一、概述
1、定义
网络蠕虫(network worms)是一种能够自我复制的恶意软件,它主要通过寻找系统漏洞(如Windows系统漏洞、网络服务器漏洞等)进行传播。与一般病毒不同的是,蠕虫不需要人工干预,他能够利用漏洞主动进行攻击,具有较强的独立性。感染蠕虫的计算机会出现系统运行缓慢、文件丢失、文件被破坏或出现新文件的情况。由于蠕虫可以通过系统漏洞、网络文件、电子邮件等各种途径进行传播,且攻击不受宿主程序牵制,所以蠕虫的传播速度比传统病毒快得多。在国家标准GB/T 25069-2022《信息安全技术 术语》中对蠕虫(worms)的定义是:一种通过数据处理系统或计算机网络传播自身的独立程序(注:蠕虫常常被设计用来占满可用资源,如存储空间和处理事件)。从定义的备注中可以看出蠕虫的显著特征。
由于网络蠕虫是一种恶意软件,那么对于恶意软件(malware),中国互联网协会早在2006年11月正式公布“恶意软件”最终定义为:在未明确提示用户或未经用户许可的情况下,在用户计算机或其它终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。恶意软件事实上也可称为恶意程序。
欲更多了解恶意程序概念的请进入。
2、产生
“蠕虫”一词最早出现在约翰·布伦纳(John Brunner)的1975年的小说《冲击波骑士》(The Shockwave Rider)中。在小说中,尼古拉斯·哈夫林格(Nicholas Haflinger)设计并引爆了一种收集数据的蠕虫,用来报复运营全国电子信息网络的人。1982年,Shock和Hupp根据《冲击波骑士》书中的概念提出了“蠕虫”程序的思想。他们论证了“蠕虫”程序不一定是有害的,可作为Ethernet网络设备的一种诊断工具。他可以像普通蠕虫一样传播,但不会造成伤害。1988年11月2日,康奈尔大学计算机科学研究生罗伯特·塔潘·莫里斯(Robert Tappan Morris)释放了一种病毒,该病毒后来被称为“莫里斯蠕虫”(Morris worm)。他中断了大量计算机网络,预估为所有联网计算机的十分之一。莫里斯蠕虫促使了CERT协调中心和Phage邮件列表的诞生,而莫里斯本人也成为第一个根据1986年《计算机欺诈和滥用法案》而受审并被定罪的人。
3、与病毒的区别
蠕虫是病毒的一种形式,是一种能够自我复制的病毒,但是它与人们广泛认识的网络病毒并不完全相同。
网络病毒(也称计算机病毒)是编制者在计算机程序中插入的一组计算机指令或程序代码。通过修改或删除数据来破坏计算机功能或者数据,影响计算机的使用。病毒把自身附加于程序或者文件,从一台计算机传播到另一台计算机,当运行程序或者打开文件时,才会感染计算机。在没有人为操作的情况下,病毒无法传播,必须通过外部操作来触发他。例如,病毒可以嵌入到电子表格中。如果用户下载电子表格,计算机不一定会被感染。一旦用户打开电子表格,病毒就会被激活。
欲详细了解计算机病毒介绍的请进入。
网络蠕虫(也称计算机病毒)的设计类似于病毒,但是他不会修改程序,且他的传播方式与病毒不同。蠕虫利用文件或者信息在系统中传播的特点,在没有人为操作的情况下,自动在计算机之间传播。受害者不需要打开任何文件,甚至不需要点击任何东西,该蠕虫就可以运行,并将自身传播到其它计算机。计算机向外发送的不是一个蠕虫病毒,而是数百数千个它的副本。随着蠕虫的传播,过多的系统内存或者网络带宽被消耗,导致服务器或者计算机停止响应。下表1-3给出了蠕虫与病毒的关键异同。
