在過去的一年中，很少有安全事件像Duqu惡意軟件爆發(fā)那樣贏得媒體的注意。Duqu木馬、亦或稱為W32.Duqu，正如公眾所知，它會創(chuàng)建帶有“~DQ”前綴的文件。它于去年10月14日首次被發(fā)現(xiàn)，研究員們稱該木馬驚人地類似于危險的Stuxnet木馬，盡管Duqu木馬被設(shè)計專門用來收集情報數(shù)據(jù)，而不是像Stuxnet木馬那樣搞垮核反應(yīng)堆。

不是所有的惡意軟件都會得到同Stuxnet木馬一樣的注意，因為很明顯對于大多數(shù)企業(yè)和消費者來說，還有更多逍遙法外的危險惡意軟件。然而，這不意味著你能忽視Duqu木馬。本文將審視Duqu木馬，包括它的能力以及企業(yè)應(yīng)該如何應(yīng)對像Duqu木馬這樣的潛在威脅。

是否應(yīng)該重視Duqu木馬？

Duqu木馬已經(jīng)引起信息安全媒體極大的注意，部分是因為它與Stuxnet的聯(lián)系。最近的報告顯示，Duqu木馬是由Stuxnet同一個組織編寫的，但是它可能不是直接基于Stuxnet代碼編寫的。盡管在安全研究員們中對這點仍然保持著爭議，但看起來Duqu的開發(fā)者確實從Stuxnet木馬學(xué)到了很多東西。

Duqu木馬是相對復(fù)雜的惡意軟件樣本，但是它的許多能力在當(dāng)代的惡意軟件來看是“標(biāo)準(zhǔn)套餐”。Duqu木馬屬于遠(yuǎn)程訪問類型木馬，被設(shè)計用于從特定的組織竊取信息，并且使用許多與其它惡意軟件一樣的技術(shù)。在最新的賽門鐵克關(guān)于Duqu木馬報告中，最值得注意的方面是它的“命令和控制（command-and-control）”服務(wù)器是如何轉(zhuǎn)發(fā)連接給其它服務(wù)器、以及點對點間的“命令和控制”組件，盡管為“命令和控制”使用點對點技術(shù)不是新的技術(shù)。Duqu木馬對大多數(shù)企業(yè)造成的威脅級別是相對低的，因為只在少數(shù)的企業(yè)中偵測到它的存在。有高安全環(huán)境要求和高價值資產(chǎn)的企業(yè)要更加關(guān)注，因為他們可能成為Duqu木馬攻擊的目標(biāo)。Duqu和Stuxnet木馬可能用于未來的攻擊，但是攻擊者更可能會使用Duqu木馬作為額外的學(xué)習(xí)練習(xí)，以避免在未來使用任何Duqu的核心代碼編寫木馬時被偵測到。

企業(yè)應(yīng)對Duqu木馬

一般企業(yè)應(yīng)對Duqu木馬時，應(yīng)該評估系統(tǒng)是否能夠偵測并預(yù)防該木馬，并將它作為公司計算機(jī)安全事故響應(yīng)團(tuán)隊（computersecurityincidentresponseteam，CSIRT）的樣例。隨著惡意軟件攻擊變得更加先進(jìn)，以及使用傳統(tǒng)的安全工具更加難以偵測，評估是否使用企業(yè)目前的信息安全工具、或者如何使用它們來偵測像Duqu木馬這樣的惡意軟件能有助于確保對未來的事故有備無患。

使用現(xiàn)有的安全技術(shù)能夠偵測Duqu木馬許多的指紋，如“命令和控制”的網(wǎng)絡(luò)通信。如果企業(yè)保留來自IDS的網(wǎng)絡(luò)IP流數(shù)據(jù)，可以使用它來搜索離開網(wǎng)絡(luò)的數(shù)據(jù)，或是尋找與“命令和控制”服務(wù)器的網(wǎng)絡(luò)連接。DLP工具也能夠偵測離開網(wǎng)絡(luò)的數(shù)據(jù)。企業(yè)甚至可能使用原本用于系統(tǒng)管理的工具來每天為系統(tǒng)上的所有文件建立目錄，然后進(jìn)行差異分析（也可以是每天）來尋找未經(jīng)授權(quán)的修改，或是使用文件完整性監(jiān)控工具來辨識惡意文件被寫入系統(tǒng)。通過使用只允許核準(zhǔn)代碼運行的白名單應(yīng)用技術(shù)來也可能預(yù)防Duqu木馬的感染。

使用Duqu木馬作為CSIRT練習(xí)的樣本也讓組織對類似的有目標(biāo)的攻擊有所準(zhǔn)備。如果在事故響應(yīng)過程中發(fā)現(xiàn)不足，可以調(diào)研新的系統(tǒng)或是數(shù)據(jù)來源，以確保企業(yè)能偵測到該惡意軟件。大多數(shù)關(guān)于Duqu木馬的報告表明，在被偵測到之前，該木馬已經(jīng)滲透入網(wǎng)絡(luò)達(dá)數(shù)月之久。該木馬被偵測之時，它瞄準(zhǔn)的數(shù)據(jù)很可能已經(jīng)被竊取。因為Duqu木馬利用微軟Windows系統(tǒng)的零日漏洞、并且是定制化的惡意軟件，許多防病毒或是防惡意軟件產(chǎn)品無法偵測到它，這也是此類目標(biāo)性攻擊的常見問題。因此對于企業(yè)來說，保護(hù)自身防范由于像Duqu木馬類似攻擊所導(dǎo)致的破壞或損失的最佳做法是，迅速的偵測以及事故響應(yīng)策略。這不是說迅速的偵測和良好的事故響應(yīng)策略是唯一需要的安全控制，但是高級的惡意軟件、或是資源豐富的攻擊者極可能繞過任何預(yù)防性的安全控制措施。

從Duqu惡意軟件中學(xué)到的教訓(xùn)

盡管有更多更加危險的惡意軟件逍遙法外，但我們?nèi)阅軓腄uqu木馬上學(xué)到一些具有價值的教訓(xùn)。企業(yè)應(yīng)該實施必要的控制措施來確保他們的終端免于可能面對的攻擊，很少的企業(yè)會成為Duqu木馬的目標(biāo)，但是大多數(shù)的組織最終會被迫對其它類似的目標(biāo)性攻擊作出響應(yīng)，即使僅是釣魚式攻擊。

隨著高級的攻擊技術(shù)更加地商品化，就像摩爾定律描述的那樣，更為廣泛的攻擊者社區(qū)在采用這些攻擊技術(shù)。一定會有更多我們從沒聽說過的高級攻擊，所以關(guān)于高級攻擊的更多公布的數(shù)據(jù)，只是幫助改進(jìn)企業(yè)如何確保他們系統(tǒng)的安全。隨著不斷復(fù)雜、易于使用的漏洞工具包出現(xiàn)，企業(yè)應(yīng)該在他們的環(huán)境內(nèi)實施合理的安全控制，同時恰當(dāng)?shù)乇Ｗo(hù)具有價值的個人資產(chǎn)。

【編輯推薦】

1. 卡巴斯基專題揭秘Duqu木馬如何盜空一切
2. 特權(quán)用戶非受控訪問對企業(yè)計算機(jī)安全構(gòu)成威脅
3. 最新互聯(lián)網(wǎng)安全報告稱 目標(biāo)性攻擊增多黑客從中獲利