普通的信息安全職業(yè)人員可能沒有意識到，但是，僵尸網(wǎng)絡(luò)已經(jīng)無可爭議地成為企業(yè)需要面對的頭號安全問題。為什么？企業(yè)信息安全人員需要花時間處理的大多數(shù)日常安全問題——受感染的終端、垃圾郵件泛濫以及數(shù)據(jù)泄漏或丟失——從某種程度上講，這些都是由僵尸網(wǎng)絡(luò)引起的。

在本文中，我們首先簡單地討論一下僵尸網(wǎng)絡(luò)是如何工作的，然后重點介紹企業(yè)應(yīng)該采取哪些措施來識別和阻止僵尸網(wǎng)絡(luò)活動。

多年來，僵尸網(wǎng)絡(luò)給許多消費者和企業(yè)都帶來了危害，而且僵尸網(wǎng)絡(luò)攻擊沒有放緩的跡象。在某種程度上，這是因為僵尸網(wǎng)絡(luò)一直在改進(jìn)其功能，并變得越來越容易使用。

有些人可能不太熟悉僵尸網(wǎng)絡(luò)是如何工作的，簡而言之是這樣的，首先攻擊者會通過電子郵件中、網(wǎng)站上的惡意連接，或者通過社交網(wǎng)絡(luò)平臺想方設(shè)法在大量的目標(biāo)計算機上安裝惡意軟件。這種惡意軟件可以讓攻擊者在計算機主人不知道的情況下，給被破解的計算機發(fā)送指令，做他們想要做的任何事情。通常情況下，數(shù)千臺受感染的計算機匯集成一個僵尸網(wǎng)絡(luò)或者僵尸計算機軍隊，這些電腦的綜合計算能力可以讓攻擊者進(jìn)行各種惡意活動。

盡管業(yè)界通過消除它們的命令和控制結(jié)構(gòu)來“打擊”僵尸網(wǎng)絡(luò)，且消費者和企業(yè)也在努力改進(jìn)他們的安全狀況，但是僵尸網(wǎng)絡(luò)和惡意軟件已經(jīng)進(jìn)化，會攻擊新的領(lǐng)域來達(dá)到他們的非法目的。過去僵尸網(wǎng)絡(luò)使用直接以網(wǎng)絡(luò)為基礎(chǔ)的攻擊，以Windows系統(tǒng)為目標(biāo)，現(xiàn)在它們開始攻擊應(yīng)用程序了。更糟糕的是，成功的應(yīng)用程序攻擊通常只需要很少的用戶活動，比如訪問網(wǎng)頁或者打開一個惡意附件等。

在企業(yè)環(huán)境中識別和清除僵尸網(wǎng)絡(luò)

如果企業(yè)中有幾臺機器被僵尸網(wǎng)絡(luò)感染，會出現(xiàn)明顯的跡象，其中包括異常的網(wǎng)絡(luò)活動或客戶端系統(tǒng)的不穩(wěn)定。異常網(wǎng)絡(luò)活動表現(xiàn)為一臺計算機連接大量的外部系統(tǒng)，但是攻擊者已經(jīng)意識到這種情況很快就會引起安全人員的注意，所以他們試圖減少主機數(shù)量或者朝外發(fā)送的數(shù)據(jù)量，并使用HTTP，HTTPS或者其他常用的協(xié)議來弱化監(jiān)測?？蛻舳讼到y(tǒng)的不穩(wěn)定表現(xiàn)包括運行速度慢等現(xiàn)象，然而這也不那么常見了，因為終端用戶一旦報告速度慢，人們就會調(diào)查本地系統(tǒng)。企業(yè)可以結(jié)合網(wǎng)絡(luò)分析和相關(guān)性報告以及本地系統(tǒng)的日志或者調(diào)查，來監(jiān)測網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)感染。其中一個監(jiān)測方法是檢查本地系統(tǒng)，把網(wǎng)絡(luò)中通往外部的網(wǎng)絡(luò)連接與本地工具報告的網(wǎng)絡(luò)連接相比較。凡是出現(xiàn)在網(wǎng)絡(luò)上、但是沒有出現(xiàn)在本地系統(tǒng)報告中的內(nèi)容都可能是命令和控制通道或者你的環(huán)境發(fā)出的數(shù)據(jù)。

