58獨(dú)家授權(quán)ＮＥＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ編者按：今年８月份的魔波蠕蟲攻擊，全球共有１０５萬個(gè)主機(jī)ＩＰ被感染，但卻是２００３年以來感染主機(jī)數(shù)量相對(duì)最少的一次。大規(guī)模的蠕蟲傳播雖趨于消失，但隨之而來的

58獨(dú)家授權(quán)

ＮＥＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ

編者按：今年８月份的魔波蠕蟲攻擊，全球共有１０５萬個(gè)主機(jī)ＩＰ被感染，但卻是２００３年以來感染主機(jī)數(shù)量相對(duì)最少的一次。大規(guī)模的蠕蟲傳播雖趨于消失，但隨之而來的網(wǎng)絡(luò)攻擊的針對(duì)性和趨利性更為突出。

與此同時(shí)，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心和各地分中心對(duì)事件所涉及的主機(jī)分別進(jìn)行了相應(yīng)處理，包括向ＡＰＣＥＲＴ各經(jīng)濟(jì)體成員的ＣＥＲＴ小組，以及英國等１３個(gè)國家的ＣＥＲＴ組織通報(bào)了相應(yīng)國家感染主機(jī)ＩＰ列表。這也是我國應(yīng)急組織首次在大規(guī)模蠕蟲事件中，協(xié)助其他國家進(jìn)行處理，在國際上樹立了中國作為負(fù)責(zé)任的互聯(lián)網(wǎng)大國以及ＣＮＣＥＲＴ／ＣＣ良好形象，得到了各應(yīng)急組織的好評(píng)。

以下這篇文章，對(duì)此次事件的處理情況和經(jīng)驗(yàn)進(jìn)行了介紹。

魔波

(M O C B O T ) 的處理情況及經(jīng)驗(yàn)介紹　

蠕蟲事件

■　　國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心　陳明奇

２００６年８月８日，微軟公司發(fā)布了８月份的例行安全公告后，互聯(lián)網(wǎng)上很快有了利用其中ＭＳ０６－０４０漏洞（遠(yuǎn)

程服務(wù)的溢出攻擊漏洞）的攻擊代碼已經(jīng)出現(xiàn)的報(bào)道。ＣＮＣＥＲＴ／ＣＣ于８月１４日根據(jù)國際權(quán)威應(yīng)急組織信息，確認(rèn)了魔波蠕蟲及其變種出現(xiàn)的信息，蠕蟲會(huì)利用Ｗｉｎｄｏｗｓ操作系統(tǒng)的ＭＳ０６－０４０漏洞傳播，可影響Ｗｉｎｄｏｗｓ　ｘｐ　和Ｗｉｎｄｏｗｓ?。樱澹颍觯澹颍玻埃埃车乃邪姹?。該蠕蟲能自動(dòng)對(duì)互聯(lián)網(wǎng)主機(jī)的４４５端口進(jìn)行掃描，并發(fā)起攻擊。如被掃描主機(jī)沒有安裝微軟ＭＳ０６－０４０漏洞補(bǔ)丁，則有可能被蠕蟲入侵。蠕蟲入侵以后，會(huì)在受害主機(jī)上釋放一個(gè)僵尸程序，并驅(qū)使受害主機(jī)連接到特定的ＩＲＣ服務(wù)器接收黑客控制，從而構(gòu)成一個(gè)大規(guī)模的僵尸網(wǎng)絡(luò)。從僵尸程序內(nèi)置的命令來看，黑客可以用其發(fā)動(dòng)拒絕服務(wù)攻擊，掃描或文件下載等行為。

獨(dú)家授權(quán)

59

ＮＥＴＩＮＦＯ?。樱牛茫眨遥桑裕?/p>

１４日，ＣＮＣＥＲＴ／ＣＣ也接到用戶單位報(bào)告，稱懷疑已遭受該蠕蟲的攻擊，影響較嚴(yán)重。用戶稱該蠕蟲為已知蠕蟲的新變種，名為Ｂａｃｋｄｏｏｒ．Ｗｉｎ３２．ＩＲＣＢｏｔ．ｓｔ。根據(jù)上述信息，ＣＮＣＥＲＴ／ＣＣ認(rèn)為，攻擊者會(huì)利用國內(nèi)大量用戶未及時(shí)安裝ＭＳ０６－０４０漏洞補(bǔ)丁的間隙，制造更多的蠕蟲或蠕蟲變種在網(wǎng)上傳播，可能對(duì)我國互聯(lián)網(wǎng)造成嚴(yán)重危害，立即啟動(dòng)了大規(guī)模網(wǎng)絡(luò)安全事件處理流程對(duì)該事件進(jìn)行了應(yīng)急處理。

截至８月１８日，ＣＮＣＥＲＴ／ＣＣ共掌握感染魔波蠕蟲的主機(jī)ＩＰ共計(jì)１０５萬個(gè)，其中中國境內(nèi)１２．５萬個(gè)，我國境內(nèi)的感染主機(jī)分布情況如下圖所示：

