僵尸網(wǎng)絡(luò)的清除:檢測(cè)僵尸網(wǎng)絡(luò)感染并防止其再次滲透
普通的信息安全職業(yè)人員可能沒(méi)有意識(shí)到,但是,僵尸網(wǎng)絡(luò)已經(jīng)無(wú)可爭(zhēng)議地成為企業(yè)需要面對(duì)的頭號(hào)安全問(wèn)題。為什么?企業(yè)信息安全人員需要花時(shí)間處理的大多數(shù)日常安全問(wèn)題——受感染的終端、垃圾郵件泛濫以及數(shù)據(jù)泄漏或丟失——從某種程度上講,這些都是由僵尸網(wǎng)絡(luò)引起的。
在本文中,我們首先簡(jiǎn)單地討論一下僵尸網(wǎng)絡(luò)是如何工作的,然后重點(diǎn)介紹企業(yè)應(yīng)該采取哪些措施來(lái)識(shí)別和阻止僵尸網(wǎng)絡(luò)活動(dòng)。
多年來(lái),僵尸網(wǎng)絡(luò)給許多消費(fèi)者和企業(yè)都帶來(lái)了危害,而且僵尸網(wǎng)絡(luò)攻擊沒(méi)有放緩的跡象。在某種程度上,這是因?yàn)榻┦W(wǎng)絡(luò)一直在改進(jìn)其功能,并變得越來(lái)越容易使用。
有些人可能不太熟悉僵尸網(wǎng)絡(luò)是如何工作的,簡(jiǎn)而言之是這樣的,首先攻擊者會(huì)通過(guò)電子郵件中、網(wǎng)站上的惡意連接,或者通過(guò)社交網(wǎng)絡(luò)平臺(tái)想方設(shè)法在大量的目標(biāo)計(jì)算機(jī)上安裝惡意軟件。這種惡意軟件可以讓攻擊者在計(jì)算機(jī)主人不知道的情況下,給被破解的計(jì)算機(jī)發(fā)送指令,做他們想要做的任何事情。通常情況下,數(shù)千臺(tái)受感染的計(jì)算機(jī)匯集成一個(gè)僵尸網(wǎng)絡(luò)或者僵尸計(jì)算機(jī)軍隊(duì),這些電腦的綜合計(jì)算能力可以讓攻擊者進(jìn)行各種惡意活動(dòng)。
盡管業(yè)界通過(guò)消除它們的命令和控制結(jié)構(gòu)來(lái)“打擊”僵尸網(wǎng)絡(luò),且消費(fèi)者和企業(yè)也在努力改進(jìn)他們的安全狀況,但是僵尸網(wǎng)絡(luò)和惡意軟件已經(jīng)進(jìn)化,會(huì)攻擊新的領(lǐng)域來(lái)達(dá)到他們的非法目的。過(guò)去僵尸網(wǎng)絡(luò)使用直接以網(wǎng)絡(luò)為基礎(chǔ)的攻擊,以Windows系統(tǒng)為目標(biāo),現(xiàn)在它們開(kāi)始攻擊應(yīng)用程序了。更糟糕的是,成功的應(yīng)用程序攻擊通常只需要很少的用戶(hù)活動(dòng),比如訪問(wèn)網(wǎng)頁(yè)或者打開(kāi)一個(gè)惡意附件等。
在企業(yè)環(huán)境中識(shí)別和清除僵尸網(wǎng)絡(luò)
如果企業(yè)中有幾臺(tái)機(jī)器被僵尸網(wǎng)絡(luò)感染,會(huì)出現(xiàn)明顯的跡象,其中包括異常的網(wǎng)絡(luò)活動(dòng)或客戶(hù)端系統(tǒng)的不穩(wěn)定。異常網(wǎng)絡(luò)活動(dòng)表現(xiàn)為一臺(tái)計(jì)算機(jī)連接大量的外部系統(tǒng),但是攻擊者已經(jīng)意識(shí)到這種情況很快就會(huì)引起安全人員的注意,所以他們?cè)噲D減少主機(jī)數(shù)量或者朝外發(fā)送的數(shù)據(jù)量,并使用HTTP,HTTPS或者其他常用的協(xié)議來(lái)弱化監(jiān)測(cè)。