由于许多有目的的犯罪都使用Zeus僵尸网络来传播恶意软件,而且对于攻击者来说,Zeus僵尸网络很容易使用,这使得Zeus僵尸网络已经成为历史上最危险的僵尸网络病毒之一。在本文中,我们将回顾一下Zeus是如何成为企业重点关注的安全难题,以及怎样才能更好的防御它。
Zeus僵尸网络是一个真正可以用来犯罪的工具包,它可以开发自定义的、难以检测的木马。由于这种木马程序可以具备多种不同的能力,而且变化迅速,它在协助网络罪犯感染本地系统、建立命令和控制基础设施,以及设置钓鱼攻击网站方面非常的成功。有报道指出,企业攻击者甚至以“软件即服务”模型(SaaS)的方式来销售Zeus,这让攻击者更加方便。
Zeus一直在用多种不同的方式发送它的攻击代码,而且根据Zeus的不同版本以及攻击者的不同选择,使用的漏洞利用程序(exploits)也会不同。Zeus已经被绑定在各种各样的漏洞利用工具中,甚至被绑定在了rouge杀毒软件上。因为Zeus是一个木马,不会自我复制,所以它们往往通过其他恶意软件上的piggy-baking技术进行安装。最初,Internet Explorer漏洞利用程序是用来在系统上安装恶意软件的,但是最近已经发展到使用PDF的运行功能来感染本地系统了。
Zeus最初是用来获取金融机构网页认证码的,但是它可以通过改变配置来寻找证券认证码、401ks等类似内容,以及其他类型的网站,其中包括购物和社交网站等。简而言之,这种木马会偷窃这些认证码,并且通过僵尸网络把这些数据传给木马控制人员。攻击者然后就会登录被破解的账户并通过ACH交易从账户中转移金钱。商业以及商业账户也容易受到同样的攻击,实际上这种账户更吸引攻击者,因为这种账户里面的资金数目可能会很大。更糟糕的是,ACH交易不具备类似于信用卡交易欺诈的法律保护,这让清除由Zeus感染引起的金融问题更加复杂化。
尽管Zeus僵尸网络分析工作表明它的攻击会更加先进而且难以监测,但还是有办法可以去阻止Zeus僵尸网络给你的企业带来金融损害的。为了完全防止损失,我们考虑限制企业中高风险用户电脑的功能,也就是限制那些能够访问敏感金融账户和账户数据的系统的功能。另一种策略就是使用专门的电脑来进行金融交易。这台机器可以放在隔离的虚拟LAN上,也可以放在一个具有防火墙、并与其他网络隔离的物理网络中,就算是网络上其他的用户被感染了,专用电脑仍然很安全。我建议对这个电脑进行配置,电脑最好是Linux或者Mac OS X系统,以使它的唯一功能就是运行网页浏览器进入你的银行或者特定的金融网站,防止这台电脑通过其他方式受感染。这个锁定的电脑甚至可以是一个运行在安全虚拟基础设施上的虚拟桌面,当你想进行交易的时候就可以进行远程连接。
由于这个策略可能无法在所有的企业中实现,我们还有其他的最佳实践做法来保护客户不受Zeus的毒害,其中包括限制浏览器的网页浏览功能,具体做法如下:运行浏览器唯一允许的白名单应用程序;禁止浏览器插件;禁止JavaScript或者 ActiveX控件;如果必要的话只允许必需的网站运行JavaScript或者特定的活动控件。有些金融机构在有些高风险用户的电脑上安装了额外的安全软件,提供额外的网页浏览器安全。我以前在专栏中提到,为了保护客户不受恶意软件攻击,最重要的做法就是要运行最新版的网页浏览器和其他的应用程序。
不幸的是,最实用和最划算的策略可能是在一次Zeus攻击发生后,你要尽快地做出反应,并且想办法把损失降至最小。这方面的一个关键技术就是使用基于网络的反恶意软件设备或者其他网络隔离措施。有些基于网络的反恶意软件设备专门处理僵尸网络命令和控制交流协议,能够阻止Zeus木马程序与僵尸网络交流。如果使用网络隔离措施,已知的不良网站IP地址将不会被路由,或者会受到防火墙的拦截。你可以使用来自Zeus跟踪网站的数据,但是这可能需要大量的管理工作。你甚至可以决定让自己所在的企业不使用网上银行或者进行网上金融交易,但是这样做又过于极端。
随着攻击者扩展和改进Zeus工具包的功能,Zeus僵尸网络的威胁范围不断扩大。我们不能再用陈旧的观念看待问题了,Zeus的目标不再只是银行业,现在它还会攻击其他类型的网站和企业,危害范围更加广泛。由于Zeus的复杂性以及攻击者可以通过它获益,它在短期内灭亡似乎不太可能,但是有了上述策略,再加上交易认证技术的不断进展,还是能够限制Zeus的危害的。
【编辑推荐】