四個原因讓僵尸網絡難以對抗
僵尸網絡無休止的肆虐幾乎已經是司空見慣,人們只是在思考那些壞家伙是如何在不被用戶察覺的情況下,輕而易舉的就入侵了用戶的計算機。
長期以來僵尸網絡是利用計算機中的各種配置,部分是對控制機制進行偽裝。隨著表面看似用戶友好卻并不安全的應用軟件繼續在計算機系統中使用,特別是社交網絡程序存在某些非技術漏洞,可供黑客利用的安全漏洞的數量呈增長趨勢。而且根據監控僵尸網絡活動的僵尸網絡獵人的報告,這些黑客在建立靈活體系架構方面也變得愈發狡猾。
以下是與僵尸網絡作斗爭更加艱難的四個原因,以及我們應該采取的措施:
1.避開監控操作
最近大部分僵尸網絡的活動都與Conficker蠕蟲病毒有關。研究學者稱大型僵尸網絡大部分都避開了媒體的監控,這是這些壞家伙得逞的原因。
位于美國舊金山海灣地區的安全廠商FireEye Inc公司的高級安全研究專家Alex Lanstein表示,這是因為這些病毒的始作俑者就是想要制造新聞,讓人知道他們的計算機被感染了。舉例來說,Cimbot是一種用來建立僵尸網絡的木馬病毒,目前它占到世界上兜售垃圾郵件的15%。
亞特蘭大的安全廠商Purewire Inc公司的首席研究專家保羅.羅伊發現了僵尸網絡逃脫網絡監控進行操作的幾個其他案例。在他參與的Project ZeroPack項目中,他發現自動混淆技術能允許這些壞家伙以服務器端多形態的表象去活動。對于有規律的木馬變種,傳統的防病毒廠商要跟上正確的AV簽名就愈加的困難。Waledac僵尸網絡就是利用這種方法取得的成功。
同時羅伊還表示,黑客們從集中型的命令與控制僵尸網絡結構遷移到以更加對等為基礎的體系架構。這是很不幸的,因為對于集中型更強的結構,至少安全研究專家還有一個大的目標可以瞄準。而P2P的方式意味著目標變的更加細化而很難被逐一消滅。
羅伊還強調說:""Conficker.C, Storm和Waledec病毒都已經從集中型體系架構轉向了P2P類型的體系架構"。
2.木馬病毒可以自我防護
Cryptography Research的總裁兼首席科學家Paul Kocher表示,安全專家在試圖追蹤和關閉僵尸網絡的過程中所遭遇的問題是用來構建僵尸網絡的新型蠕蟲正在使用強大的密碼系統來保護他們的命令和控制中心。
Kocher表示"你可能習慣去追蹤僵尸網絡如何獲取命令,將假冒的命令傳播出來,這么做變得越來越困難了"。
更加新型的僵尸網絡也更擅長扼殺計算機的安全控制。
"我們還發現在構建僵尸網絡的蠕蟲病毒中采用了更加狡猾的方式來逃避偵測"Kocher表示"從復制到復制這些蠕蟲病毒有了更加多樣化的改變。這就讓反病毒專家在設計簽名來阻斷這些病毒的過程變得更加困難"。
3.常用應用軟件超出了IT的控制范圍
研究專家們還發現對僵尸網絡抵御能力最弱的是人們用在公司計算機上的應用軟件,這些應用軟件經常超出了IT的控制范圍。他們使用這些應用軟件到處傳遞各種敏感數據,包括醫療記錄,財務數據等等。
安全廠商Palo Alto Networks最近發布的2009年度春季應用軟件使用和風險報告分析了超過60個大型企業的企業級應用軟件的使用和流量,這些企業的類型涵蓋金融服務,制造業,衛生保健,政府機構,零售和教育部門。從2008年8月到12月的評估描述了將近90萬用戶的行為。研究成果包括:
在494種應用軟件中有超過一半(57%)的應用軟件會繞過安全體系架構--會使用端到端,端口80或端口443。這些應用程序的某些代表包括微軟的SharePoint, Microsoft Groove和一系列軟件升級服務(Microsoft Update, Apple Update, Adobe Update),以及Pandora和Yoics這樣的最終用戶應用軟件。
不被企業IT認可(CGIProxy, PHProxy, Hopster)的代理服務器和遠程桌面系統訪問通道應用軟件(LogMeIn!, RDP, PCAnywhere)也在調研中被發現,比例分別為81%和95%。調研中還發現了諸如SH, TOR, GPass, Gbridge, and SwIPe這樣的加密通道應用軟件。
P2P結構所占的比例為92%,BitTorrent和Gnutella是所發現的最常用的21種變種中的一份子。以瀏覽器為基礎的文件共享中,YouSendit就占到了76%。MediaFire是22種變種中最常見的。
據報告稱,總的來說企業在防火墻,入侵檢測系統,代理和URL過濾產品上的支出每年超過了60億美元。這些產品都號稱能執行應用程序控制。分析顯示100%的企業都設置了防火墻,87%的企業還配置了1種或多種防火墻輔助工具(代理,入侵檢測系統,URL過濾)--但是仍然不能對通過網絡的應用軟件流量執行有效控制。
因此木馬病毒的制造者能相對容易的利用應用軟件,包括建立僵尸網絡。
4.社交網絡擴大了攻擊面
Facebook, Twitter和Myspace這樣的社交網絡的使用率日漸增高,他們很容易被黑客利用,企業IT部門也很難對其進行監控。
舉例來說,今年2月在華盛頓特區舉行的ShmooCon安全大會上,研究專家Nathan Hamiel和Shawn Moyer表示,在社交網絡上用戶可以輕而易舉的上傳和交換圖片,文本,音樂和其他內容,黑客就是利用這些網站的自然屬性來輕松發動攻擊。
在針對這些程序的攻擊中,黑客利用社交網絡欺騙用戶點擊開放式鏈接,然后將木馬植入用戶的計算機,用戶的計算機就這樣成為這些黑客僵尸網絡中的肉雞。
對用戶的培訓仍然是關鍵的防御手段
亞特蘭大的安全廠商Damballa, Inc.研究副總裁Gunter Ollmann表示,近年來企業IT部門在偵測制破壞性后果的不知名木馬病毒方面取得了不錯的效果。近兩年,IT部門配置了大范圍的偵測和防御技術,每個防御層都能更好的抵御某種攻擊。
但Ollmann也強調說"風險越常見,保護措施效果就會越好,但是這些壞家伙也非常清楚這些防御措施的工作原理,因此他們使用的手段也更加狡猾,比如目標型社交工程攻擊。使用入侵檢測系統和AV代理在發現已知木馬上占到很高比例"。
Ollmann和其他專家都提供了同樣的建議:由于攻擊者在利用社交工程伎倆上如此的成功,他們以虛假的大標題來誘騙用戶帶你及惡意鏈接--對此最好的防御方式之一就是對這些用戶進行培訓。
專家稱,調研顯示有防范意識的用戶每次上線時,被誘騙下載制造僵尸代碼的可能性就會比較小。
【編輯推薦】
