黑客利用其牟利,对企业造成了严重的安全压力。对用户来说,防御僵尸并非“天价”,只要从自身的实际情况出发,采取针对性的措施,就可以收到效果。
严重的问题
近日,美国《Network World》披露了截止到2007年8月底全球的僵尸网络情况。报告指出,全球每小时平均有1100到1700台活跃的僵尸网络指挥控制服务器。
如果这听起来算不了什么,不妨想一想,企业面临的真正问题不是网络的数量,而是它们控制“肉鸡”的惊人数量。仅仅在今年的8个月时间里,每天被控制的客户端就以惊人的速度增长,从年初50万台左右增加到8月底的300万台。
事实上,这并非是所有僵尸和僵尸网络的数量,而只是活跃使用中的僵尸和僵尸网络的数量。有专家表示,没有人知道多少机器处于睡眠状态。一些研究人员甚至声称,全球可以接入Internet的11亿台计算机中有多达11%的计算机受到感染,构成可供利用的僵尸资源的一部分。
美国著名僵尸网络猎手Gadi Evron近日在论坛上表示,每天大约有350万台僵尸机被用于发送垃圾邮件。僵尸机规模如此巨大,以致统计它们的数量已经变得无关紧要了。
高性价比的防御计划
对僵尸网络的防御,业内不同的厂商提出了各自的方案,从网关型到内网型再到全网型,防御僵尸的成本处在不断上升的阶段。事实上,防御僵尸网络并非需要天价方案。一些国内外的安全组织已经总结出一系列具有代表性的防御方式,而且成本极低,这对于企业相当有诱惑力。
方式一:租用Web过滤服务
Web过滤服务是打击僵尸机的最佳办法之一。这类服务扫描寻求做出异常行为或已知恶意活动的Web网站,并阻止用户进入这些网站。相对于直接购买安全网关,租用的成本很低,对于资金压力较大的中国企业和高校来说,非常适合。
Anchiva、Websense、Cyveillance、FaceTime Communications就是这类服务的例子。有安全专家表示,所有这些服务都实时监测Internet,寻求从事可疑活动(如下载 JavaScript和执行Screen Scrapes等)。此外,这些过滤网关可以通知Web站点操作人员及ISP发现恶意件,使黑客攻击的服务器能够被修复。
方式二:转换浏览器
防止僵尸网感染的另一种策略是浏览器的标准化,而不是仅仅依靠微软的Internet Explorer 或Mozilla的Firefox。当然,这两者确实最流行,不过正因为如此,恶意软件作者们通常也最喜欢编写针对它们的恶意代码。同样的策略也适用于操作系统。根据IDC披露的数字,同桌面Linux操作系统一样,Mac OS很少受到僵尸网络的侵扰,因为大多数僵尸牧人都把目标指向了Windows。方式三:禁用脚本
虽然完全禁用浏览器的脚本功能可能不利于工作效率,但这对安全的确好处多多。不过这里需要提醒国内用户注意,由于国内很多企业的业务应用采用了定制与Web的方式,禁止脚本会对此类程序有影响,企业需要根据自身情况而定。
方式四:部署IDS/IPS
IDS和IPS是一种有效的对抗僵尸的方式,因为这些设备可以寻找有僵尸特征的活动。例如,在任何Internet聊天活动中突然增加的机器肯定是可疑的。那些与海外的IP地址连接或与非法的DNS地址连接也十分可疑。另一个可以揭示僵尸的迹象是,一台机器中的SSL通信突然增加,特别是基于某些不常用的端口活动,这就可能表明,一个僵尸控制的通道已经被激活了。
有专家表示,用户必须注意那些将电子邮件传送到其他服务器而不是企业自己的电子邮件服务器的机器。有美国的用户提出,企业的IT经理应该学会监视运行在应用层的Web搜索器。应用层会激活一个Web页面上的所有链接,这可能表明一台机器正与一个恶意的Web站点连接。
另外,IPS可以监视异常行为。TippingPoint公司的安全专家李臻在接受记者采访时表示,这些行为表明难于发现的、基于HTTP的攻击以及这些攻击来自远程调用过程、Telnet和地址解析协议(即ARP)欺骗等等。然而,值得注意的是,许多IPS传感器使用基于特征比对的技术。换句话说,这些攻击被发现时,它们的特征被添加到一个安全数据库中。IPS必须定期更新其数据库以识别攻击。因此,对于犯罪活动的检测需要持续不断的努力。
方式五:保护内容
国内用户应当注意,在对抗僵尸网络的同时,还应该保护自己的Web操作,使其避免成为恶意软件作者的帮凶。另外,记者在上期报道了Web 2.0的安全问题。不幸的是,对于僵尸网络,Web2.0的表现更加糟糕。事实上,不少美国安全专家甚至建议,基于Web2.0的公司博客和论坛就应该被限制在文本方式下。因为在消息文本中使用JavaScript或者嵌入HTML标签都是不安全的。
另外,如果企业站点需要让成员或用户交换文件,就应该被设置为使其只允许有限的和相对安全的文件类型,如那些以.jpeg或mp3为扩展名的文件。(不过,美国恶意软件的作者们已经开始把MP3播放器作为目标,编写了若干蠕虫。)
方式六:使用补救工具
如果用户发现了一台被感染的计算机,需要决定的是如何最好地进行补救。很多安全公司宣称,他们可以检测并清除即使是隐藏最深的rootkit。不过有专家认为,事后进行的检测恶意件实际上是个错误!因为它会诱使IT专家确信他们已经清除了僵尸,而其实呢,真正的僵尸代码还隐藏在计算机上。
这并不是说用户不应该去部署杀毒软件,而只是说这样做就好像在自己的贵重物品被盗之后再去买个保险箱。事实上,在检测到僵尸恶意软件后,确保一台计算机绝对干净的唯一办法是彻底清除原有的系统,并从头开始安装系统。而国内的安全专家们也提醒用户,远离僵尸的廉价方式之一,就是不要让企业用户访问已知的恶意网站,同时确保企业网络处于良好状态。