在全球分布前十名如下：美國?。保担叮罚梗杜_(tái)主機(jī)，中國大陸　１２５８５６臺(tái)主機(jī)，巴西　７４８２９臺(tái)主機(jī)，德國?。罚矗保担才_(tái)主機(jī)，日本　６２９５７臺(tái)主機(jī)，臺(tái)灣?。矗担梗保蹬_(tái)主機(jī)，韓國３７７６９臺(tái)主機(jī)，墨西哥?。常叮梗罚概_(tái)主機(jī)，波蘭?。常矗叮梗古_(tái)主機(jī)，西班牙?。常玻担梗撑_(tái)主機(jī)。ＣＮＣＥＲＴ／ＣＣ和各地分中心對(duì)事件所涉及的主機(jī)分別進(jìn)行了相應(yīng)處理，包括向ＡＰＣＥＲＴ各經(jīng)濟(jì)體成員的ＣＥＲＴ小組，以及向英國、阿根廷、巴西、西班牙、加拿大、德國、墨西哥、波蘭、俄國、法國、意大利、智利、奧地利等１３個(gè)國家的ＣＥＲＴ組織通報(bào)了相應(yīng)國家感染主機(jī)ＩＰ列表。這也是我國應(yīng)急組織第一次在大規(guī)模蠕蟲事件中，協(xié)助其他國家進(jìn)行處理，在國際上樹立了中國作為負(fù)責(zé)任的互聯(lián)網(wǎng)大國的以及ＣＮＣＥＲＴ／ＣＣ良好形象，得到了各應(yīng)急組織的好評(píng)。９月中旬，該事件的處理基本結(jié)束。

事件處理期間，ＣＮＣＥＲＴ／ＣＣ采取的處理措施主要包括：１．　三天之內(nèi)，在網(wǎng)站發(fā)布了兩個(gè)安全公告，提醒廣大網(wǎng)民蠕蟲的出現(xiàn)，提供了響應(yīng)解決方案；

２．　啟動(dòng)８６３－９１７平臺(tái)監(jiān)測，　掌握了魔波蠕蟲在我國境內(nèi)的情況；

３．　通過域名注冊(cè)商取消了僵尸網(wǎng)絡(luò)控制服務(wù)器所用域名，制止了黑客對(duì)感染主機(jī)的控制，清除了危害；

４．　通過代碼分析和密罐網(wǎng)輔助監(jiān)測，掌握了蠕蟲及感染主機(jī)的活動(dòng)情況；

５．　向國內(nèi)有關(guān)部門通報(bào)了１４６個(gè)重要ＩＰ地址感染情況，并將國內(nèi)感染用戶ＩＰ地址通報(bào)了國內(nèi)主要運(yùn)營商。

目前，該事件的有關(guān)數(shù)據(jù)還在進(jìn)一步分析總結(jié)中，基于這次近兩年來規(guī)模較大一次的蠕蟲攻擊的處理，ＣＮＣＥＲＴ／ＣＣ認(rèn)為對(duì)今后的大規(guī)模蠕蟲事件應(yīng)急處理應(yīng)注重一下幾個(gè)方面問題：

１．　提高我國公共互聯(lián)網(wǎng)應(yīng)對(duì)零日攻擊的應(yīng)急處理能力?；?/p>

聯(lián)網(wǎng)網(wǎng)上蠕蟲的“零日攻擊”，是指漏洞公布出來后，當(dāng)天就會(huì)出現(xiàn)攻擊代碼情況。這次蠕蟲攻擊出現(xiàn)時(shí)間之短，已經(jīng)接近零日攻擊的程度了，零日攻擊對(duì)我國互聯(lián)網(wǎng)安全設(shè)施以及重要信息系統(tǒng)的危害都是較大的。對(duì)此，我國應(yīng)高度重視，提高國家骨干互聯(lián)網(wǎng)以及重要應(yīng)用系統(tǒng)應(yīng)對(duì)零日攻擊的國家層面的應(yīng)急響應(yīng)能力；

２．　提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊更具針對(duì)性和趨利性的能力。互聯(lián)網(wǎng)的大規(guī)模蠕蟲傳播已經(jīng)趨于消失，網(wǎng)絡(luò)攻擊更具針對(duì)性和趨利性，將對(duì)我國的互聯(lián)網(wǎng)帶來嚴(yán)峻挑戰(zhàn)。這次蠕蟲攻擊規(guī)模雖然為近兩年來最大的一次，但從ＣＮＣＥＲＴ／ＣＣ掌握的感染數(shù)字來說，１０５萬的感染主機(jī)，是０３年以來的大規(guī)模蠕蟲事件中，感染主機(jī)數(shù)量相對(duì)最少的一次。這和黑客的攻擊的趨利性趨勢是吻合的，黑客希望利用蠕蟲來控制感染機(jī)器，用以獲利，而不是漫無目的的在互聯(lián)網(wǎng)上傳播；此外，從感染主機(jī)的控制利用來看，黑客更多用來控制主機(jī)后，安裝間諜軟件或者出售感染主機(jī)的控制權(quán)來獲利。因此，網(wǎng)絡(luò)攻擊的針對(duì)性和趨利性，對(duì)于我國網(wǎng)民所造成的危害，可能要比更具轟動(dòng)性無目的的大規(guī)模蠕蟲傳播是有過之而無不及，對(duì)維護(hù)互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展帶來了更嚴(yán)峻的挑戰(zhàn)。

３．　應(yīng)加強(qiáng)有關(guān)法律規(guī)章建設(shè)，為事件處理提供必要的政策法規(guī)依據(jù)是應(yīng)急處理的法規(guī)保障。本次事件處理中，與域名注冊(cè)商的成功合作避免了感染主機(jī)被黑客控制。實(shí)踐證明，信息產(chǎn)業(yè)部《中國互聯(lián)網(wǎng)絡(luò)域名管理辦法（信息產(chǎn)業(yè)部令第３０號(hào)）》，為ＣＮＣＥＲＴ／ＣＣ協(xié)調(diào)域名注冊(cè)商提供了政策依據(jù)，對(duì)注冊(cè)商依法取消被黑客冒名注冊(cè)并用于非法用途的域名，迅速有效的抑制事件的進(jìn)一步發(fā)展將起到關(guān)鍵性作用。