警惕僵尸網絡 看好企業網絡后門
僵尸網絡(BotNet)是企業機構目前面臨的最大網絡安全威脅之一。僵尸網絡可以從任意地點大量系統(從數千個到一百萬個系統)發動攻擊,犯罪分子利用它控制計算機并執行非法的破壞性活動,例如竊取數據、非法接入未授權網絡資源、發起拒絕服務(DoS)攻擊或散發垃圾郵件。
僵尸網絡無孔不入,它并不是靜態的惡意軟件,在本質上是動態的,可以根據犯罪分子的指令快速改變形式。僵尸工具包的網絡售價只有500美元,而通過它發起的攻擊會使企業損失數百萬美元,其危害可見一斑。
Bot病毒感染的巨大影響
預計所有與互聯網連接的個人計算機中,多達四分之一的計算機可能已成為僵尸網絡的一部分。2011年,有報告稱TDL僵尸網絡感染了450多萬臺計算機,每天約感染100,000個不重復的地址。另外,在整個行業中,有將近一半的IT安全專業人員發現惡意軟件的攻擊在迅速增加。
這種爆炸式增長源于以下核心原因:
惡意軟件已成為一個龐大的產業
犯罪分子不再是彼此孤立的非專業人員,他們隸屬于具有完善的組織結構的團體,與恐怖組織類似,涉及金錢、動機和目標。他們可以部署相當多的情報人員、時間和資源,以便執行可導致企業損失數百萬美元的僵尸網絡。
信息已成為黑客的金礦。但是,不只有財務信息是值得竊取的有價值數據。我們發現,越來越多的黑客開始尋找更多的一般客戶信息,而對特定賬單或信用卡數據的關注度有所下降。對黑客來說,此類信息非常有利可圖,通過它們可以在以后實施定制攻擊或散發垃圾郵件,提高成功的可能性。例如,通過電子郵件向500,000人發送購買某些產品的廣告。即使1000人中只有1人訂購了產品,那么就已經有了500個新訂單。現在,設想一下垃圾郵件發送者可以利用7000萬個電子郵件地址獲得巨額潛在利潤。
有一個例子可以說明僵尸網絡的威力,"Rustock"僵尸網絡在被美國聯邦執法機構于2011年3月取締之前,其僵尸病毒大軍每天可生成多達140億封垃圾郵件。
威脅的復雜性不斷增加
企業機構正在面臨一個由各種類型的惡意軟件組成的"動物園",從而導致廣泛的安全威脅,包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和僵尸網絡等。這些都是由高級持續性威脅(APT)的犯罪分子使用的工具,其中把個人或企業機構成為特定的攻擊目標。另外,僵尸網絡從本質上具有多種形態,可以模仿正常的應用程序和流量模式,使防病毒軟件等基于簽名的解決方案難以單獨防御僵尸網絡。因此,企業需要采取多層次的方法有效抵御Bot威脅。
多種攻擊途徑
有多個進入點可以突破企業現有的安全防線,包括基于瀏覽器的漏洞、移動電話、惡意附件和可移動的介質等。另外,Web2.0應用的爆炸式增長和社交網絡被作為業務工具使用,也給黑客提供了大量機會,從而可以引誘受害者點擊惡意鏈接或在合法網站上運行的"惡意廣告"。
僵尸網絡的演進過程
如果查看僵尸網絡威脅的演進過程,就會發現名為"GMBot"的第一個Bot并不是惡意的。事實上,它在20世紀80年代末期被創建,目的是模擬互聯網中繼聊天(IRC)會話中的真實用戶。但是,大約在1999年,Bot開始出于有害的目的而被設計出來。從那以后,僵尸病毒變得越來越復雜,在某些情況下被作為產品而商業化。例如,2006年的ZeusBot,其原始售價為幾千美元。在2011年中期,Zeus和SpyEye僵尸網絡包的源代碼被泄露,使這些強大的僵尸網絡創建工具幾乎可以被想要建立其自己的僵尸網絡的任何人利用。
CheckPoint軟件技術有限公司中國區技術經理劉剛表示:"目前,僵尸網絡主要用作進入企業網絡的后門。一旦進入,黑客會十分謹慎地操作,在其被檢測出之前,它會在防御系統內部竊取盡可能多的信息。然而,因為僵尸病毒非常隱蔽,所以許多企業無法在其計算機受到感染時察覺出來,對于僵尸網絡創建的威脅,安全團隊往往缺乏適當的觀察。"
未來的威脅
在未來幾年中,僵尸網絡將繼續演進,并結合社交工程、零日攻擊以及移動計算和社交網絡的廣泛應用。
過去,可以認為大多數常見的僵尸網絡都運行在Windows計算機中,而今天已不再是這種情況。Linux和Mac系統也不能幸免。新的僵尸網絡變體是跨平臺的,業界將出現更多的Apple、Android和其他基于移動技術的僵尸網絡,它們通過3G或Wi-Fi網絡與命令和控制服務器(C&C)通信。
一個令人不安的趨勢是社交網絡被用作指揮和控制中心。社交網絡和IM等基于Web的服務被用于向受害網絡中安裝的惡意程序發送指令,并使黑客可以發送加密的命令。通過使用Twitter等社交網絡,網絡犯罪分子可以快速建立店鋪并隨時將其關閉,沒有管理整個服務器而產生的費用。
利用社交工程技術
另外,黑客還利用新型社交工程黑客技術驅動僵尸網絡活動。通過社交網絡還可以更加容易地獲取關于個人的私人和工作信息,創建新的進入點來執行社交工程攻擊、僵尸網絡和APT。CheckPoint的調查顯示,社交工程攻擊的主要動機是經濟利益(51%),然后依次是訪問專有信息(46%)、獲得競爭優勢(40%)和復仇(14%),對于任何地點的企業來說,每次安全事件都會導致25,000至100,000美元的損失。
劉剛總結到:"目前,黑客可以輕松獲得成功執行僵尸網絡攻擊所需的工具和資源。每次新的防病毒軟件發布文件簽名,惡意軟件的編寫者都會創建新的惡意軟件變體。可喜的是,很多企業和安全專家已經開始關注這一問題。隨著數以千計的公司已經成為僵尸病毒和APT的目標,企業有責任阻止其擴散。CheckPoint推出防僵尸軟件刀片,就是為了幫助企業應對此等威脅。其專注于對僵尸防患于未然,使客戶在僵尸威脅到安全和業務流程前,就能夠迅速地發現并堵截它們。"
CheckPoint防僵尸軟件刀片它可以幫助客戶發現僵尸病毒,并通過阻止受感染主機和遠程操作員通訊來防止損害。防僵尸解決方案將集成至每個安全網關,以便針對惡意軟件威脅為企業提供多層僵尸防御,確保所有業務通信渠道都處于安全狀態。
【編輯推薦】
