企業(yè)如何檢測并移除僵尸網(wǎng)絡(luò)
“當(dāng)談到僵尸網(wǎng)絡(luò)問題時,網(wǎng)絡(luò)的規(guī)模是很關(guān)鍵的問題,”網(wǎng)絡(luò)安全公司Check Point公司端點解決方案主管Scott Emo表示,這是因為僵尸網(wǎng)絡(luò)規(guī)模越大,僵尸網(wǎng)絡(luò)操作者破壞的“機器人士兵”就越多。
殺毒軟件公司Sophos的經(jīng)理Richard Wang評論說,Sophos“能夠根據(jù)垃圾郵件、惡意軟件回調(diào)更新和指示的網(wǎng)站、以及已知惡意軟件庫追蹤僵尸網(wǎng)絡(luò)的活動,但是,我們無法追蹤個體僵尸網(wǎng)絡(luò)。”
Richard繼續(xù)說,“例如Zeus(又名Zbot)僵尸網(wǎng)絡(luò),雖然很多報告都說Zeus是很大的威脅,但他們沒有解釋它不是一個單一的僵尸網(wǎng)絡(luò),而是一個允許攻擊者安裝類似且獨立僵尸網(wǎng)絡(luò)的工具包。”
殺毒軟件公司Kaspersky Lab的反病毒專家Timothy Armstrong表示,很難準(zhǔn)備列出最具威脅性的前五名僵尸網(wǎng)絡(luò)。Armstrong接著說,“雖然存在Conficker(也被Kaspersky成為Kido)這樣廣泛傳播的僵尸網(wǎng)絡(luò),這個僵尸網(wǎng)絡(luò)很可能造成嚴重破壞,但到目前為止還未出現(xiàn)重大破壞事故,與其他規(guī)模較小的僵尸網(wǎng)絡(luò)相比。Zeus是目前非常具有威脅性的僵尸網(wǎng)絡(luò),在電子郵件附件中存在大量惡意軟件。”“Zeus不存在特定的僵尸網(wǎng)絡(luò),最新的版本售價很高,而舊版本則可以免費獲取。每個攻擊者都可以根據(jù)自己的需求對Zeus進行配置,從而創(chuàng)造更多獨特的Zeus僵尸網(wǎng)絡(luò)。”
當(dāng)然,我們還必須提到Koobface,開始時該僵尸網(wǎng)絡(luò)專門針對Facebook,后來發(fā)展為攻擊Twitter、Myspace和其他社交網(wǎng)絡(luò)。Kaspersky估計每天大約有50萬活躍的Koobface客戶端,。
最后,Armstrong表示,“另外還有TDSS威脅,這個工具包更新非常頻繁,以及竊取FTP驗證信息的Gumblar,它還能通過服務(wù)器層進行自我傳播。Rustock的最新更新提供TLS(透明層安全)加密以隱藏其垃圾郵件行為。”
不過,F(xiàn)ortinet公司的網(wǎng)絡(luò)安全與威脅研究項目經(jīng)理Derek Manky表示,最大最嚴重的五個僵尸網(wǎng)絡(luò)包括以下:
1. Pushdo/Cutwail: Pushdo本身是一個“裝載機”,這意味著它只是下載其他組件來安裝在系統(tǒng)中。在商業(yè)模式中,Pushdo可以為客戶定制安裝特定惡意軟件,根據(jù)每個安裝來收取費用。Pushdo通常總是下載Cutwail,一個垃圾郵件引擎和webwail。Pushdo使用Cutwail來自我復(fù)制垃圾郵件,從而不斷擴大其僵尸網(wǎng)絡(luò),也可通過Cutwail租出垃圾郵件服務(wù)
2. Bredolab:Bredolab也是很流行的裝載機。除了發(fā)送垃圾郵件外,Bredolab還專注于下載“Scareware”(假殺毒軟件)以及“Ransomware”產(chǎn)品。其主要商業(yè)模式是使用這些產(chǎn)品感染很多系統(tǒng),希望受害者購買Scareware和Ransomware產(chǎn)品,然后獲取傭金利潤。
3. Zeus:Zeus作為犯罪軟件工具包出售,這意味著它不僅僅是一個大型僵尸網(wǎng)絡(luò),而是很多獨立僵尸網(wǎng)絡(luò)。任何人都可以利用這個工具來創(chuàng)建自己的僵尸網(wǎng)絡(luò),而且很受歡迎。最近我們檢測到很多Zeus變種。Zeus通常被配置為竊取信息,包括銀行憑證信息和返回給攻擊者的報告。
4. Waledac: 與Cutwail一樣,Waledac也可以利用其下載的定制模版發(fā)送垃圾郵件。由于它是基于模版的,Waledac也為垃圾郵件服務(wù)收費。與Pushdo不一樣,Waledac在點到點網(wǎng)絡(luò)操作,所以很難被攻破。它還可以加載惡意軟件,代理HTTP內(nèi)容來通過僵尸網(wǎng)絡(luò)傳播惡意網(wǎng)站。
5. Conficker:這個僵尸網(wǎng)絡(luò)可能不需要過多介紹。雖然歷史悠久,但Conficker從來沒有真正導(dǎo)致過重大事故。但這并不意味著不存在威脅,該僵尸網(wǎng)絡(luò)仍然很活躍。
打破僵尸網(wǎng)絡(luò)
正如上文所述,現(xiàn)在網(wǎng)路中有大量自動化敵人正虎視眈眈地準(zhǔn)備攻擊你的電腦并使之成為犯罪奴隸,那么我們該怎么做呢?
