檢測僵屍網絡感染並防止其再次滲透

普通的信息安全職業人員可能沒有意識到，但是，僵屍網絡已經無可爭議地成為企業需要面對的頭號安全問題。為什麼？企業信息安全人員需要花時間處理的大多數日常安全問題——受感染的終端、垃圾郵件泛濫以及數據洩漏或丟失——從某種程度上講，這些都是由僵屍網絡引起的。

在本文中，我們首先簡單地討論一下僵屍網絡是如何工作的，然後重點介紹企業應該采取哪些措施來識別和阻止僵屍網絡活動。

多年來，僵屍網絡給許多消費者和企業都帶來了危害，而且僵屍網絡攻擊沒有放緩的跡象。在某種程度上，這是因為僵屍網絡一直在改進其功能，並變得越來越容易使用。

有些人可能不太熟悉僵屍網絡是如何工作的，簡而言之是這樣的，首先攻擊者會通過電子郵件中、網站上的惡意連接，或者通過社交網絡平台想方設法在大量的目標計算機上安裝惡意軟件。這種惡意軟件可以讓攻擊者在計算機主人不知道的情況下，給被破解的計算機發送指令，做他們想要做的任何事情。通常情況下，數千台受感染的計算機匯集成一個僵屍網絡或者僵屍計算機軍隊，這些電腦的綜合計算能力可以讓攻擊者進行各種惡意活動。

盡管業界通過消除它們的命令和控制結構來“打擊”僵屍網絡，且消費者和企業也在努力改進他們的安全狀況，但是僵屍網絡和惡意軟件已經進化，會攻擊新的領域來達到他們的非法目的。過去僵屍網絡使用直接以網絡為基礎的攻擊，以Windows系統為目標，現在它們開始攻擊應用程序了。更糟糕的是，成功的應用程序攻擊通常只需要很少的用戶活動，比如訪問網頁或者打開一個惡意附件等。

在企業環境中識別和清除僵屍網絡

如果企業中有幾台機器被僵屍網絡感染，會出現明顯的跡象，其中包括異常的網絡活動或客戶端系統的不穩定。異常網絡活動表現為一台計算機連接大量的外部系統，但是攻擊者已經意識到這種情況很快就會引起安全人員的注意，所以他們試圖減少主機數量或者朝外發送的數據量，並使用HTTP，HTTPS或者其他常用的協議來弱化監測。客戶端系統的不穩定表現包括運行速度慢等現象，然而這也不那麼常見了，因為終端用戶一旦報告速度慢，人們就會調查本地系統。企業可以結合網絡分析和相關性報告以及本地系統的日志或者調查，來監測網絡中的僵屍網絡感染。其中一個監測方法是檢查本地系統，把網絡中通往外部的網絡連接與本地工具報告的網絡連接相比較。凡是出現在網絡上、但是沒有出現在本地系統報告中的內容都可能是命令和控制通道或者你的環境發出的數據。

對於一個大型分布式的網絡來說，最有效的檢測方法就是使用專用網絡設備，訪問所有的互聯網流量，以識別可疑數據包。這種流量看起來像標准的網絡數據，但是當大量數據朝外部發送時，尤其是從多個系統發送時，就需要有一種方法來鑒別這種流量以及產生這些流量的系統。我們還可以使用已知的僵屍網絡控制器來掃描與IP地址相關的連接，識別可疑的網絡流量。

一旦企業識別出受感染的系統，就必須集中精力清除僵屍網絡，因為，如上所述，僵屍網絡可以進行各種惡意活動，包括攻擊內部系統或者進行欺詐。標准的建議是格式化並重裝受感染的系統，這個方法總是刪除惡意軟件最有效的方法。本地系統重裝以後，還應該把僵屍網絡從網絡中移除，以防止進一步的感染。與受感染的本地系統相連接的遠程系統也應該斷開，以防止其他可能受到感染的本地系統接觸遠程系統。企業不要把數據存儲在本地系統上，而且要使用標准化的系統構建過程以及自動化軟件分布功能，以盡量減少停工時間。

另外一個選擇是利用備份恢復系統，讓系統回到生產狀態。你可以嘗試使用殺毒軟件或者定制工具手動移除惡意軟件或者僵屍軟件，比如，殺毒軟件廠商提供的或者內部開發的工具，這種方法可能適合那些沒有權限接觸敏感數據的系統，但是這會導致系統再次被惡意軟件或者病毒感染。一般來說，格式化並重裝受感染的系統是更好的辦法。

企業還可以做什麼？

采取一些基本的安全控制措施很有必要，可以防御大多數的僵屍網絡攻擊。如果這些基本控制措施不能遏制這種威脅，那就要考慮采取某些高級控制措施。基本的安全控制措施包括：

客戶端殺毒軟件——每台客戶端計算機應該安裝最新的殺毒軟件並定期更新，這個過程最好是自動的，或者采取類似的控制措施。