近日一些國(guó)家已經(jīng)逮捕了幾個(gè)Zeus攻擊團(tuán)伙，但Zeus犯罪軟件工具包的簡(jiǎn)易用法及其有效性意味著這注定是難以根除的禍患，新的團(tuán)伙將會(huì)迅速出現(xiàn)替代已經(jīng)被逮捕的團(tuán)伙。

Zeus并不是第一個(gè)犯罪軟件工具包，但是由于該工具包非常強(qiáng)大且易于使用，它迅速成為犯罪團(tuán)伙首選的攻擊工具。McAfee實(shí)驗(yàn)室近日強(qiáng)調(diào)了某特定版本的Zeus中的一些高級(jí)功能可以用來(lái)制造自定義Zeus僵尸程序，包括ZeuS Builder應(yīng)用程序等。

雖然犯罪團(tuán)伙可以很容易地創(chuàng)造新的Zeus變種

來(lái)逃避防病毒檢測(cè)，但企業(yè)還是可以部署一些常見(jiàn)的防御系統(tǒng)來(lái)幫助保護(hù)他們的網(wǎng)絡(luò)和關(guān)鍵數(shù)據(jù)。同時(shí)，還有幾個(gè)免費(fèi)的資源可以用來(lái)幫助打擊這種先進(jìn)的惡意軟件威脅，因?yàn)橐蕾囉谏唐钒踩a(chǎn)品來(lái)提供保護(hù)并不足夠。

絕對(duì)不可以忽視的事實(shí)是縱深防御技術(shù)是有效打擊Zeus及類似惡意軟件的良好基礎(chǔ)，包括安裝在所有工作站的防惡意軟件解決方案、提供內(nèi)容過(guò)濾和防惡意軟件檢測(cè)的web和電子郵件代理服務(wù)器、針對(duì)所有用戶的最小特權(quán)訪問(wèn)(例如，隨意網(wǎng)上沖浪或者電腦使用不能作為管理員)、入侵檢測(cè)或者預(yù)防系統(tǒng)(IDS/IPS)以及網(wǎng)絡(luò)內(nèi)和互聯(lián)網(wǎng)關(guān)處適當(dāng)?shù)姆阑饓Σ渴稹?/p>

簡(jiǎn)單依賴于商品安全解決方案的問(wèn)題在于，惡意軟件變化非常迅速，安全公司根本不可能保持他們產(chǎn)品的最新?tīng)顟B(tài)。當(dāng)然也有例外，例如Damballa和FireEye的產(chǎn)品，但是它們都是打破了商品模式的先進(jìn)解決方案，在中小型環(huán)境并不常見(jiàn)。

IT部門需要調(diào)整來(lái)應(yīng)對(duì)目前面對(duì)的威脅，并且積極參與打擊這種威脅，而不是簡(jiǎn)單地依賴于防病毒解決方案或者防火墻。預(yù)防當(dāng)然是檢測(cè)之后的首選方案，但預(yù)防和檢測(cè)在打擊Zeus和類似現(xiàn)代惡意軟件方面都非常重要。

因?yàn)楹芏喙?無(wú)論大小)都依賴于他們桌面系統(tǒng)和電子郵件網(wǎng)關(guān)防病毒軟件所提供的錯(cuò)誤安全狀態(tài)信息，認(rèn)為他們現(xiàn)有的解決方案能夠保護(hù)他們。而事實(shí)上，他們?nèi)绻軌蚶靡恍┟赓M(fèi)的資源和并不昂貴的資源來(lái)彌補(bǔ)現(xiàn)有解決方案的不足將達(dá)到事半功倍的效果。

并不是每個(gè)企業(yè)都能夠部署web和電子郵件過(guò)濾設(shè)備，可能也不愿意將安全功能外包給云服務(wù)供應(yīng)商。對(duì)于這種情況，一種可行的辦法就是限制來(lái)自內(nèi)部客戶端的DNS查詢只對(duì)受企業(yè)管理的DNS服務(wù)器，并且部署DNS黑名單。

這個(gè)方法的第一部分能夠通過(guò)將受感染客戶端的DNS設(shè)置更改為攻擊者控制的惡意DNS服務(wù)器來(lái)阻止惡意軟件。而第二部分則可以使用追蹤惡意域名和定期更新以解決當(dāng)前危機(jī)的黑名單。

與DNS黑名單列表類似，阻止已知惡意IP還可以幫助部署分層防御技術(shù)來(lái)阻止已經(jīng)被證實(shí)存在Zeus惡意軟件和漏洞的IP地址。除了已知Zeus域名的DNS，Zeus Tracker還可以提供可以使用你的防火墻、一個(gè)Squid代理服務(wù)器、Linux系統(tǒng)下的iptables以及Windows主機(jī)文件進(jìn)行阻止的IP列表。

需要注意的是，黑名單并不是完美的，也可能會(huì)出現(xiàn)錯(cuò)誤信息，但是部署黑名單作為額外的安全保護(hù)層要比阻止非惡意網(wǎng)站更有價(jià)值。

在文章的最后，大家需要認(rèn)識(shí)到，沒(méi)有任何一個(gè)安全解決方案可以解決所有的問(wèn)題。IT部門需要采取分層的縱深防御方法以及積極的態(tài)度來(lái)利用免費(fèi)的和并不昂貴的解決方案來(lái)全面阻止惡意軟件威脅。

并不存在一勞永逸的工具來(lái)打擊Zeus和現(xiàn)代惡意軟件，企業(yè)需要從資金損失和數(shù)據(jù)泄漏事故的慘痛教訓(xùn)中學(xué)習(xí)到，應(yīng)該積極主動(dòng)打擊現(xiàn)在的惡意軟件威脅。

【編輯推薦】

1. 銀行特洛伊木馬年度回顧之Zeus木馬
2. 淺談如何防御Zeus僵尸網(wǎng)絡(luò)
3. 對(duì)黑客利用PDF功能散布Zeus僵尸網(wǎng)絡(luò)的介紹
4. 剖析ZeuS木馬如何安全躲避僵尸網(wǎng)絡(luò)嗅偵