近日一些国家已经逮捕了几个Zeus攻击团伙,但Zeus犯罪软件工具包的简易用法及其有效性意味着这注定是难以根除的祸患,新的团伙将会迅速出现替代已经被逮捕的团伙。
Zeus并不是第一个犯罪软件工具包,但是由于该工具包非常强大且易于使用,它迅速成为犯罪团伙首选的攻击工具。McAfee实验室近日强调了某特定版本的Zeus中的一些高级功能可以用来制造自定义Zeus僵尸程序,包括ZeuS Builder应用程序等。
虽然犯罪团伙可以很容易地创造新的Zeus变种来逃避防病毒检测,但企业还是可以部署一些常见的防御系统来帮助保护他们的网络和关键数据。同时,还有几个免费的资源可以用来帮助打击这种先进的恶意软件威胁,因为依赖于商品安全产品来提供保护并不足够。
绝对不可以忽视的事实是纵深防御技术是有效打击Zeus及类似恶意软件的良好基础,包括安装在所有工作站的防恶意软件解决方案、提供内容过滤和防恶意软件检测的web和电子邮件代理服务器、针对所有用户的最小特权访问(例如,随意网上冲浪或者电脑使用不能作为管理员)、入侵检测或者预防系统(IDS/IPS)以及网络内和互联网关处适当的防火墙部署。
简单依赖于商品安全解决方案的问题在于,恶意软件变化非常迅速,安全公司根本不可能保持他们产品的最新状态。当然也有例外,例如Damballa和FireEye的产品,但是它们都是打破了商品模式的先进解决方案,在中小型环境并不常见。
IT部门需要调整来应对目前面对的威胁,并且积极参与打击这种威胁,而不是简单地依赖于防病毒解决方案或者防火墙。预防当然是检测之后的首选方案,但预防和检测在打击Zeus和类似现代恶意软件方面都非常重要。
因为很多公司(无论大小)都依赖于他们桌面系统和电子邮件网关防病毒软件所提供的错误安全状态信息,认为他们现有的解决方案能够保护他们。而事实上,他们如果能够利用一些免费的资源和并不昂贵的资源来弥补现有解决方案的不足将达到事半功倍的效果。
并不是每个企业都能够部署web和电子邮件过滤设备,可能也不愿意将安全功能外包给云服务供应商。对于这种情况,一种可行的办法就是限制来自内部客户端的DNS查询只对受企业管理的DNS服务器,并且部署DNS黑名单。
这个方法的第一部分能够通过将受感染客户端的DNS设置更改为攻击者控制的恶意DNS服务器来阻止恶意软件。而第二部分则可以使用追踪恶意域名和定期更新以解决当前危机的黑名单。
与DNS黑名单列表类似,阻止已知恶意IP还可以帮助部署分层防御技术来阻止已经被证实存在Zeus恶意软件和漏洞的IP地址。除了已知Zeus域名的DNS,Zeus Tracker还可以提供可以使用你的防火墙、一个Squid代理服务器、Linux系统下的iptables以及Windows主机文件进行阻止的IP列表。
需要注意的是,黑名单并不是完美的,也可能会出现错误信息,但是部署黑名单作为额外的安全保护层要比阻止非恶意网站更有价值。
在文章的最后,大家需要认识到,没有任何一个安全解决方案可以解决所有的问题。IT部门需要采取分层的纵深防御方法以及积极的态度来利用免费的和并不昂贵的解决方案来全面阻止恶意软件威胁。
并不存在一劳永逸的工具来打击Zeus和现代恶意软件,企业需要从资金损失和数据泄漏事故的惨痛教训中学习到,应该积极主动打击现在的恶意软件威胁。