客戶(hù)端系統(tǒng)的不穩(wěn)定表現(xiàn)包括運(yùn)行速度慢等現(xiàn)象,然而這也不那么常見(jiàn)了,因?yàn)榻K端用戶(hù)一旦報(bào)告速度慢,人們就會(huì)調(diào)查本地系統(tǒng)。企業(yè)可以結(jié)合網(wǎng)絡(luò)分析和相關(guān)性報(bào)告以及本地系統(tǒng)的日志或者調(diào)查,來(lái)監(jiān)測(cè)網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)感染。其中一個(gè)監(jiān)測(cè)方法是檢查本地系統(tǒng),把網(wǎng)絡(luò)中通往外部的網(wǎng)絡(luò)連接與本地工具報(bào)告的網(wǎng)絡(luò)連接相比較。凡是出現(xiàn)在網(wǎng)絡(luò)上、但是沒(méi)有出現(xiàn)在本地系統(tǒng)報(bào)告中的內(nèi)容都可能是命令和控制通道或者你的環(huán)境發(fā)出的數(shù)據(jù)。
對(duì)于一個(gè)大型分布式的網(wǎng)絡(luò)來(lái)說(shuō),最有效的檢測(cè)方法就是使用專(zhuān)用網(wǎng)絡(luò)設(shè)備,訪問(wèn)所有的互聯(lián)網(wǎng)流量,以識(shí)別可疑數(shù)據(jù)包。這種流量看起來(lái)像標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù),但是當(dāng)大量數(shù)據(jù)朝外部發(fā)送時(shí),尤其是從多個(gè)系統(tǒng)發(fā)送時(shí),就需要有一種方法來(lái)鑒別這種流量以及產(chǎn)生這些流量的系統(tǒng)。我們還可以使用已知的僵尸網(wǎng)絡(luò)控制器來(lái)掃描與IP地址相關(guān)的連接,識(shí)別可疑的網(wǎng)絡(luò)流量。
一旦企業(yè)識(shí)別出受感染的系統(tǒng),就必須集中精力清除僵尸網(wǎng)絡(luò),因?yàn)椋缟纤觯┦W(wǎng)絡(luò)可以進(jìn)行各種惡意活動(dòng),包括攻擊內(nèi)部系統(tǒng)或者進(jìn)行欺詐。標(biāo)準(zhǔn)的建議是格式化并重裝受感染的系統(tǒng),這個(gè)方法總是刪除惡意軟件最有效的方法。本地系統(tǒng)重裝以后,還應(yīng)該把僵尸網(wǎng)絡(luò)從網(wǎng)絡(luò)中移除,以防止進(jìn)一步的感染。與受感染的本地系統(tǒng)相連接的遠(yuǎn)程系統(tǒng)也應(yīng)該斷開(kāi),以防止其他可能受到感染的本地系統(tǒng)接觸遠(yuǎn)程系統(tǒng)。企業(yè)不要把數(shù)據(jù)存儲(chǔ)在本地系統(tǒng)上,而且要使用標(biāo)準(zhǔn)化的系統(tǒng)構(gòu)建過(guò)程以及自動(dòng)化軟件分布功能,以盡量減少停工時(shí)間。
另外一個(gè)選擇是利用備份恢復(fù)系統(tǒng),讓系統(tǒng)回到生產(chǎn)狀態(tài)。你可以嘗試使用殺毒軟件或者定制工具手動(dòng)移除惡意軟件或者僵尸軟件,比如,殺毒軟件廠商提供的或者內(nèi)部開(kāi)發(fā)的工具,這種方法可能適合那些沒(méi)有權(quán)限接觸敏感數(shù)據(jù)的系統(tǒng),但是這會(huì)導(dǎo)致系統(tǒng)再次被惡意軟件或者病毒感染。一般來(lái)說(shuō),格式化并重裝受感染的系統(tǒng)是更好的辦法。
企業(yè)還可以做什么?
