僵尸網絡的清除:檢測僵尸網絡感染并防止其再次滲透
普通的信息安全職業人員可能沒有意識到,但是,僵尸網絡已經無可爭議地成為企業需要面對的頭號安全問題。為什么?企業信息安全人員需要花時間處理的大多數日常安全問題——受感染的終端、垃圾郵件泛濫以及數據泄漏或丟失——從某種程度上講,這些都是由僵尸網絡引起的。
在本文中,我們首先簡單地討論一下僵尸網絡是如何工作的,然后重點介紹企業應該采取哪些措施來識別和阻止僵尸網絡活動。
多年來,僵尸網絡給許多消費者和企業都帶來了危害,而且僵尸網絡攻擊沒有放緩的跡象。在某種程度上,這是因為僵尸網絡一直在改進其功能,并變得越來越容易使用。
有些人可能不太熟悉僵尸網絡是如何工作的,簡而言之是這樣的,首先攻擊者會通過電子郵件中、網站上的惡意連接,或者通過社交網絡平臺想方設法在大量的目標計算機上安裝惡意軟件。這種惡意軟件可以讓攻擊者在計算機主人不知道的情況下,給被破解的計算機發送指令,做他們想要做的任何事情。通常情況下,數千臺受感染的計算機匯集成一個僵尸網絡或者僵尸計算機軍隊,這些電腦的綜合計算能力可以讓攻擊者進行各種惡意活動。
盡管業界通過消除它們的命令和控制結構來“打擊”僵尸網絡,且消費者和企業也在努力改進他們的安全狀況,但是僵尸網絡和惡意軟件已經進化,會攻擊新的領域來達到他們的非法目的。過去僵尸網絡使用直接以網絡為基礎的攻擊,以Windows系統為目標,現在它們開始攻擊應用程序了。更糟糕的是,成功的應用程序攻擊通常只需要很少的用戶活動,比如訪問網頁或者打開一個惡意附件等。
在企業環境中識別和清除僵尸網絡
如果企業中有幾臺機器被僵尸網絡感染,會出現明顯的跡象,其中包括異常的網絡活動或客戶端系統的不穩定。異常網絡活動表現為一臺計算機連接大量的外部系統,但是攻擊者已經意識到這種情況很快就會引起安全人員的注意,所以他們試圖減少主機數量或者朝外發送的數據量,并使用HTTP,HTTPS或者其他常用的協議來弱化監測。客戶端系統的不穩定表現包括運行速度慢等現象,然而這也不那么常見了,因為終端用戶一旦報告速度慢,人們就會調查本地系統。企業可以結合網絡分析和相關性報告以及本地系統的日志或者調查,來監測網絡中的僵尸網絡感染。其中一個監測方法是檢查本地系統,把網絡中通往外部的網絡連接與本地工具報告的網絡連接相比較。凡是出現在網絡上、但是沒有出現在本地系統報告中的內容都可能是命令和控制通道或者你的環境發出的數據。
對于一個大型分布式的網絡來說,最有效的檢測方法就是使用專用網絡設備,訪問所有的互聯網流量,以識別可疑數據包。這種流量看起來像標準的網絡數據,但是當大量數據朝外部發送時,尤其是從多個系統發送時,就需要有一種方法來鑒別這種流量以及產生這些流量的系統。我們還可以使用已知的僵尸網絡控制器來掃描與IP地址相關的連接,識別可疑的網絡流量。
一旦企業識別出受感染的系統,就必須集中精力清除僵尸網絡,因為,如上所述,僵尸網絡可以進行各種惡意活動,包括攻擊內部系統或者進行欺詐。標準的建議是格式化并重裝受感染的系統,這個方法總是刪除惡意軟件最有效的方法。本地系統重裝以后,還應該把僵尸網絡從網絡中移除,以防止進一步的感染。與受感染的本地系統相連接的遠程系統也應該斷開,以防止其他可能受到感染的本地系統接觸遠程系統。企業不要把數據存儲在本地系統上,而且要使用標準化的系統構建過程以及自動化軟件分布功能,以盡量減少停工時間。
另外一個選擇是利用備份恢復系統,讓系統回到生產狀態。你可以嘗試使用殺毒軟件或者定制工具手動移除惡意軟件或者僵尸軟件,比如,殺毒軟件廠商提供的或者內部開發的工具,這種方法可能適合那些沒有權限接觸敏感數據的系統,但是這會導致系統再次被惡意軟件或者病毒感染。一般來說,格式化并重裝受感染的系統是更好的辦法。
企業還可以做什么?
