Duqu惡意軟件忠告:企業(yè)應(yīng)該擔(dān)憂Duqu木馬嗎?
在過去的一年中,很少有安全事件像Duqu惡意軟件爆發(fā)那樣贏得媒體的注意。Duqu木馬、亦或稱為W32.Duqu,正如公眾所知,它會(huì)創(chuàng)建帶有“~DQ”前綴的文件。它于去年10月14日首次被發(fā)現(xiàn),研究員們稱該木馬驚人地類似于危險(xiǎn)的Stuxnet木馬,盡管Duqu木馬被設(shè)計(jì)專門用來(lái)收集情報(bào)數(shù)據(jù),而不是像Stuxnet木馬那樣搞垮核反應(yīng)堆。
不是所有的惡意軟件都會(huì)得到同Stuxnet木馬一樣的注意,因?yàn)楹苊黠@對(duì)于大多數(shù)企業(yè)和消費(fèi)者來(lái)說(shuō),還有更多逍遙法外的危險(xiǎn)惡意軟件。然而,這不意味著你能忽視Duqu木馬。本文將審視Duqu木馬,包括它的能力以及企業(yè)應(yīng)該如何應(yīng)對(duì)像Duqu木馬這樣的潛在威脅。
是否應(yīng)該重視Duqu木馬?
Duqu木馬已經(jīng)引起信息安全媒體極大的注意,部分是因?yàn)樗cStuxnet的聯(lián)系。最近的報(bào)告顯示,Duqu木馬是由Stuxnet同一個(gè)組織編寫的,但是它可能不是直接基于Stuxnet代碼編寫的。盡管在安全研究員們中對(duì)這點(diǎn)仍然保持著爭(zhēng)議,但看起來(lái)Duqu的開發(fā)者確實(shí)從Stuxnet木馬學(xué)到了很多東西。
Duqu木馬是相對(duì)復(fù)雜的惡意軟件樣本,但是它的許多能力在當(dāng)代的惡意軟件來(lái)看是“標(biāo)準(zhǔn)套餐”。Duqu木馬屬于遠(yuǎn)程訪問類型木馬,被設(shè)計(jì)用于從特定的組織竊取信息,并且使用許多與其它惡意軟件一樣的技術(shù)。在最新的賽門鐵克關(guān)于Duqu木馬報(bào)告中,最值得注意的方面是它的“命令和控制(command-and-control)”服務(wù)器是如何轉(zhuǎn)發(fā)連接給其它服務(wù)器、以及點(diǎn)對(duì)點(diǎn)間的“命令和控制”組件,盡管為 “命令和控制” 使用點(diǎn)對(duì)點(diǎn)技術(shù)不是新的技術(shù)。Duqu木馬對(duì)大多數(shù)企業(yè)造成的威脅級(jí)別是相對(duì)低的,因?yàn)橹辉谏贁?shù)的企業(yè)中偵測(cè)到它的存在。有高安全環(huán)境要求和高價(jià)值資產(chǎn)的企業(yè)要更加關(guān)注,因?yàn)樗麄兛赡艹蔀镈uqu木馬攻擊的目標(biāo)。Duqu和Stuxnet木馬可能用于未來(lái)的攻擊,但是攻擊者更可能會(huì)使用Duqu木馬作為額外的學(xué)習(xí)練習(xí),以避免在未來(lái)使用任何Duqu的核心代碼編寫木馬時(shí)被偵測(cè)到。
企業(yè)應(yīng)對(duì)Duqu木馬
一般企業(yè)應(yīng)對(duì)Duqu木馬時(shí),應(yīng)該評(píng)估系統(tǒng)是否能夠偵測(cè)并預(yù)防該木馬,并將它作為公司計(jì)算機(jī)安全事故響應(yīng)團(tuán)隊(duì)(computer security incident response team ,CSIRT)的樣例。隨著惡意軟件攻擊變得更加先進(jìn),以及使用傳統(tǒng)的安全工具更加難以偵測(cè),評(píng)估是否使用企業(yè)目前的信息安全工具、或者如何使用它們來(lái)偵測(cè)像Duqu木馬這樣的惡意軟件能有助于確保對(duì)未來(lái)的事故有備無(wú)患。
