尸網(wǎng)絡(luò)(Botnet)是指多臺被惡意代碼感染、控制的與互聯(lián)網(wǎng)相連接的計算機(jī)。Botnet正成為一種日益嚴(yán)重的威脅,不過,只要我們用好對付它的六把利劍,僵尸網(wǎng)絡(luò)就難以造成嚴(yán)重的禍患。
第一招:采用Web過濾服務(wù)
Web過濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些服務(wù)掃描Web站點發(fā)出的不正常的行為,或者掃描已知的惡意活動,并且阻止這些站點與用戶接觸。
Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實時地監(jiān)視互聯(lián)網(wǎng),并查找從事惡意的或可疑的活動的站點,如下載JavaScript或執(zhí)行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務(wù):通知Web站點操作人員及ISP等惡意軟件已經(jīng)被發(fā)現(xiàn),因此黑客攻擊的服務(wù)器能被修復(fù),他們?nèi)缡钦f。
第二招:轉(zhuǎn)換瀏覽器
防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準(zhǔn)化,而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當(dāng)然這兩者確實是最流行的,不過正因為如此,惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用于操作系統(tǒng)。據(jù)統(tǒng)計,Macs很少受到僵尸網(wǎng)絡(luò)的侵?jǐn)_,正如桌面Linux操作系統(tǒng),因為大多數(shù)僵尸的罪魁禍?zhǔn)锥及涯繕?biāo)指向了流行的Windows。
第三招:禁用腳本
另一個更加極端的措施是完全地禁用瀏覽器的腳本功能,雖然有時候這會不利于工作效率,特別是如果雇員們在其工作中使用了定制的、基于Web的應(yīng)用程序時,更是這樣。
第四招:部署入侵檢測和入侵防御系統(tǒng)
另一種方法是調(diào)整你的IDS(入侵檢測系統(tǒng))和IPS(入侵防御系統(tǒng)),使之查找有僵尸特征的活動。例如,重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑的。雖然難于發(fā)現(xiàn),不過,另一個可以揭示僵尸的征兆是在一個機(jī)器中SSL通信的突然上升,特別是在某些端口上更是這樣。這就可能表明一個僵尸控制的通道已經(jīng)被激活了。您需要找到那些將電子郵件路由到其它服務(wù)器而不是路由到您自己的電子郵件服務(wù)器的機(jī)器,它們也是可疑的。僵尸網(wǎng)絡(luò)的專家Gadi Evron進(jìn)一步建議,您應(yīng)該學(xué)會監(jiān)視在高層對Web進(jìn)行訪問的家伙。它們會激活位于一個Web頁面上的所有的鏈接,而一個高層次的訪問可能會指明一臺機(jī)器正被一個惡意的Web站點所控制。
一個IPS或IDS系統(tǒng)可以監(jiān)視不正常的行為,這些行為指明了難于發(fā)現(xiàn)的、基于HTTP的攻擊和來自遠(yuǎn)程過程的攻擊、Telnet和地址解析協(xié)議(即ARP)欺騙等等。然而,值得注意的是,許多IPS檢測器使用基于特征的檢測技術(shù),也就是說,這些攻擊被發(fā)現(xiàn)時的特征被添加到一個數(shù)據(jù)庫中,如果數(shù)據(jù)庫中沒有有關(guān)的特征就無法檢測出來。因此,IPS或IDS就必須經(jīng)常性的更新其數(shù)據(jù)庫以識別有關(guān)的攻擊,對于犯罪活動的檢測需要持續(xù)不斷的努力。
第五招:保護(hù)用戶生成的內(nèi)容
還應(yīng)該保護(hù)你的WEB操作人員,使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒有朝著WEB 2.0社會網(wǎng)絡(luò)邁進(jìn),你公司的公共博客和論壇就應(yīng)該限制為只能使用文本方式,這也是Web Crossing的副總裁Michael Krieg的觀點,他是社會化網(wǎng)絡(luò)軟件和主機(jī)服務(wù)的創(chuàng)造者。
Krieg 說,“我并不清楚我們成千上萬的用戶有哪一個在消息文本中允許了JavaScript,我也不清楚誰在其中嵌入了代碼和其它的HTML標(biāo)簽。我們不允許人們這樣做。我們的應(yīng)用程序在默認(rèn)情況下要將這些東西剝離出去!
Dan Hubbard是Websense安全研究的副總裁,他補(bǔ)充說,“那是用戶創(chuàng)建內(nèi)容站點的一個嚴(yán)重問題,即Web 2.0現(xiàn)象。你怎么才能在允許人們上傳內(nèi)容的強(qiáng)大功能與不允許他們上傳不良的東西之間尋求平衡呢?”
這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換文件,就應(yīng)該進(jìn)行設(shè)置,使其只允許有限的和相對安全的文件類型,如那些以.jpeg或mp3為擴(kuò)展名的文件。(不過,惡意軟件的作者們已經(jīng)開始針對MP3等播放器類型,編寫了若干蠕蟲。而且隨著其技術(shù)水平的發(fā)現(xiàn),有可能原來安全的文件類型也會成為惡意軟件的幫兇。)
第六招:使用補(bǔ)救工具
如果你發(fā)現(xiàn)了一臺被感染的計算機(jī),那么一個臨時應(yīng)急的重要措施就是如何進(jìn)行補(bǔ)救。像Symantec等公司都宣稱,他們可以檢測并清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術(shù)的使用,特別是VxMS讓反病毒掃描器繞過Windows 的文件系統(tǒng)的API。(API是被操作系統(tǒng)所控制的,因此易于受到rootkit的操縱)。其它的反病毒廠商也都試圖保護(hù)系統(tǒng)免受rootkit的危害,如McAfee 和FSecure等。
不過,Evron認(rèn)為,事后進(jìn)行的檢測所謂的惡意軟件真是一個錯誤!因為它會使IT專家確信他們已經(jīng)清除了僵尸,而其實呢,真正的僵尸代碼還駐留在計算機(jī)上。他說,“反病毒并非是一個解決方案,因為它是一個自然的反應(yīng)性的東西。反病毒能夠識別有關(guān)的問題,因而反病毒本身也會被操縱、利用。”
這并不是說你不應(yīng)該設(shè)法實施反病毒軟件中最好的對付rootkit的工具,不過你要注意這樣做就好似是在你丟失了貴重物品后再買個保險箱而已。用一句成語講,這就叫做“亡羊補(bǔ)牢”。Evron相信,保持一臺計算機(jī)絕對安全干凈、免受僵尸感染的方法是對原有的系統(tǒng)徹底清楚,并從頭開始安裝系統(tǒng)。
不要讓你的用戶訪問已知的惡意站點,并監(jiān)視網(wǎng)絡(luò)中的可疑行為,保護(hù)你的公共站點免受攻擊,你的網(wǎng)絡(luò)就基本上處于良好狀態(tài)。這是安全專家們一致的觀點。
可以注意到,如果一個網(wǎng)絡(luò)工作人員對于網(wǎng)絡(luò)安全百思不得其解,并會油然而生這樣一種感覺,‘我應(yīng)該怎么對付這些數(shù)以百萬的僵尸呢?’。”其實,答案非常簡單。正如,F(xiàn)aceTime 的惡意軟件研究主管Chris Boyd所言,“只需斷開你的網(wǎng)絡(luò),使其免受感染─病毒、木馬、間諜軟件或廣告軟件等……。將它當(dāng)作一臺PC上的一個流氓文件來進(jìn)行清除(不過,誰又能保證真正清除干凈呢?)。這就是你需要做的全部事情。