對于不懂技術(shù)的人來說,只需要替換windows操作系統(tǒng)就可以避免僵尸網(wǎng)絡(luò)的威脅。在Linux或者Mac操作系統(tǒng)還沒有出現(xiàn)重大的僵尸網(wǎng)絡(luò),這只是windows面臨的問題。即使你知道如何進行正確的操作來阻止惡意軟件:及時進行windows系統(tǒng)和應(yīng)用程序更新,保持殺毒程序更新等等,你仍然無法確保windows操作系統(tǒng)的安全性。
你堅持使用Windows還有什么需要做?
Manky強烈建議,不要觸碰來自公司或者家庭網(wǎng)絡(luò)外部的文件,除非你知道這些文件來自可信任來源。他表示,“當(dāng)心文件中毒,PDF、XLS和DOC文件經(jīng)常被利用來感染僵尸網(wǎng)絡(luò)。”
特別是Adobe PDF,經(jīng)常被僵尸網(wǎng)絡(luò)用戶和惡意軟件編寫者濫用。更糟糕的是,很少有人會更新PDF閱讀器,即使出現(xiàn)越來越多的PDF攻擊。雖然更新軟件并不能完全確保安全性,但是不更新軟件絕對會增強受到攻擊的可能。
M86安全公司的技術(shù)策略副總裁Bradley Anstis表示,“事實證明,企業(yè)保護公司計算機首先需要采取的步驟是取消用戶管理員訪問權(quán)限。很多惡意軟件安裝都是因為系統(tǒng)未修復(fù)以及用戶運行未打補丁的瀏覽器,例如IE。”而用戶應(yīng)該使用允許白名單JavaScript的瀏覽器,F(xiàn)irefox插件NoScript可以幫助解決這個問題,能夠幫助確保系統(tǒng)免受惡意JavaScript的攻擊。
當(dāng)然,NoScript和類似程序的缺點就是很多網(wǎng)站依賴于JavaScript來顯示,如果設(shè)置讓正確網(wǎng)頁使用JavaScript顯示會很耗時間,并且,總是存在廣告網(wǎng)站感染Javascript腳本的問題,這意味著,即使是信任的網(wǎng)頁也可能成為感染源。
然后,正如Richard所說,“在企業(yè)設(shè)置web過濾可以幫助防止僵尸網(wǎng)絡(luò)進入企業(yè)網(wǎng)絡(luò),網(wǎng)站是惡意軟件傳播的主要途徑,所以阻止對某些已知惡意軟件源的訪問和掃描網(wǎng)絡(luò)內(nèi)容是任何安全設(shè)置的必要步驟。”
好的防火墻也可以幫助提高安全性。雖然防火墻不能夠阻止僵尸網(wǎng)絡(luò)感染,但它可以阻止僵尸網(wǎng)絡(luò)控制者使用的網(wǎng)絡(luò)端口指向和發(fā)動僵尸網(wǎng)絡(luò)軟件。
雖然僵尸網(wǎng)絡(luò)曾使用相對模糊的端口如IRC(互聯(lián)網(wǎng)中繼聊天)的TCP 6660-6669,這很容易進行阻止。但現(xiàn)在,僵尸網(wǎng)絡(luò)已經(jīng)發(fā)展為使用通用端口(如HTTP80和HTTPS443)且有通用協(xié)議,使用它們自己的算法進行加密以逃避檢測,還建立了點到點網(wǎng)絡(luò)來加強僵尸網(wǎng)絡(luò)。
總結(jié)來說,沒有簡單的辦法阻止僵尸網(wǎng)絡(luò)。我們能做的就是采取常用的安全措施,確保防火墻的開啟,隨時監(jiān)測網(wǎng)絡(luò)流量日志中任何不正常的活動。
【編輯推薦】
