描硬盘(包括硬盘中的文件和文档)来搜索邮件地址并包括自身的SMTP客户端来传播自身的病毒副本。它们成功地绕过安全措施防线,因为病毒已被加密打包成可执行文件(使用高性能、可下载的UPX包,UPX–ultimate packer executable – 超级压缩执行包),并具备终止安全软件运行的功能。 第二代病毒变化多端,以不同的变种出现,包括针对邮件和网络共享的多样化传播源,允许在P2P共享文件夹中自我复制。所以,甚至Windows程序都能感染并实际运行这些病毒。这些蠕虫病毒还可以包括在代码中集成的或从恶意网络服务器上下载的黑客后门组件,可执行拒绝访问攻击,有时也会利用软件漏洞自动执行。 邮件服务器协议的重要性 蠕虫病毒或群发邮件病毒以简单邮件传输协议(SMTP)为基础,通过互联网在邮件服务器之间复制传播,SMTP协议的重要性十分明显,就传播范围而言,阻止病毒扩散的最佳最便捷的位置就在于通过SMTP进行的服务器之间的通信。 SMTP是一个简单的、标准化的、基本的且公开执行的纯文本协议,它从20世纪70年代起便已开始应用,一般用于发送邮件。它使用RFC2821文本协议和Base64附件传输协议,后者可以将二进制数据转换为ASCII可打印字符,并实现了对可执行文件及图片或文档的编码。 SMTP使用TCP25端口为所有的组织提供非常有价值的服务,是一个互联网上的开放式协议。然而,由于它不需认证或加密,使得它非常容易被伪造,致使蠕虫病毒可以始终使用同一种逃避技术。 其他的基于互联网的邮件传输协议包括POP3(用于将邮件从服务器下载到客户端的文本协议)、IMAP4(比POP3更先进的一种协议),MAPI(一种交换协议,用于服务器与客户端的通信交换)和X400(一种很少用到的服务器间邮件传输协议)。 识别进而防止蠕虫病毒感染的关键是要以对SMTP服务器进行不间断的监测为基本前提。基于SMTP服务器的Map、Monitor、Alert和Rectify都是防止病毒感染的关键命令。 蠕虫病毒的危害、影响和副作用 蠕虫病毒能造成破坏性结果,其传播带来的影响是多方面的。对于邮件服务器资源,它们抢占存储空间和连接数,很容易导致服务器拒绝服务;对于使用防病毒网关的用户,资源负载过大会出现邮件传输延迟,特别是当每个携带伪造信息的邮件,由于其无效的收收件人和发件人地址而每一循环至少会产生两个以上无法递送的邮件,从而使带宽消耗大幅增加。另一方面,合法的发件人地址将收到上千个邮件无法送达的通知。即使是蠕虫病毒已经被消除,大量的广告、垃圾邮件、欺骗邮件(这类邮件一种表面是提示防止病毒感染,实际则是激活病毒,另一种是病毒警告邮件,有时欺骗使用者删除重要文件并继续发送虚假报警信息)仍可能存活数月。 此外,蠕虫病毒的数据净荷也会产生重大影响并可能造成危害。例如,安装后门程序和特洛伊木马而威胁到某些工作站或服务器可造成一系列后果:转发垃圾邮件、执行远程代码、盗窃机密信息、引发服务器拒绝服务(DoS)、扫描和其他类型的哄骗攻击,以及建立代理连接来避免蠕虫病毒源被侦测到。 其它影响包括直接发起Dos拒绝服务攻击、致使工作站瘫痪、删除或修改硬盘上的文件,而有时仅仅是移动桌面图标来骚扰使用者。 蠕虫病毒的生成 制造蠕虫病毒背后的动机可能是寻求挑战刺激,想出名,搞破坏或进行诈骗。蠕虫病毒目前最可怕的方面是它易于生成,根本不需要实际的专业知识或编程经验。 蠕虫病毒可以用C语言、Delphi、高级VB或更先进的低级汇编编程来生成。甚至有成套工具和框架工具,例如VBSWG,可以简单地自动生成并传播病毒,加之一系列现成的模块可选择应用,如SMTP引擎、DoS、SynFlood和后门程序,还可提供不同的变种选择(变换模块、攻击地址、打包方式、编辑和定时),这样,由于可以通过向导定制生成蠕虫病毒而产生莫大威胁,因为病毒越来越复杂使得抗击病毒更加困难。 其它群发邮件病毒威胁 蠕虫病毒并不是目前对计算机安全唯一的威胁。垃圾邮件和网络诱骗邮件同样也是群发邮件病毒的代表,而不能和蠕虫病毒混为一谈。 垃圾邮件,从字面上说就是我们不希望在邮箱里看到的东西,经常携带危险内容。我们都会收到垃圾邮件,通常是商业广告、欺诈消息、虚假信息、诈骗信、技术错误、垃圾信息、发送失败信息,或是外国文字、字体、乱码及不可读信息。 