表 1-3:蠕虫与病毒的关键异同
二、蠕虫的工作机理
1、类型及其传播方式
网络蠕虫主要通过寻找系统漏洞进行传播。它常驻于一台或多台计算机中,扫描其它计算机是否感染同种蠕虫,如果没有,就会感染该计算机。它可以通过不同的方式从一台计算机传播到另一台计算机,例如电子邮件附件、恶意链接或局域网等。以下是蠕虫最常见的分类和传播方式:电子邮件蠕虫;文件共享蠕虫;加密蠕虫;即时通讯蠕虫。具体详见下表2-1的介绍。
表 2-1:蠕虫常见的分类和传播方式
2、工作机理
网络蠕虫工作流程主要分为扫描、攻击、传染、现场处理等几个阶段,如下图2-2所示。具体运作依赖于以下三个核心模块的协同:传播模块、隐藏模块和目的功能模块,具体详见下表2-2-1的描述。下表2-2-2描述了其具体的工作机制。
图 2-2:网络蠕虫工作流程示意图
表 2-2-1:网络蠕虫的运作模块
表 2-2-2:网络蠕虫的具体工作机制
3、著名的网络蠕虫攻击事件
网络蠕虫自互联网诞生以来就已经存在。有些蠕虫导致了大量的网络和业务中断,造成严重影响。这里列举一些近年来著名的蠕虫攻击事件,它们是:莫里斯蠕虫(Morris)、我爱你蠕虫(ILOVEYOU)、震网蠕虫(Stuxnet)和WannaCry(Wanna Decryptor),具体介绍详见下表2-3。下附录是对我爱你蠕虫(ILOVEYOU)攻击事件的更具体的介绍,它被广泛认为是网络安全史上的一个标志性事件,以供通信人了解。
表 2-3:著名的网络蠕虫攻击事件简介
附录:我爱你蠕虫(ILOVEYOU)攻击事件具体的介绍
三、网络蠕虫的防治
1、基本要求
网络蠕虫是恶意程序的一种,因此网络蠕虫的防治应按恶意程序的防治。采用国家标准和国家法规确立的防治技术要求,及建立的监测与处置制机制,实施综合防治。
欲详细了解恶意程序防治要求的请进入。
2、采用入侵防御系统
应在网络或主机上安装使用入侵防御系统(IPS)。入侵防御系统(IPS)是现代纵深防御体系中承上启下的关键一环,它是一种能够实时检测、分析并主动阻断网络中恶意行为和安全策略违规行为的硬件或软件系统,对网络蠕虫的防御具有显著的作用。
欲详细了解入侵防御系统(IPS)的请进入。
3、使用符合国家许可的安全防护产品或设备
为了网络安全,国家对于在网络上使用的安全防护设备或产品实施许可制度,并建立了网络关键设备和网络安全专用产品目录,符合目录的安全防护设备及产品方可进网使用。如华为近年来推出的新一代专业AI防火墙产品,符合目录要求,包括HiSecEngine USG6000E系列产品和HiSecEngine USG6000F系列产品,支持入侵防御(IPS)相关功能,通过入侵防御这种安全机制,分析网络流量,检测出蠕虫、木马等攻击行为,并通过一定的响应方式对其进行实时终止,有效保证内网服务器和用户设备免受威胁的侵害。华为AI防火墙具有的优势可详见下表3-3。
表 3-3:华为AI防火墙防御网络蠕虫等入侵所具有的优势
欲详细了解网络关键设备和网络安全专用产品目录要求的请进入。
另外,对于个人电脑(包括手机终端等),预防蠕虫的关键在于计算机系统的防御性能以及个人安全意识,建议采取如下表3-n所列的手段防御蠕虫攻击。
表3-n:个人电脑防御蠕虫攻击的手段
现代蠕虫技术日益复杂,常具备多平台攻击、超快速传播、多态变形以躲避查杀,甚至利用零日漏洞发动攻击等特点。因此人们应加强网络蠕虫的综合防御。
欲进一步了解僵尸网络介绍的请进入。
