僵尸网络感染的检测及其再侵预防

普通的信息安全专业人员可能没有意识到，但僵尸网络已经无可争议地成为头号安全问题，企业需要面对的。为什么企业信息安全人员需要花费大部分的日常安全问题，如研究--被感染的终端，，，垃圾邮件的泛滥和数据泄露或丢失mdash；mdash，某种程度上，这些都是引起僵尸网络。

在本文中，我们首先简要地讨论僵尸网络是如何工作的，然后重点讨论应该采取哪些措施来识别和防止僵尸网络。

多年来，僵尸网络给许多消费者和企业带来了危害，僵尸网络攻击并没有减缓，在某种程度上，这是因为僵尸网络一直在改进它的功能，并且越来越容易使用。

有些人可能不熟悉僵尸网络是如何工作的。简而言之，首先，攻击者会尝试安装恶意软件对大量目标计算机通过电子邮件、恶意链接的网站，或者通过社交网络平台。这个恶意软件允许攻击者发送指令给破解电脑和做任何他们想做的事时，电脑的主人不知道。通常，感染成千上万的电脑都集成到一个僵尸或僵尸电脑的军队。这些计算机的综合计算能力使攻击者能够执行各种恶意活动。

虽然通过消除的指挥和控制结构，打击行业；的僵尸网络，以及消费者和企业都在努力改善他们的安全状况，但僵尸网络和恶意软件的攻击已经发展的新领域，实现他们的目的，是非法的。在过去，僵尸网络使用基于网络的攻击，针对Windows系统，现在他们开始攻击的应用程序。更糟糕的是，一个成功的应用程序攻击通常只需要几个用户的活动，如访问网页或打开恶意附件。

企业环境中僵尸网络的识别与清除

如果企业中的多台机器感染了僵尸网络，会有明显的迹象，包括异常的网络活动或客户端系统的不稳定。一个计算机连接到一个外部系统异常的网络活动，但攻击者已经意识到这种情况很快就会导致安全人员，所以他们试图减少主机的数量或发送的数据量，并使用HTTP，HTTPS或其他常见的协议削弱监控客户端系统的不稳定表现有缓慢的操作等。然而，这是不常见的，因为一旦用户报告，慢慢地，人们将研究本地系统，公司可以监控网络中的僵尸网络感染结合网络分析和相关报表，以及日志或局部系统的调查。的监测方法之一是查看本地系统，比较网络连接与当地工具报告网络连接外部网络。一切出现在网络上，而不是在本地系统的报告，可以命令与控制信道或从您的环境数据。

对于一个大型的分布式网络，最有效的方法是使用专用的网络设备来访问所有的互联网流量识别可疑的数据包流量。这看起来像一个标准的网络数据，但是当大量的数据发送到外面，尤其是当来自多个系统，有一个方法来识别交通产生的交通系统。我们也可以用一个已知的僵尸网络控制器扫描IP地址相关的识别可疑的网络连接。

一旦企业认识到受感染的系统，它必须专注于消除僵尸网络，因为，如上所述，僵尸网络可以执行各种恶意活动，包括攻击内部系统或作弊。标准的建议是格式和重装被感染的系统，它总是删除恶意软件的最有效的方法。在当地的系统重装，僵尸网络也应该从网络中删除以防止进一步感染。远程系统连接到本地系统的感染也应断开，以防止其他感染本地系统触摸遥控系统，企业不应该在本地系统上存储数据，而且还用标准化体系建立过程的自动化软件最小化停机时间的分布函数。

另一个选择是使用备份恢复系统，让系统恢复生产。你可以试着用杀毒软件或自定义工具手动删除恶意软件或僵尸软件，如杀毒软件厂商或内部开发的工具，这种方法可以适用于那些没有进入系统的敏感数据，但它会导致系统再次被恶意软件或病毒感染。一般来说，格式化和重装被感染的系统是一个更好的方式。

企业能做什么

采取基本的安全控制措施来防范大部分僵尸网络攻击，如果这些基本控制不包含这种威胁，就要考虑到一些先进的控制措施，基本的安全控制措施包括：

客户端杀毒软件mdash；mdash；每个客户端计算机必须安装最新的杀毒软件，定期更新，过程最好是自动或采取类似措施。

操作系统加强mdash；mdash；每个客户端计算机应该采取基本的强化措施，如去除不必要的软件或服务，等等。

防火墙mdash；mdash；每个客户端计算机应该是受基于主机的防火墙和网络防火墙。如果可能的话，所有两个防火墙必须用于真正的深保护。

为员工设置适当的权限级别mdash；mdash；执行标准的活动时，每个用户必须登录只有普通低特权。

适当的补丁管理是mdash；mdash；每个客户端计算机上运行的软件更新和修补以防止攻击的软件，无法修补。

如果您的企业应用程序需要禁用上述基本安全控件，例如，一些自定义应用程序需要管理员级别权限，也可能需要采取一些高级控制措施。这些高级控制措施包括：

特殊的防病毒或反僵尸网络设备如帕洛阿尔托mdash；mdash；网络，Actiance，统一的安全防火墙，网关（综合安全网关），免费BotHunter工具和其他工具，可以用来识别和防止整个网络的僵尸网络，无论本地系统没有控制措施，提供额外的保护层系统。

沙盒mdash；mdash；这些工具分离最常用和最危险的应用程序，如Web浏览器、PDF阅读器、多媒体播放器，与系统的其他部分来保护他们免受攻击。

白名单mdash；mdash；该技术严格限制系统能够做什么，这样可以防止一些恶意软件感染系统。

浏览器安全工具mdash；mdash；这些工具，如Firefox的Noｓｃｒｉｐｔ插件，Trusteer的融洽和其他工具，也可以保护浏览器的使用。

反钓鱼工具mdash；mdash；这些工具可用于与其他工具结合防止有针对性的电子邮件攻击。此外，许多这些工具可以将其记录到安全信息和事件管理（SIEM）系统来帮助识别一些先进的攻击。然而，所有这些控件应该进行评估，因为他们管理的复杂性可以有网络上的潜在影响。

然而，如果你发现这样的情况：安全控制的基本措施没有充分保护受感染的系统（例如，零点然后僵尸感染），那么他们应该做一个深入的调查，确定哪些控制失败了，为什么不能决定是否要采取先进的控制措施。该调查应比较网络流量与当地报告的网络连接，或者使用取证技术来确定文件的创建、删除或修改过程中的感染。

结论

虽然研究人员去年对某些僵尸网络采取了措施，但它们已经演变并继续危害更多的消费者和企业，企业应该采取基本的安全控制措施，以尽量减少僵尸网络攻击和其他攻击的影响。当基本安全措施失败，他们应该使用或购买先进的控制措施后，感染僵尸网络，企业应研究确定控制措施是有问题的，需要做出哪些改变以抑制未来这些攻击。企业应识别和删除的僵尸网络，尽快减少这些攻击其他系统和网上金融交易的危险。