2009年12月,谷歌和其他著名公司受到了未知恶意程序的攻击。这一事件被称为极光行动(Operation Aurora),此次零日攻击是针对当时未发布补丁的IE浏览器漏洞。
极光行动中最严峻的情况是:即使配置了较完善安全资源的组织仍然可能是受害者。如果一些最先进并获得雄厚资金支持的IT安全组织都可以被黑客攻击,那么对那些拥有较少安全资源的小型组织而言,为了保护自身不受这样的攻击,他们的日子将会更加艰难。然而,从极光行动中我们也可以吸取很多重要的教训,在本文中我们将讨论关于该攻击,企业需要了解的信息,以及在今后发生类似的攻击时企业应该采取的预防措施。
极光行动:背景
让我们回顾一下已经报道出来的关于极光攻击以及各个组织应该如何阻止该攻击的一些技术细节。谷歌报告说,它以及至少20家大公司,在2009年12月成为极光行动的攻击目标。谷歌认为这次攻击侵犯了知识产权,其目标针对的是中国人权活跃分子的Gmail账户。
根据极光行动攻击后发布的报告,黑客将IE浏览器零日漏洞及其利用程序与未知的恶意软件绑定在一起发起攻击。某些攻击被黑客认为是成功的,因为被攻击的对象是重要的公司,媒体紧接着就进行了广泛的报道。而高端的黑客技术和比较普通的零日攻击和未知恶意软件结合在一起使用,这一点也被认为是成功的。他们通过在网络通信中使用多层加密,成功地让攻击躲避了安全检测。
极光行动的攻击媒介
虽然IE浏览器零日漏洞及其利用程序本身并不是最高端的攻击,但它可以使攻击者完全控制受害者的电脑系统,这一点已在极光行动中被证明是成功的。然而,如果攻击者想成功做到这一步,还需要提高其登陆帐户的访问权限,或者由攻击者凭借漏洞利用程序去获得较高的访问权限。当已登陆的用户只具有普通用户访问的权限时,一些恶意软件将感染系统,但却不容易接管系统。很多组织不必允许所有用户都具有管理员级别的权限,因为该类权限可以进行应用程序安装、更改配置以及其他一些没有限制的操作。然而,当攻击者找到了可以提高系统权限的途径,那么就没有办法去阻止黑客滥用这些权限了。而通过只为用户提供必要的访问权限,可以使漏洞更难被成功利用。
过去从未出现过的恶意软件是相当常见的攻击媒介,经常被普通的网络罪犯用来做一些可以马上得利的事情。在这次极光行动攻击中,黑客获得了一些知名度很高的账户。虽然发起极光行动的直接动机尚不清楚,但从长远来看,敏感数据是具有价值的,最起码可以作为一个监视的战术。
预防类似极光行动的攻击
尽管这些攻击方法很令人烦恼,但也有很多方法可以防御它们,以确保类似的攻击不会成功。刚开始的时候,你可以选择使用非IE的网页浏览器或者其他操作系统,从而避免IE浏览器零日攻击,这依赖于你的环境可承受的危险等级,部署的深度防御安全控制有多少,以及对攻击者的价值。然而,使用非微软的软件可能会让管理更复杂、更耗时(最终产生的费用也相当昂贵),因为它们往往需要依赖于你的环境、应用程序补丁以及基础设施结构,这是一个明显的缺点。
另一种可以抵御攻击的方法是通过确保DEP生效,从而使得IE运行在被削减的权限之下,尽管这种措施据称也已经被漏洞利用程序绕过了。DEP是用于阻止来自非可执行存储位置上的可执行代码的攻击,这在理论上会使攻击者更难使用类似极光行动中的攻击来控制系统。另外,IE8也提供了额外的保护措施去对抗这种类型的攻击。
多层加密或者代理服务器可以用来隐藏被控制电脑的网络通信,并使通信的源头不被检测到。为了能发觉和终止这样的通信,网络连接需要被监控,特别是那些从公司网络向外的连接。但这种监控可能会因为外部连接的多样性而变得没有效率,但是监控从系统流出的特定非正常的大型数据也是可以辨别电脑是否被控制的一种途径。一个经验丰富的组织或许也会想到用防火墙来划分它的网络,从而限制攻击者从一个部分跳到另一个部分。
为了确保类似于极光行动的攻击不再发生,组织应采取一些基础的信息安全措施。公司需要评估他们的网络并确定最高风险在哪,然后运用合适的防御措施去应付这些风险。比如说,在谷歌最初的声明中,该公司推荐企业使用知名的反恶意软件工具,勤打补丁以及定期升级浏览器。
对所有组织而言,本文所谈到的方法并不都是适用的。每个组织在防御攻击之前都需要进行基础的部署。通过深度防御策略,将类似攻击的影响降到最小,从而更好的避免零日攻击完全控制目标电脑,并防止其通过隐藏而免于被检测。