采取一些基本的安全控制措施很有必要,可以防御大多數(shù)的僵尸網(wǎng)絡(luò)攻擊。如果這些基本控制措施不能遏制這種威脅,那就要考慮采取某些高級(jí)控制措施。基本的安全控制措施包括:
客戶(hù)端殺毒軟件——每臺(tái)客戶(hù)端計(jì)算機(jī)應(yīng)該安裝最新的殺毒軟件并定期更新,這個(gè)過(guò)程最好是自動(dòng)的,或者采取類(lèi)似的控制措施。
操作系統(tǒng)強(qiáng)化——每臺(tái)客戶(hù)端計(jì)算機(jī)應(yīng)該采取基本的強(qiáng)化措施,比如刪除不必要的軟件或者服務(wù)等。
防火墻——每臺(tái)客戶(hù)端計(jì)算機(jī)都應(yīng)該受到基于主機(jī)的防火墻或者網(wǎng)絡(luò)防火墻的保護(hù),可能的話兩種防火墻都要使用,進(jìn)行真正的深度防護(hù)。
為員工設(shè)置適當(dāng)?shù)臋?quán)限級(jí)別——進(jìn)行標(biāo)準(zhǔn)活動(dòng)時(shí),每個(gè)用戶(hù)應(yīng)該只用普通的低級(jí)權(quán)限登錄。
適當(dāng)?shù)难a(bǔ)丁管理——每臺(tái)客戶(hù)端計(jì)算機(jī)都應(yīng)該運(yùn)行更新過(guò)的、打過(guò)補(bǔ)丁的軟件,以阻止那些利用未打補(bǔ)丁的軟件的攻擊。
如果你的企業(yè)應(yīng)用程序需要禁用上述基本安全控制,比如有的自定義應(yīng)用程序需要使用管理員級(jí)別權(quán)限,你可能還需要采取某些高級(jí)控制措施。這些高級(jí)控制措施包括:
專(zhuān)用殺毒軟件或者反僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備——比如Palo Alto Networks公司的防火墻、Actiance公司的Unified Security Gateways(一體化安全網(wǎng)關(guān))、免費(fèi)的BotHunter工具以及其他工具,可以用來(lái)識(shí)別并阻止整個(gè)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò),不管本地系統(tǒng)有沒(méi)有控制措施,為系統(tǒng)提供額外的保護(hù)層。
沙箱——這些工具把最常用和風(fēng)險(xiǎn)最高的應(yīng)用程序,比如網(wǎng)絡(luò)瀏覽器,PDF閱讀器或者多媒體播放器等與系統(tǒng)的其他部分隔離,保護(hù)它們不受攻擊。
白名單——這種技術(shù)嚴(yán)格限制系統(tǒng)能夠做哪些事情,因此可以防止某些惡意軟件感染系統(tǒng)。
瀏覽器安全工具——這些工具,比如Firefox的NoScript插件、Trusteer公司的Rapport以及其他工具等,還可以保護(hù)瀏覽器不被利用。
反釣魚(yú)工具——這些工具可以配合其他工具使用,以阻止具有針對(duì)性的電子郵件攻擊。另外,許多這種工具可以把它們的日志發(fā)送到安全信息與事件管理(SIEM)系統(tǒng),以協(xié)助識(shí)別某些高級(jí)攻擊。然而,所有這些控制都應(yīng)該進(jìn)行評(píng)估,因?yàn)樗鼈兊墓芾砗蛷?fù)雜性會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生潛在的影響。
然而,如果你發(fā)現(xiàn)了這樣一種情況:基本的安全控制措施沒(méi)有充分保護(hù)好一個(gè)受感染的系統(tǒng)(比如,大地零點(diǎn)接著一個(gè)僵尸感染),那么就應(yīng)該做一個(gè)深入的調(diào)查,確定哪些控制失敗了,為什么失敗,以便決定是否需要采取更多的高級(jí)控制措施。這個(gè)調(diào)查應(yīng)該將網(wǎng)絡(luò)流量與本地報(bào)告的網(wǎng)絡(luò)連接相比較,或者使用取證調(diào)查技術(shù),以確定在感染過(guò)程中哪些文件被創(chuàng)建、刪除或者修改。
結(jié)論
盡管研究人員在去年采取措施打擊了某些僵尸網(wǎng)絡(luò),但是它們已經(jīng)進(jìn)化并繼續(xù)危害更多的消費(fèi)者和企業(yè)。企業(yè)應(yīng)該采取基本的安全控制措施,從而盡量減小僵尸網(wǎng)絡(luò)攻擊和其他攻擊的影響,當(dāng)基本的安全措施失敗時(shí),應(yīng)該使用或者購(gòu)買(mǎi)高級(jí)控制措施。被僵尸網(wǎng)絡(luò)感染之后,企業(yè)應(yīng)該進(jìn)行調(diào)查,確認(rèn)哪些控制措施出現(xiàn)了問(wèn)題,需要作出什么改變,以便在將來(lái)抑制這些攻擊。企業(yè)應(yīng)該盡快識(shí)別并刪除僵尸網(wǎng)絡(luò),盡量減少這些攻擊對(duì)其他系統(tǒng)和網(wǎng)上金融交易的危害。
【編輯推薦】
