誰容易受到攻擊？

鑒于Stuxnet如此受人關注，似乎許多系統(tǒng)都被該病毒感染。雖然10萬個系統(tǒng)不算少，但是與被Renos惡意軟件感染的百萬個系統(tǒng)相比還是小數(shù)目。然而，受到感染的系統(tǒng)雖然比較少，但是容易受到利用多個零日漏洞的惡意軟件攻擊的系統(tǒng)數(shù)量卻極其巨大(前提是零日攻擊的目標為電腦中的多個軟件)。

有趣的是，最應該關心多個零日攻擊的企業(yè)通常是那些已經(jīng)阻止了其他常見攻擊的企業(yè)。如果傳統(tǒng)攻擊技術無效的話，攻擊者更可能利用零日技術進行攻擊。沒有阻止過常見攻擊的企業(yè)也會受到多個零日技術的攻擊，但是他們可能已經(jīng)被普通的惡意軟件入侵過了。

為了確定你的企業(yè)是否容易受到此類攻擊，請仔細評估現(xiàn)存的安全保護系統(tǒng)，并確定所有的這些保護是否會被最近的零日攻擊繞過。企業(yè)必須自己進行這些具體的評估，因為它們?nèi)Q于你系統(tǒng)上的各種保護措施。

注重安全的企業(yè)在評估系統(tǒng)和網(wǎng)絡時需要了解利用多個零日漏洞的惡意軟件，并且要把它們考慮進去。如果系統(tǒng)保護措施相互重疊嚴重，并且會以同樣的方式失敗，那么即使安裝多層保護也可能無法提供重要的額外安全，反而會增加系統(tǒng)的攻擊面，讓管理更加困難。

企業(yè)對多個零日攻擊的防御策略

為了防御多個零日攻擊或者有針對性的攻擊，企業(yè)不僅需要使用殺毒軟件、更新補丁、采用基于主機的防火墻等標準措施，還應該考慮部署外圍防火墻、基于網(wǎng)絡的殺毒監(jiān)測和阻斷、以及入侵監(jiān)測等，從而防御各種類型的攻擊。雖然額外的多層安全在某層失敗后可以提供協(xié)助保護，但是多層保護并不能真正提供足夠的深層次防御。

比如，如果你的企業(yè)在臺式機、服務器、電子郵件系統(tǒng)以及網(wǎng)絡設備中使用相同的殺毒軟件引擎，單靠這些殺毒軟件監(jiān)測提供的保護范圍可能并不會比只在臺式機中安裝這種殺毒引擎提供的保護范圍大多少。如果不是所有的臺式機都安裝了殺毒軟件，或者不是所有機器中的殺毒引擎都進行了合適的操作，那么使用相同監(jiān)測引擎的額外層才可能會提供額外的安全保護覆蓋面。在服務器、電子郵件系統(tǒng)以及基于網(wǎng)絡的殺毒設備中運行不同的或者額外的殺毒引擎，可以增加額外的零日保護或者惡意軟件的監(jiān)測覆蓋面。

如果你的企業(yè)擔心這類攻擊，你可以采取額外的步驟(保護USB連接的安全)以防護或者限制攻擊。如果不需要USB連接，請禁用它們，確保USB設備是在安全的配置中使用，確保USB設備的自動運行不能攻擊系統(tǒng)。禁用USB設備之后，請鎖定其他的物理安全設置，比如說系統(tǒng)BIOS。還有，只允許用有效的證書進行軟件簽名，并與應用程序白名單一起使用，從而防止惡意代碼在系統(tǒng)中執(zhí)行。微軟的增強的減災體驗工具包 (EMET)可以為微軟軟件提供額外的惡意軟件保護，防止軟件被攻擊者進行漏洞利用。只要有可能，企業(yè)還應該考慮不要把任務優(yōu)先的系統(tǒng)連接到通用網(wǎng)絡或者互聯(lián)網(wǎng)上。

