我们谈论的僵尸当然是指受远程命令控制的僵尸电脑。这些电脑的数量会大幅增长,每台电脑都会向其控制者发出报告,最终组成一个僵尸网络。
现在,我们正展开一场与僵尸网络之间的战争。是的,是演绎一场互联网世界的“行尸走肉”。不过,这可不是好莱坞美剧,全球的政府安全部门和安全专家们都会加入到这场战争中来,对僵尸进行猎捕,监控和摧毁。最近的案例就有Bredolab(德国高科技犯罪小组破获),Rustock(微软DCU)和Coreflood(FBI)。本文要讲的是如何识别并避免当今的僵尸威胁。
下面是给企业的七个小建议:
1. 定期检查机器/环境。僵尸可能是潜伏期很久的代码,它可以等待数周甚至数月的时间才激活。不要主观臆断觉得检查一次没发现问题就掉以轻心,这样很可能会错过发现恶意行为的机会。
2. 不要依赖可视检查或者机器的检测结果。流量监测是发现僵尸程序的最佳方式,因为数据包已经从机器中发出,所以不能再被替换。僵尸程序通过rootkit感染电脑,获取核心级别的特权,然后控制整个操作系统——隐藏文件,视窗,网络流量等。
3. 隔离正在接受检查的机器或是一些弹出提示。在重新部署网络前要完成清理工作。僵尸电脑会为幕后操纵者带来财富。最常用的方式是通过流氓安全软件和弹出的视窗告诉用户要购买安全软件。显然,之所以发生这种情况是因为潜伏的僵尸已经下载了这样的软件以达到赚钱目的。僵尸会快速地感染同一个网络中的其他本地电脑,因此非常有必要及时对已感染机器进行隔离直到僵尸程序清理干净为止。Fortinet的FortiCleanup Rootkit & Malware免费清理工具(http://www.fortiguard.com/antivirus/malware_removal.html)。
4. 流量评估。僵尸程序通常有一个重复性的操作,即对同一个端口(通常是HTTP)上的相同服务器发出响应。如果你发现总是有携带HTTP请求的数据流发送到相同IP,特别是在没有使用浏览器的时候,那么应该是系统感染了僵尸病毒。
5. 监测输出流量。入侵防御可以防止僵尸病毒感染网络。这一技术也可以用来查探僵尸病毒。即便有机器感染了僵尸,检测并阻止僵尸程序的输出流量也可以有效减少威胁。这样一来,僵尸虽未除,但是却不能再接收命令或是发送信息,如窃取银行凭证等。
6. 避免感染,抵御攻击。僵尸病毒可通过邮件附件,恶意链接,U盘和PDF文档传播。要禁用自动运行。通常,感染是通过打开文件或链接来触发。所以要在打开链接前先看清楚链接。链接是通过邮箱,社交网络还是即时通讯软件发送其实没有什么关系——因为原理都是相同的。PDF,DOC,XLS文件也可以成为传染源。在打开带邮件附件或是链接前,花一点点时间检查一下。
7. 部署统一威胁管理。
- 反病毒检查有助于拦截二进制僵尸代码,避免其操纵系统。
- 入侵防御可避免来自网页的恶意代码在系统上种植僵尸病毒。
- 网页过滤可以在恶意代码发送到浏览器之前就拦截恶意URL链接。
- 反垃圾邮件可以标记出携带附件和链接的恶意邮件。
- 应用控制可以阻止僵尸程序向幕后控制者发送信息。