使用現(xiàn)有的安全技術(shù)能夠偵測(cè)Duqu木馬許多的指紋,如“命令和控制”的網(wǎng)絡(luò)通信。如果企業(yè)保留來(lái)自IDS的網(wǎng)絡(luò)IP流數(shù)據(jù),可以使用它來(lái)搜索離開網(wǎng)絡(luò)的數(shù)據(jù),或是尋找與“命令和控制”服務(wù)器的網(wǎng)絡(luò)連接。DLP工具也能夠偵測(cè)離開網(wǎng)絡(luò)的數(shù)據(jù)。企業(yè)甚至可能使用原本用于系統(tǒng)管理的工具來(lái)每天為系統(tǒng)上的所有文件建立目錄,然后進(jìn)行差異分析(也可以是每天)來(lái)尋找未經(jīng)授權(quán)的修改,或是使用文件完整性監(jiān)控工具來(lái)辨識(shí)惡意文件被寫入系統(tǒng)。通過使用只允許核準(zhǔn)代碼運(yùn)行的白名單應(yīng)用技術(shù)來(lái)也可能預(yù)防Duqu木馬的感染。
使用Duqu木馬作為CSIRT練習(xí)的樣本也讓組織對(duì)類似的有目標(biāo)的攻擊有所準(zhǔn)備。如果在事故響應(yīng)過程中發(fā)現(xiàn)不足,可以調(diào)研新的系統(tǒng)或是數(shù)據(jù)來(lái)源,以確保企業(yè)能偵測(cè)到該惡意軟件。大多數(shù)關(guān)于Duqu木馬的報(bào)告表明,在被偵測(cè)到之前,該木馬已經(jīng)滲透入網(wǎng)絡(luò)達(dá)數(shù)月之久。該木馬被偵測(cè)之時(shí),它瞄準(zhǔn)的數(shù)據(jù)很可能已經(jīng)被竊取。因?yàn)镈uqu木馬利用微軟Windows系統(tǒng)的零日漏洞、并且是定制化的惡意軟件,許多防病毒或是防惡意軟件產(chǎn)品無(wú)法偵測(cè)到它,這也是此類目標(biāo)性攻擊的常見問題。因此對(duì)于企業(yè)來(lái)說(shuō),保護(hù)自身防范由于像Duqu木馬類似攻擊所導(dǎo)致的破壞或損失的最佳做法是,迅速的偵測(cè)以及事故響應(yīng)策略。這不是說(shuō)迅速的偵測(cè)和良好的事故響應(yīng)策略是唯一需要的安全控制,但是高級(jí)的惡意軟件、或是資源豐富的攻擊者極可能繞過任何預(yù)防性的安全控制措施。
從Duqu惡意軟件中學(xué)到的教訓(xùn)
盡管有更多更加危險(xiǎn)的惡意軟件逍遙法外,但我們?nèi)阅軓腄uqu木馬上學(xué)到一些具有價(jià)值的教訓(xùn)。企業(yè)應(yīng)該實(shí)施必要的控制措施來(lái)確保他們的終端免于可能面對(duì)的攻擊,很少的企業(yè)會(huì)成為Duqu木馬的目標(biāo),但是大多數(shù)的組織最終會(huì)被迫對(duì)其它類似的目標(biāo)性攻擊作出響應(yīng),即使僅是釣魚式攻擊。
隨著高級(jí)的攻擊技術(shù)更加地商品化,就像摩爾定律描述的那樣,更為廣泛的攻擊者社區(qū)在采用這些攻擊技術(shù)。一定會(huì)有更多我們從沒聽說(shuō)過的高級(jí)攻擊,所以關(guān)于高級(jí)攻擊的更多公布的數(shù)據(jù),只是幫助改進(jìn)企業(yè)如何確保他們系統(tǒng)的安全。隨著不斷復(fù)雜、易于使用的漏洞工具包出現(xiàn),企業(yè)應(yīng)該在他們的環(huán)境內(nèi)實(shí)施合理的安全控制,同時(shí)恰當(dāng)?shù)乇Wo(hù)具有價(jià)值的個(gè)人資產(chǎn)。
【編輯推薦】