對于一個大型分布式的網(wǎng)絡(luò)來說，最有效的檢測方法就是使用專用網(wǎng)絡(luò)設(shè)備，訪問所有的互聯(lián)網(wǎng)流量，以識別可疑數(shù)據(jù)包。這種流量看起來像標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)，但是當(dāng)大量數(shù)據(jù)朝外部發(fā)送時，尤其是從多個系統(tǒng)發(fā)送時，就需要有一種方法來鑒別這種流量以及產(chǎn)生這些流量的系統(tǒng)。我們還可以使用已知的僵尸網(wǎng)絡(luò)控制器來掃描與IP地址相關(guān)的連接，識別可疑的網(wǎng)絡(luò)流量。

一旦企業(yè)識別出受感染的系統(tǒng)，就必須集中精力清除僵尸網(wǎng)絡(luò)，因為，如上所述，僵尸網(wǎng)絡(luò)可以進(jìn)行各種惡意活動，包括攻擊內(nèi)部系統(tǒng)或者進(jìn)行欺詐。標(biāo)準(zhǔn)的建議是格式化并重裝受感染的系統(tǒng)，這個方法總是刪除惡意軟件最有效的方法。本地系統(tǒng)重裝以后，還應(yīng)該把僵尸網(wǎng)絡(luò)從網(wǎng)絡(luò)中移除，以防止進(jìn)一步的感染。與受感染的本地系統(tǒng)相連接的遠(yuǎn)程系統(tǒng)也應(yīng)該斷開，以防止其他可能受到感染的本地系統(tǒng)接觸遠(yuǎn)程系統(tǒng)。企業(yè)不要把數(shù)據(jù)存儲在本地系統(tǒng)上，而且要使用標(biāo)準(zhǔn)化的系統(tǒng)構(gòu)建過程以及自動化軟件分布功能，以盡量減少停工時間。

另外一個選擇是利用備份恢復(fù)系統(tǒng)，讓系統(tǒng)回到生產(chǎn)狀態(tài)。你可以嘗試使用殺毒軟件或者定制工具手動移除惡意軟件或者僵尸軟件，比如，殺毒軟件廠商提供的或者內(nèi)部開發(fā)的工具，這種方法可能適合那些沒有權(quán)限接觸敏感數(shù)據(jù)的系統(tǒng)，但是這會導(dǎo)致系統(tǒng)再次被惡意軟件或者病毒感染。一般來說，格式化并重裝受感染的系統(tǒng)是更好的辦法。

企業(yè)還可以做什么？

采取一些基本的安全控制措施很有必要，可以防御大多數(shù)的僵尸網(wǎng)絡(luò)攻擊。如果這些基本控制措施不能遏制這種威脅，那就要考慮采取某些高級控制措施。基本的安全控制措施包括：

客戶端殺毒軟件——每臺客戶端計算機應(yīng)該安裝最新的殺毒軟件并定期更新，這個過程最好是自動的，或者采取類似的控制措施。

操作系統(tǒng)強化——每臺客戶端計算機應(yīng)該采取基本的強化措施，比如刪除不必要的軟件或者服務(wù)等。

防火墻——每臺客戶端計算機都應(yīng)該受到基于主機的防火墻或者網(wǎng)絡(luò)防火墻的保護(hù)，可能的話兩種防火墻都要使用，進(jìn)行真正的深度防護(hù)。

為員工設(shè)置適當(dāng)?shù)臋?quán)限級別——進(jìn)行標(biāo)準(zhǔn)活動時，每個用戶應(yīng)該只用普通的低級權(quán)限登錄。

