「红色警戒二号」(code red 2)来势汹汹,自8/1至今,已造成全球60 %网络系统受骇,精诚「信息安全监控中心」根据SecurityFocus.com 提供的数据,统计过去一周以来(8/3-8/10)全球已发生100万次以上的「红色警戒二号」攻击行为,过去24小时(8/10下午2点止)全球已发生至少20万起Code Red攻击行为,台湾名列受灾排行榜第四名,仅次于美国、韩国、中国大陆,而且灾情仍持续扩大当中。
精诚的「信息安全监控中心」安全顾问林宗瀛表示,很多企业以为「红色警戒二号」是病毒入侵,其实答案只对了一半,「红色警戒二号」散布的方式的确类似病毒感染的方式,不过仔细分析其内容,可发现「红色警戒二号」是一种自动的黑客攻击手法,不但有周期性,而且有特殊的行为模式;根据sans.org提供的研究数据显示,「红色警戒二号」每个月1号到19号,会自动扫瞄主机、刺探主机是否有漏洞,如果有就会自动将恶意代码植入受害主机,被植入的主机会自动再执行扫瞄漏洞、植入程序的动作,就像感冒一样不断的互相传染,目前已造全球60%网络系统受骇。
用户要特别注意的是,每个月20号到27号是「红色警戒二号」发作期,只要是被植入「红色警戒二号」恶意代码的主机,将针对特定IP进行「阻断服务攻击」持续发出大量封包、消耗网络带宽,而且一天当中,中午到午夜是攻击的高峰期,此时,用户会明显感受到网络使用速度愈来愈慢,严重时甚至无法上网。
有趣的是,「红色警戒二号」也有休战期,那就是每个月29号到31号,而且最易遭受攻击的系统是Windows 2000 server中文版,以及Windows 2000 Professional中文版,所以大陆与台湾才会成受骇列排行榜的第三名与第四名,林宗瀛特别呼吁用户,在20号前应尽速做好自我检测与防范措施,避免灾情扩大。
针对「红色警戒二号」的肆虐,精诚的「信息安全监控中心」建议企业执行下列三项紧急措施,首先第一个步骤,是尽快安装微软 Windows NT/2000与Cisco 600系列的DSL Router最新的修正档,第二步骤,是检视防火墙设定是否针对http port 80作存取控管,结合防毒墙于网关端扫描过滤红色警戒恶性程序,第三个步骤是,建议使用记录分析工具与入侵检测系统搭配,即可详细追踪记录所有主机、网络的使用状况是否异常,以自我检查是否已遭到「红色警戒二号」侵袭!
由于已遭到「红色警戒二号」攻击的主机,复原的时间至少需要一周,而且如果企业的主机愈多,所需的复原时间更长,为避免灾情持续扩大,精诚的「信息安全监控中心」特别提供相关的解决方案,如果企业目前无法判定是否遭到攻击,或是已受攻击的企业需要复原服务,欢迎洽询精诚的「信息安全监控中心」23686171#6995(来救救我)!