网络诱骗邮件是严重违法的。通过精心设计伪造成看似同实际运营网站一样的HTML网络诱骗邮件,引诱人们进入圈套从而泄露重要的敏感信息,如信用卡号、注册用户名或密码。 垃圾邮件和网络诱骗邮件与蠕虫病毒类似,但只是部分自动化,使用自动获取和邮件广播软件,主要集中在防护较弱的开放式转发服务器和一些不安全的具有较高带宽的网络。垃圾邮件发送者是收费广告服务的提供者,他们控制垃圾邮件服务器、扩展网络和傀儡主机并出售和获取地址列表。 按照网络定义,电子邮件是合法的,因此,消减垃圾邮件和网络诱骗邮件的威胁异常困难。开放式的转发服务器和开放式网络应该加强安全,而要对此类邮件进行侦测且让误操作降至最小程度则需要启发式程序。然而,创建垃圾文件夹、接受地址列表和实行全面过滤经常导致误操作,需要耗费宝贵的人力时间并承担丢失重要邮件的风险。 蠕虫病毒的防范 现有多种方法用于防范蠕虫病毒。考虑到病毒的复制方式,可通过两种基本方法进行拦截:在网关、服务器和主机上应用防病毒程序;或应用基于网络的入侵防护系统(IPS),如图三所示。 图三:应用防病毒程序和入侵防护系统(IPS) 防病毒软件提供桌面/服务器级别的最基本的防护,用于修复被感染的电脑,其安装位置与主机非常接近(甚至就在主机上运行)。另一方面,IPS,是实时病毒防护系统,其围绕公司网关、载波连接和网络分布提供网络级别的安全防护。 尽管防病毒程序可以修复已被感染的主机或邮箱,但是当由于病毒复制引起载荷增加则很容易发生拒绝服务的现象。而另一项可选解决方案,即基于网络的入侵防护系统,可提供更高的载荷容量并能在病毒因消耗过多资源引起拒绝服务之前停止病毒进程。但是这样的系统仅能提供对数据管道的保护,在修复已被病毒感染的电脑和阻止病毒在其他管道上的传播方面则无能为力。 因此,防治病毒的最佳解决方案就是通过SMTP服务器上的降低减轻基础架构,使用这种方案,当攻击者连接到SMTP服务器上传输蠕虫时,入侵防护系统将首先阻塞作过标记的信息包并重新启动SMTP服务器,这样SMTP服务器将丢掉已部分接收到的信息, 从而避免病毒存储而被后来连接的客户下载。这种方法需要二十四小时持续监测并了解蠕虫及各种可能的病毒,因为对于尽可能快地实施病毒防护而言,了解一种新病毒是所面临的一项主要问题。 DefensePro:Radware解决方案 DefensePro是Radware公司抵御群发邮件病毒威胁的解决方案。作为IPS入侵防护系统和防范DoS攻击解决方案,DefensePro提供了内置安全切换和高速、深入的信息包状态检测(应用Radware公司业内领先的StringMatchHardwareEngine™硬件引擎),对所有网络流量进行双向扫描,从而防范应用级别的攻击。 DefensePro能以每秒3-Gigabits的超高速度一次拦截1400多种恶意攻击信号、潜在的蠕虫和病毒并阻挡应用程序级攻击。即时识别和消减协议和流量异常,DefensePro还可以防范DoS/DdoS攻击和SYN洪水,并将所有非法流量形式及黑客攻击拒之门外。 DefensePro对病毒攻击实行隔离,其通过动态的带宽管理防止攻击扩散到网络用户和网络资源中,同时确保所有安全流量的完整连贯及功能正常,预前控制攻击造成的影响并限制其危害程度。DefensePro将极高的处理能力和先进的应用程序安全服务相结合,确保高速/高容量环境里的关键业务应用。 总结 群发邮件蠕虫、垃圾邮件和网络诱骗邮件是当今网络中存在的主要威胁,其产生的巨大流量可以在区区数分钟内轻易阻塞网络。防范这些威胁的战略必须包括用户培训和提高用户警觉性、熟悉桌面防病毒规则、针对接收邮件的基于服务器的微创过滤。 垃圾邮件应该在服务器和ISP级别进行处理,而群发邮件蠕虫病毒需要在网络中加以控制,为了防范蠕虫病毒,必须了解网络流量模式并能区分正常和恶意流量。市面上有多种此类功能的辅助工具,分免费和商用产品,但是,从识别病毒到进而防范病毒,关键要以对SMTP服务器进行不间断的监控为基本前提。 Map,Monitor,Alert和Rectify:是阻止蠕虫病毒、垃圾邮件和网络诱骗邮件的关键命令,这不是一次性的工作,而必须是个持续的过程。