网络蠕虫的“非传统”威胁

1. 网络蠕虫的“非传统”威胁 国家计算机网络应急技术处理/协调中心(CNCERT/CC) 副总工程师 杜跃进 全国计算机安全学术交流会-西宁.2005.8.5

2. 序：为什么讨论这个主题 • 当前的重点威胁需要着重关注： • Online Identity Theft • BotNet • Spyware • 但是一些传统威胁依然十分严峻，并且表现出新的特点 • DDoS • 蠕虫

3. 内 容 • 网络蠕虫的“传统”威胁与新趋势 • 网络蠕虫的新威胁 • 应对新威胁的基本思路探讨 • 结论

4. 网络蠕虫的传统威胁 • 消耗网络资源导致网络拥塞甚至瘫痪 • 特点： • 不可控（感染范围、所阻塞的网络） • 攻击者不（直接）受益 • 趋势： • 更强的能力（感染规模、蔓延速度） • “定向”能力（IPv6地地址分配规则确定之后会更容易？） • “自适应”能力 • 争议：是否还是主要威胁？

5. “非传统”趋势 • “代码获得执行的机会”可否进一步利用？ • “大的感染规模”可否加以利用？ • “不可控”是否是无法逾越的？ • 被感染的主机是否可以利用？

6. “非传统”威胁：开放主机 利用“代码获得执行的机会” • 案例：2001.8 CodeRed • 威胁分析 • 保密数据泄漏、数据或应用系统遭破坏的危险 • 依然属于“损人不利己”，不过危害极大 • 和其他手段结合，可以发动目标更明确的攻击

7. “非传统”威胁：蠕虫驱动的DDoS 利用“大的感染规模” • 案例：2003.8 MsBlaster • 威胁分析 • 攻击目标可能为DNS/认证服务器/计费服务器/VoIP网守/关键业务网站 • 基础设施或关键应用的可用性受到严重威胁

8. “非传统”威胁： “回收机制” 突破“不可控” • 案例：2003.3 口令蠕虫 • 威胁分析 • 被设置后门和完全控制 • 保密数据泄漏、数据和应用遭破坏 • 植入间谍软件/代码 • 作为下一步攻击的跳板

9. “非传统”威胁：构造“攻击网络” 利用被入侵主机群 构造高可控的“zombie army” • 案例：2004.11的僵尸网络事件 • 威胁分析 • 蠕虫释放：威力更大 • 发动DDoS：灵活并且难以防范 • 发送垃圾邮件 • 用于在线身份窃取类攻击（Phishing/Pharming etc.） • 窃密 • 资源滥用 • 用于发动其他攻击

10. 应对思路和基本要求探讨 一些必要的条件

11. 基本要求：重视宏观和整体 • 避免“一叶障目”，重视宏观安全 • 在应对措施上也要考虑宏观和整体的问题

12. 基本要求：基本能力建设 • 发现能力 • 分析能力 • 危机控制能力和快速响应能力

13. 基本要求：应急合作体系 • 有计划的应急响应 • 应急组织和体系的建立 • 技术、信息、数据等的共享与支持

15. 基本要求：基础研究和资源 • 必要的基础研究和资源积累是保证技术平台和应急体系运转良好的根本条件 • 系统化的漏洞处理工作（漏洞发现；信息收集；漏洞验证；威胁评估；漏洞监测；信息分发；补丁研制；补丁验证；补丁分发；工具研制与分发） • 网络安全资源平台 • 漏洞库；工具库；Checklist；拓扑信息；定位信息；etc. • 基础研究

16. 基本要求：其他 • 产品 • 标准 • 法律法规 • 安全配置和接入 • etc.

17. 结论 • 蠕虫正在成为其他攻击代码的传输载体；蠕虫攻击正在成为其他攻击企图的阶段性工作 • 应对这些新的、日益复杂的威胁，除了针对特定威胁类型的具体方法之外，更需要通过综合的系统工程方法来研究解决

18. 请多指正！ dyj@cert.org.cn www.cert.org.cn