Stuxnet只是使用高級功能和利用多個零日漏洞的惡意軟件之一。歷史的經(jīng)驗告訴我們，惡意軟件和攻擊者只需做最少工作的就可以入侵系統(tǒng)，而隨著防護水平的提高，攻擊者的水平也會相應提高。Stuxnet以及將來可能利用多個零日漏洞的惡意軟件，表明了企業(yè)需要仔細評估自己的安全保護措施，并且弄清這些保護是否能夠阻斷以及如何阻斷這種攻擊。利用多個零日漏洞的攻擊將會更加常見，因為在惡意軟件中可以綁定攻擊的平臺不斷涌現(xiàn)，而且在惡意軟件中包含新型攻擊變得越來越簡單了。

Stuxnet蠕蟲病毒已經(jīng)引起了媒體的廣泛關注，因為這種病毒能夠感染多種不同類型的系統(tǒng)。Symantec公司發(fā)布了一篇詳細介紹Stuxnet的技術文章，并且指出，該病毒已經(jīng)感染了近10萬個系統(tǒng)。

Stuxnet類似于2009年12月的Operation Aurora(極光行動)攻擊和Zeus僵尸病毒，因為它表現(xiàn)出了惡意軟件的尖端技術。然而，Stuxnet更加復雜，主要是因為它能夠同時利用多個零日漏洞。雖然通常很難預測未來的惡意軟件，但是可以確定的是，Stuxnet不是最后一種同時利用多個零日漏洞的攻擊。在本文中，我們將討論Stuxnet的具體攻擊方法，以及企業(yè)應該如何防御這種類似的漏洞利用程序。

當前Stuxnet的狀態(tài)

Stuxnet是目前世界上最先進的惡意軟件之一，因為它含有多種不同的惡意功能。它可以利用四種零日漏洞，其中包括Windows打印機后臺處理中的一個遠程漏洞，以及另外一個具有本地升級權(quán)限的漏洞。攻擊一個零日漏洞比較普遍，而試圖利用多個零日漏洞媒介可以讓攻擊者更加成功地入侵系統(tǒng)。雖然這是真的，但是對于每個零日漏洞來說可能都存在保護措施，或者系統(tǒng)并不會運行該軟件容易受攻擊的版本(比如，惡意軟件試圖攻擊32位系統(tǒng)，但是最終攻擊的卻是64位Windows系統(tǒng)，或者目標系統(tǒng)使用的是另外一種PDF閱讀器，而不是Adobe Reader)，然而如果惡意軟件包括多個零日漏洞攻擊，只要其中一個攻擊媒介沒有受到充分的保護，就為攻擊者提供了可乘之機。

攻擊零日漏洞的惡意軟件并不常見，普通的惡意軟件一般針對的是比較老的、沒打補丁的常見漏洞以及安全性差的系統(tǒng)，而能同時攻擊多個零日漏洞的惡意軟件則少之又少。

雖然利用多個零日漏洞可以增加攻擊者成功的機會，但是攻擊者所帶來的破壞跟零日漏洞的數(shù)量沒有關系。破壞的大小取決于攻擊者利用漏洞所獲得的訪問權(quán)限，以及是否能夠完全控制整個系統(tǒng)。如果惡意軟件能夠控制系統(tǒng)，不管它同時利用幾個零日漏洞都沒關系，因為它只利用一個漏洞入侵系統(tǒng)。一旦攻擊者控制了系統(tǒng)，就可以截獲數(shù)據(jù)，使用該系統(tǒng)去攻擊其他系統(tǒng)，或者進行該系統(tǒng)可以完成的任何事情。

攻擊多個零日漏洞的惡意軟件利用了多個攻擊媒介，這會增加它被監(jiān)測到的機會，具體的取決于惡意軟件的工作方式。如果多個失敗的利用被記錄下來，就會引起更多的關注，因為這可能是一個不尋常的事件。所以，攻擊者需要進行權(quán)衡，因為他們越是使用多個零日攻擊入侵系統(tǒng)，就越有可能被監(jiān)測到。

【編輯推薦】

1. 木馬釋放器集合惡意程序
2. 木馬強化惡意文件迷惑性
3. 給你預防病毒的八個忠告
4. 六大網(wǎng)絡安全威脅發(fā)展趨勢
5. 如何全面清除計算機電腦病毒
6. 淺析漏洞攻擊與惡意程序植入的合作關系
7. 淺析漏洞攻擊與惡意程序植入的合作關系 續(xù)