適當(dāng)?shù)难a丁管理——每臺客戶端計算機都應(yīng)該運行更新過的、打過補丁的軟件，以阻止那些利用未打補丁的軟件的攻擊。

如果你的企業(yè)應(yīng)用程序需要禁用上述基本安全控制，比如有的自定義應(yīng)用程序需要使用管理員級別權(quán)限，你可能還需要采取某些高級控制措施。這些高級控制措施包括：

專用殺毒軟件或者反僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備——比如Palo Alto Networks公司的防火墻、Actiance公司的Unified Security Gateways（一體化安全網(wǎng)關(guān)）、免費的BotHunter工具以及其他工具，可以用來識別并阻止整個網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)，不管本地系統(tǒng)有沒有控制措施，為系統(tǒng)提供額外的保護(hù)層。

沙箱——這些工具把最常用和風(fēng)險最高的應(yīng)用程序，比如網(wǎng)絡(luò)瀏覽器，PDF閱讀器或者多媒體播放器等與系統(tǒng)的其他部分隔離，保護(hù)它們不受攻擊。

白名單——這種技術(shù)嚴(yán)格限制系統(tǒng)能夠做哪些事情，因此可以防止某些惡意軟件感染系統(tǒng)。

瀏覽器安全工具——這些工具，比如Firefox的NoScript插件、Trusteer公司的Rapport以及其他工具等，還可以保護(hù)瀏覽器不被利用。

反釣魚工具——這些工具可以配合其他工具使用，以阻止具有針對性的電子郵件攻擊。另外，許多這種工具可以把它們的日志發(fā)送到安全信息與事件管理（SIEM）系統(tǒng)，以協(xié)助識別某些高級攻擊。然而，所有這些控制都應(yīng)該進(jìn)行評估，因為它們的管理和復(fù)雜性會對網(wǎng)絡(luò)產(chǎn)生潛在的影響。

然而，如果你發(fā)現(xiàn)了這樣一種情況：基本的安全控制措施沒有充分保護(hù)好一個受感染的系統(tǒng)（比如，大地零點接著一個僵尸感染），那么就應(yīng)該做一個深入的調(diào)查，確定哪些控制失敗了，為什么失敗，以便決定是否需要采取更多的高級控制措施。這個調(diào)查應(yīng)該將網(wǎng)絡(luò)流量與本地報告的網(wǎng)絡(luò)連接相比較，或者使用取證調(diào)查技術(shù)，以確定在感染過程中哪些文件被創(chuàng)建、刪除或者修改。

結(jié)論

盡管研究人員在去年采取措施打擊了某些僵尸網(wǎng)絡(luò)，但是它們已經(jīng)進(jìn)化并繼續(xù)危害更多的消費者和企業(yè)。企業(yè)應(yīng)該采取基本的安全控制措施，從而盡量減小僵尸網(wǎng)絡(luò)攻擊和其他攻擊的影響，當(dāng)基本的安全措施失敗時，應(yīng)該使用或者購買高級控制措施。被僵尸網(wǎng)絡(luò)感染之后，企業(yè)應(yīng)該進(jìn)行調(diào)查，確認(rèn)哪些控制措施出現(xiàn)了問題，需要作出什么改變，以便在將來抑制這些攻擊。企業(yè)應(yīng)該盡快識別并刪除僵尸網(wǎng)絡(luò)，盡量減少這些攻擊對其他系統(tǒng)和網(wǎng)上金融交易的危害。

【編輯推薦】

1. 僵尸網(wǎng)絡(luò)被粉碎 尋找背后故事
2. 十大垃圾郵件的僵尸網(wǎng)絡(luò)
3. 與僵尸網(wǎng)絡(luò)等無形的威脅做斗爭的11種方法
4. 黑客分享之拆解僵尸網(wǎng)絡(luò)SpyEye控制臺