僵尸网络变数增加 防御技巧及解决方案推荐

      应当看到,由于僵尸网络日益复杂并难于检测,使得许多单位并没有完全认识到僵尸网络的造成的危害,甚至有点儿沾沾自喜,总觉得僵尸网络离自己的单位很远。他们不相信这种网络攻击真得会阻止对站点的访问,不相信成千上万的计算机会成为网络僵尸。其实,僵尸网络早已“女大十八变”,它已经成为网络钓鱼、传播垃圾邮件和色情文学、实施点击欺诈和经济犯罪的重要平台。它变得更难以检测。根据美国联邦调查局的说法,僵尸网络已经给“国家安全、国家信息架构、和国民经济造成不变增长的威胁”。

  作为网络安全的守卫者,安全管理人员应当奋起反击。首先,我们需要先了解:

  僵尸网络的历史和威胁

  僵尸网络的重要组成部分是被秘密安装到多台计算机上的软件,这种软件可由一个中央控制人员远程控制。起初,僵尸网络采用蠕虫技术来集结大量的僵尸计算机,采用特洛伊木马来实施远程控制,采用互联网聊天室来发布命令等。

  在1999年的时候,这种早期的攻击形式已经相当普遍,攻击者常用它来发动DDoS攻击,如2000年对亚马逊等公司发动的攻击。此后不久,美国总统克林顿警告说,这种攻击的危害如同炸弹一样,可造成国家的大混乱。

  如在2001年时,红色代码二代蠕虫曾导致大量的路由器和交换机瘫痪。易受攻击的设备都使用IIS浏览器作为其管理界面,由蠕虫造成的种种攻击事件导致了系统崩溃和重启。并增加了互联网的通信总量,进一步加大了连接到互联网的系统负担。

  僵尸网络的制作者日益改进其技术,不断采用新的手段。为了防止被发现,他们可以损害一些著名的服务器,保护其控制的节点,并快速地更新其IP地址,使其难以识别,更难以阻止。为防止别人分析其僵尸网络,他们可以对其命令和控制过程进行加密。

  僵尸网络的制造因素不象其它的老式蠕虫,这些因素通常将僵尸计算机紧密地集结在一起,并有着明确的目标,使反病毒和入侵检测系统无法检测其存在。还有一些僵尸网络利用了社交工程,这就使得它更难于对付。有的僵尸网络利用SQL注入攻击技术损害合法站点,这样一来,如果用户浏览这些站点就会将用户的计算机变成僵尸。

  今天的僵尸网络通常能够检测防御者的检测,可以对检测者的检测机制隐身。有一些僵尸网络能够以一种用户无法查觉的方式来禁用反病毒和入侵检测系统。

  是什么推动着僵尸网络的发展呢?事实上,网络犯罪组织很少采用易于被检测的工具。相反,他们往往利用专业的或优秀的程序设计人员。

  导致僵尸网络日益危险的一个重要因素是,许多IT管理人员认为僵尸网络仅仅意味着DDoS攻击。在无法检测到这种攻击时,一些单位会有一种错误的安全感。

  这种看似无害的结果可能会引诱受害者即使在发现被僵尸网络感染的时候,仍不采取行动。许多单位甚至认为一月感染一两次僵尸网络也没什么大不了。

  但事实上,僵尸网络已经成为散布恶意软件的平台,成千上万的恶意代码可以利用这个平台发展壮大。由于这种种因素,在受害者认识到遭受攻击之前,僵尸网络已经造成了巨大的危害。如窃取大量的银行卡数据,包括口令和账号等。

  即使受害者的单位认识到了僵尸网络的危害,也有可能选择不抵抗的态度。为什么呢?这种对僵尸网络听之任之的态度之所以存在,主要是一些单位担心安全专业人士知道其商业秘密。

 

      僵尸网络防御方法

  如果一台计算机受到了一个僵尸网络的DoS攻击,几乎没有什么选择。一般来说,僵尸网络在地理上是分布式的,我们难于确定其攻击计算机的模式。

  被动的操作系统指纹识别可以确认源自僵尸网络的攻击,网络管理员可以配置防火墙设备,使用被动的操作系统指纹识别所获得的信息,对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。

  一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击,但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来,有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”,因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。

  前述的僵尸服务器结构有着固有的漏洞和问题。例如,如果发现了一个拥有僵尸网络通道的服务器,也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性,断开服务器将导致整个僵尸网络崩溃。然而,IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性,所以发现一个通道未必会导致僵尸网络的消亡。

  基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器,如“空路由”的DNS项目,或者完全关闭IRC服务器。

  但是,新一代的僵尸网络几乎完全都是P2P的,将命令和控制嵌入到僵尸网络中,通过动态更新和变化,僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥,才能读取僵尸网络所捕获的数据。

  必须指出,新一代僵尸网络能够检测可以分析其工作方式的企图,并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时,甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决。

 

      僵尸网络解决方案

  好消息是在威胁不断增长时,防御力量也在快速反应。如果你是一家大型企业的负责人,你可以使用一些商业产品或开源产品,来对付这些威胁。

  首先是FireEye的产品,它可以给出任何攻击的清晰视图,而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点,阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动,然后轻松地重新构建被感染的系统。在网络访问不太至关重要时,可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机,而无需使用签名技术或基于行为的技术。此外,SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。

  著名的大型公司,如谷歌等,不太可能被僵尸网络击垮。其原因很简单,它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络,而这几乎是不太可能的,因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击,如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。

  不过,由于DDoS攻击活动太容易被发现而且强度大,防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

  结论

  如今的僵尸网络日益隐蔽,并可成为扩大犯罪组织的一个平台,它通过大量的恶意软件在其中协调。随着新安全技术的兴起,IT管理人员可从新一代的防御体系中获益。