由于許多有目的的犯罪都使用Zeus僵尸網絡來傳播惡意軟件，而且對于攻擊者來說，Zeus僵尸網絡很容易使用，這使得Zeus僵尸網絡已經成為歷史上最危險的僵尸網絡病毒之一。在本文中，我們將回顧一下Zeus是如何成為企業重點關注的安全難題，以及怎樣才能更好的防御它。

Zeus僵尸網絡是一個真正可以用來犯罪的工具包，它可以開發自定義的、難以檢測的木馬。由于這種木馬程序可以具備多種不同的能力，而且變化迅速，它在協助網絡罪犯感染本地系統、建立命令和控制基礎設施，以及設置釣魚攻擊網站方面非常的成功。有報道指出，企業攻擊者甚至以“軟件即服務”模型（SaaS）的方式來銷售Zeus，這讓攻擊者更加方便。

Zeus一直在用多種不同的方式發送它的攻擊代碼，而且根據Zeus的不同版本以及攻擊者的不同選擇，使用的漏洞利用程序（exploits）也會不同。Zeus已經被綁定在各種各樣的漏洞利用工具中，甚至被綁定在了rouge殺毒軟件上。因為Zeus是一個木馬，不會自我復制，所以它們往往通過其他惡意軟件上的piggy-baking技術進行安裝。最初，Internet Explorer漏洞利用程序是用來在系統上安裝惡意軟件的，但是最近已經發展到使用PDF的運行功能來感染本地系統了。

Zeus最初是用來獲取金融機構網頁認證碼的，但是它可以通過改變配置來尋找證券認證碼、401ks等類似內容，以及其他類型的網站，其中包括購物和社交網站等。簡而言之，這種木馬會偷竊這些認證碼，并且通過僵尸網絡把這些數據傳給木馬控制人員。攻擊者然后就會登錄被破解的賬戶并通過ACH交易從賬戶中轉移金錢。商業以及商業賬戶也容易受到同樣的攻擊，實際上這種賬戶更吸引攻擊者，因為這種賬戶里面的資金數目可能會很大。更糟糕的是，ACH交易不具備類似于信用卡交易欺詐的法律保護，這讓清除由Zeus感染引起的金融問題更加復雜化。

盡管Zeus僵尸網絡分析工作表明它的攻擊會更加先進而且難以監測，但還是有辦法可以去阻止Zeus僵尸網絡給你的企業帶來金融損害的。為了完全防止損失，我們考慮限制企業中高風險用戶電腦的功能，也就是限制那些能夠訪問敏感金融賬戶和賬戶數據的系統的功能。另一種策略就是使用專門的電腦來進行金融交易。這臺機器可以放在隔離的虛擬LAN上，也可以放在一個具有防火墻、并與其他網絡隔離的物理網絡中，就算是網絡上其他的用戶被感染了，專用電腦仍然很安全。我建議對這個電腦進行配置，電腦最好是Linux或者Mac OS X系統，以使它的唯一功能就是運行網頁瀏覽器進入你的銀行或者特定的金融網站，防止這臺電腦通過其他方式受感染。這個鎖定的電腦甚至可以是一個運行在安全虛擬基礎設施上的虛擬桌面，當你想進行交易的時候就可以進行遠程連接。

由于這個策略可能無法在所有的企業中實現，我們還有其他的最佳實踐做法來保護客戶不受Zeus的毒害，其中包括限制瀏覽器的網頁瀏覽功能，具體做法如下：運行瀏覽器唯一允許的白名單應用程序；禁止瀏覽器插件；禁止JavaScript或者 ActiveX控件；如果必要的話只允許必需的網站運行JavaScript或者特定的活動控件。有些金融機構在有些高風險用戶的電腦上安裝了額外的安全軟件，提供額外的網頁瀏覽器安全。我以前在專欄中提到，為了保護客戶不受惡意軟件攻擊，最重要的做法就是要運行最新版的網頁瀏覽器和其他的應用程序。

不幸的是，最實用和最劃算的策略可能是在一次Zeus攻擊發生后，你要盡快地做出反應，并且想辦法把損失降至最小。這方面的一個關鍵技術就是使用基于網絡的反惡意軟件設備或者其他網絡隔離措施。有些基于網絡的反惡意軟件設備專門處理僵尸網絡命令和控制交流協議，能夠阻止Zeus木馬程序與僵尸網絡交流。如果使用網絡隔離措施，已知的不良網站IP地址將不會被路由，或者會受到防火墻的攔截。你可以使用來自Zeus跟蹤網站的數據，但是這可能需要大量的管理工作。你甚至可以決定讓自己所在的企業不使用網上銀行或者進行網上金融交易，但是這樣做又過于極端。

隨著攻擊者擴展和改進Zeus工具包的功能，Zeus僵尸網絡的威脅范圍不斷擴大。我們不能再用陳舊的觀念看待問題了，Zeus的目標不再只是銀行業，現在它還會攻擊其他類型的網站和企業，危害范圍更加廣泛。由于Zeus的復雜性以及攻擊者可以通過它獲益，它在短期內滅亡似乎不太可能，但是有了上述策略，再加上交易認證技術的不斷進展，還是能夠限制Zeus的危害的。

【編輯推薦】

1. 新版ZeuS僵尸網絡給網銀安全敲響警鐘
2. 從發現Kneber僵尸網絡揭秘惡意軟件黑幫