近日一些國家已經逮捕了幾個Zeus攻擊團伙，但Zeus犯罪軟件工具包的簡易用法及其有效性意味著這注定是難以根除的禍患，新的團伙將會迅速出現替代已經被逮捕的團伙。

Zeus并不是第一個犯罪軟件工具包，但是由于該工具包非常強大且易于使用，它迅速成為犯罪團伙首選的攻擊工具。McAfee實驗室近日強調了某特定版本的Zeus中的一些高級功能可以用來制造自定義Zeus僵尸程序，包括ZeuS Builder應用程序等。

雖然犯罪團伙可以很容易地創造新的Zeus變種

來逃避防病毒檢測，但企業還是可以部署一些常見的防御系統來幫助保護他們的網絡和關鍵數據。同時，還有幾個免費的資源可以用來幫助打擊這種先進的惡意軟件威脅，因為依賴于商品安全產品來提供保護并不足夠。

絕對不可以忽視的事實是縱深防御技術是有效打擊Zeus及類似惡意軟件的良好基礎，包括安裝在所有工作站的防惡意軟件解決方案、提供內容過濾和防惡意軟件檢測的web和電子郵件代理服務器、針對所有用戶的最小特權訪問(例如，隨意網上沖浪或者電腦使用不能作為管理員)、入侵檢測或者預防系統(IDS/IPS)以及網絡內和互聯網關處適當的防火墻部署。

簡單依賴于商品安全解決方案的問題在于，惡意軟件變化非常迅速，安全公司根本不可能保持他們產品的最新狀態。當然也有例外，例如Damballa和FireEye的產品，但是它們都是打破了商品模式的先進解決方案，在中小型環境并不常見。

IT部門需要調整來應對目前面對的威脅，并且積極參與打擊這種威脅，而不是簡單地依賴于防病毒解決方案或者防火墻。預防當然是檢測之后的首選方案，但預防和檢測在打擊Zeus和類似現代惡意軟件方面都非常重要。

因為很多公司(無論大小)都依賴于他們桌面系統和電子郵件網關防病毒軟件所提供的錯誤安全狀態信息，認為他們現有的解決方案能夠保護他們。而事實上，他們如果能夠利用一些免費的資源和并不昂貴的資源來彌補現有解決方案的不足將達到事半功倍的效果。

并不是每個企業都能夠部署web和電子郵件過濾設備，可能也不愿意將安全功能外包給云服務供應商。對于這種情況，一種可行的辦法就是限制來自內部客戶端的DNS查詢只對受企業管理的DNS服務器，并且部署DNS黑名單。

這個方法的第一部分能夠通過將受感染客戶端的DNS設置更改為攻擊者控制的惡意DNS服務器來阻止惡意軟件。而第二部分則可以使用追蹤惡意域名和定期更新以解決當前危機的黑名單。

與DNS黑名單列表類似，阻止已知惡意IP還可以幫助部署分層防御技術來阻止已經被證實存在Zeus惡意軟件和漏洞的IP地址。除了已知Zeus域名的DNS，Zeus Tracker還可以提供可以使用你的防火墻、一個Squid代理服務器、Linux系統下的iptables以及Windows主機文件進行阻止的IP列表。

需要注意的是，黑名單并不是完美的，也可能會出現錯誤信息，但是部署黑名單作為額外的安全保護層要比阻止非惡意網站更有價值。

在文章的最后，大家需要認識到，沒有任何一個安全解決方案可以解決所有的問題。IT部門需要采取分層的縱深防御方法以及積極的態度來利用免費的和并不昂貴的解決方案來全面阻止惡意軟件威脅。

并不存在一勞永逸的工具來打擊Zeus和現代惡意軟件，企業需要從資金損失和數據泄漏事故的慘痛教訓中學習到，應該積極主動打擊現在的惡意軟件威脅。

【編輯推薦】

1. 銀行特洛伊木馬年度回顧之Zeus木馬
2. 淺談如何防御Zeus僵尸網絡
3. 對黑客利用PDF功能散布Zeus僵尸網絡的介紹
4. 剖析ZeuS木馬如何安全躲避僵尸網絡嗅偵