企業如何檢測并移除僵尸網絡
“當談到僵尸網絡問題時,網絡的規模是很關鍵的問題,”網絡安全公司Check Point公司端點解決方案主管Scott Emo表示,這是因為僵尸網絡規模越大,僵尸網絡操作者破壞的“機器人士兵”就越多。
殺毒軟件公司Sophos的經理Richard Wang評論說,Sophos“能夠根據垃圾郵件、惡意軟件回調更新和指示的網站、以及已知惡意軟件庫追蹤僵尸網絡的活動,但是,我們無法追蹤個體僵尸網絡。”
Richard繼續說,“例如Zeus(又名Zbot)僵尸網絡,雖然很多報告都說Zeus是很大的威脅,但他們沒有解釋它不是一個單一的僵尸網絡,而是一個允許攻擊者安裝類似且獨立僵尸網絡的工具包。”
殺毒軟件公司Kaspersky Lab的反病毒專家Timothy Armstrong表示,很難準備列出最具威脅性的前五名僵尸網絡。Armstrong接著說,“雖然存在Conficker(也被Kaspersky成為Kido)這樣廣泛傳播的僵尸網絡,這個僵尸網絡很可能造成嚴重破壞,但到目前為止還未出現重大破壞事故,與其他規模較小的僵尸網絡相比。Zeus是目前非常具有威脅性的僵尸網絡,在電子郵件附件中存在大量惡意軟件。”“Zeus不存在特定的僵尸網絡,最新的版本售價很高,而舊版本則可以免費獲取。每個攻擊者都可以根據自己的需求對Zeus進行配置,從而創造更多獨特的Zeus僵尸網絡。”
當然,我們還必須提到Koobface,開始時該僵尸網絡專門針對Facebook,后來發展為攻擊Twitter、Myspace和其他社交網絡。Kaspersky估計每天大約有50萬活躍的Koobface客戶端,。
最后,Armstrong表示,“另外還有TDSS威脅,這個工具包更新非常頻繁,以及竊取FTP驗證信息的Gumblar,它還能通過服務器層進行自我傳播。Rustock的最新更新提供TLS(透明層安全)加密以隱藏其垃圾郵件行為。”
不過,Fortinet公司的網絡安全與威脅研究項目經理Derek Manky表示,最大最嚴重的五個僵尸網絡包括以下:
1. Pushdo/Cutwail: Pushdo本身是一個“裝載機”,這意味著它只是下載其他組件來安裝在系統中。在商業模式中,Pushdo可以為客戶定制安裝特定惡意軟件,根據每個安裝來收取費用。Pushdo通常總是下載Cutwail,一個垃圾郵件引擎和webwail。Pushdo使用Cutwail來自我復制垃圾郵件,從而不斷擴大其僵尸網絡,也可通過Cutwail租出垃圾郵件服務
2. Bredolab:Bredolab也是很流行的裝載機。除了發送垃圾郵件外,Bredolab還專注于下載“Scareware”(假殺毒軟件)以及“Ransomware”產品。其主要商業模式是使用這些產品感染很多系統,希望受害者購買Scareware和Ransomware產品,然后獲取傭金利潤。
3. Zeus:Zeus作為犯罪軟件工具包出售,這意味著它不僅僅是一個大型僵尸網絡,而是很多獨立僵尸網絡。任何人都可以利用這個工具來創建自己的僵尸網絡,而且很受歡迎。最近我們檢測到很多Zeus變種。Zeus通常被配置為竊取信息,包括銀行憑證信息和返回給攻擊者的報告。
4. Waledac: 與Cutwail一樣,Waledac也可以利用其下載的定制模版發送垃圾郵件。由于它是基于模版的,Waledac也為垃圾郵件服務收費。與Pushdo不一樣,Waledac在點到點網絡操作,所以很難被攻破。它還可以加載惡意軟件,代理HTTP內容來通過僵尸網絡傳播惡意網站。
5. Conficker:這個僵尸網絡可能不需要過多介紹。雖然歷史悠久,但Conficker從來沒有真正導致過重大事故。但這并不意味著不存在威脅,該僵尸網絡仍然很活躍。
打破僵尸網絡
正如上文所述,現在網路中有大量自動化敵人正虎視眈眈地準備攻擊你的電腦并使之成為犯罪奴隸,那么我們該怎么做呢?
對于不懂技術的人來說,只需要替換windows操作系統就可以避免僵尸網絡的威脅。在Linux或者Mac操作系統還沒有出現重大的僵尸網絡,這只是windows面臨的問題。即使你知道如何進行正確的操作來阻止惡意軟件:及時進行windows系統和應用程序更新,保持殺毒程序更新等等,你仍然無法確保windows操作系統的安全性。
你堅持使用Windows還有什么需要做?
Manky強烈建議,不要觸碰來自公司或者家庭網絡外部的文件,除非你知道這些文件來自可信任來源。他表示,“當心文件中毒,PDF、XLS和DOC文件經常被利用來感染僵尸網絡。”
特別是Adobe PDF,經常被僵尸網絡用戶和惡意軟件編寫者濫用。更糟糕的是,很少有人會更新PDF閱讀器,即使出現越來越多的PDF攻擊。雖然更新軟件并不能完全確保安全性,但是不更新軟件絕對會增強受到攻擊的可能。
M86安全公司的技術策略副總裁Bradley Anstis表示,“事實證明,企業保護公司計算機首先需要采取的步驟是取消用戶管理員訪問權限。很多惡意軟件安裝都是因為系統未修復以及用戶運行未打補丁的瀏覽器,例如IE。”而用戶應該使用允許白名單JavaScript的瀏覽器,Firefox插件NoScript可以幫助解決這個問題,能夠幫助確保系統免受惡意JavaScript的攻擊。
當然,NoScript和類似程序的缺點就是很多網站依賴于JavaScript來顯示,如果設置讓正確網頁使用JavaScript顯示會很耗時間,并且,總是存在廣告網站感染Javascript腳本的問題,這意味著,即使是信任的網頁也可能成為感染源。
然后,正如Richard所說,“在企業設置web過濾可以幫助防止僵尸網絡進入企業網絡,網站是惡意軟件傳播的主要途徑,所以阻止對某些已知惡意軟件源的訪問和掃描網絡內容是任何安全設置的必要步驟。”
好的防火墻也可以幫助提高安全性。雖然防火墻不能夠阻止僵尸網絡感染,但它可以阻止僵尸網絡控制者使用的網絡端口指向和發動僵尸網絡軟件。
雖然僵尸網絡曾使用相對模糊的端口如IRC(互聯網中繼聊天)的TCP 6660-6669,這很容易進行阻止。但現在,僵尸網絡已經發展為使用通用端口(如HTTP80和HTTPS443)且有通用協議,使用它們自己的算法進行加密以逃避檢測,還建立了點到點網絡來加強僵尸網絡。
總結來說,沒有簡單的辦法阻止僵尸網絡。我們能做的就是采取常用的安全措施,確保防火墻的開啟,隨時監測網絡流量日志中任何不正常的活動。
【編輯推薦】