采取一些基本的安全控制措施很有必要,可以防御大多數的僵尸網絡攻擊。如果這些基本控制措施不能遏制這種威脅,那就要考慮采取某些高級控制措施。基本的安全控制措施包括:
客戶端殺毒軟件——每臺客戶端計算機應該安裝最新的殺毒軟件并定期更新,這個過程最好是自動的,或者采取類似的控制措施。
操作系統強化——每臺客戶端計算機應該采取基本的強化措施,比如刪除不必要的軟件或者服務等。
防火墻——每臺客戶端計算機都應該受到基于主機的防火墻或者網絡防火墻的保護,可能的話兩種防火墻都要使用,進行真正的深度防護。
為員工設置適當的權限級別——進行標準活動時,每個用戶應該只用普通的低級權限登錄。
適當的補丁管理——每臺客戶端計算機都應該運行更新過的、打過補丁的軟件,以阻止那些利用未打補丁的軟件的攻擊。
如果你的企業應用程序需要禁用上述基本安全控制,比如有的自定義應用程序需要使用管理員級別權限,你可能還需要采取某些高級控制措施。這些高級控制措施包括:
專用殺毒軟件或者反僵尸網絡網絡設備——比如Palo Alto Networks公司的防火墻、Actiance公司的Unified Security Gateways(一體化安全網關)、免費的BotHunter工具以及其他工具,可以用來識別并阻止整個網絡的僵尸網絡,不管本地系統有沒有控制措施,為系統提供額外的保護層。
沙箱——這些工具把最常用和風險最高的應用程序,比如網絡瀏覽器,PDF閱讀器或者多媒體播放器等與系統的其他部分隔離,保護它們不受攻擊。
白名單——這種技術嚴格限制系統能夠做哪些事情,因此可以防止某些惡意軟件感染系統。
瀏覽器安全工具——這些工具,比如Firefox的NoScript插件、Trusteer公司的Rapport以及其他工具等,還可以保護瀏覽器不被利用。
反釣魚工具——這些工具可以配合其他工具使用,以阻止具有針對性的電子郵件攻擊。另外,許多這種工具可以把它們的日志發送到安全信息與事件管理(SIEM)系統,以協助識別某些高級攻擊。然而,所有這些控制都應該進行評估,因為它們的管理和復雜性會對網絡產生潛在的影響。
然而,如果你發現了這樣一種情況:基本的安全控制措施沒有充分保護好一個受感染的系統(比如,大地零點接著一個僵尸感染),那么就應該做一個深入的調查,確定哪些控制失敗了,為什么失敗,以便決定是否需要采取更多的高級控制措施。這個調查應該將網絡流量與本地報告的網絡連接相比較,或者使用取證調查技術,以確定在感染過程中哪些文件被創建、刪除或者修改。
結論
盡管研究人員在去年采取措施打擊了某些僵尸網絡,但是它們已經進化并繼續危害更多的消費者和企業。企業應該采取基本的安全控制措施,從而盡量減小僵尸網絡攻擊和其他攻擊的影響,當基本的安全措施失敗時,應該使用或者購買高級控制措施。被僵尸網絡感染之后,企業應該進行調查,確認哪些控制措施出現了問題,需要作出什么改變,以便在將來抑制這些攻擊。企業應該盡快識別并刪除僵尸網絡,盡量減少這些攻擊對其他系統和網上金融交易的危害。
【編輯推薦】
