企业如何检测并移除僵尸网络

“当谈到僵尸网络问题时，网络的规模是很关键的问题，”网络安全公司Check Point公司端点解决方案主管Scott Emo表示，这是因为僵尸网络规模越大，僵尸网络操作者破坏的“机器人士兵”就越多。

杀毒软件公司Sophos的经理Richard Wang评论说，Sophos“能够根据垃圾邮件、恶意软件回调更新和指示的网站、以及已知恶意软件库追踪僵尸网络的活动，但是，我们无法追踪个体僵尸网络。”

Richard继续说，“例如Zeus（又名Zbot）僵尸网络，虽然很多报告都说Zeus是很大的威胁，但他们没有解释它不是一个单一的僵尸网络，而是一个允许攻击者安装类似且独立僵尸网络的工具包。”

杀毒软件公司Kaspersky Lab的反病毒专家Timothy Armstrong表示，很难准备列出最具威胁性的前五名僵尸网络。Armstrong接着说，“虽然存在Conficker（也被Kaspersky成为Kido）这样广泛传播的僵尸网络，这个僵尸网络很可能造成严重破坏，但到目前为止还未出现重大破坏事故，与其他规模较小的僵尸网络相比。Zeus是目前非常具有威胁性的僵尸网络，在电子邮件附件中存在大量恶意软件。”“Zeus不存在特定的僵尸网络，最新的版本售价很高，而旧版本则可以免费获取。每个攻击者都可以根据自己的需求对Zeus进行配置，从而创造更多独特的Zeus僵尸网络。”

当然，我们还必须提到Koobface，开始时该僵尸网络专门针对Facebook，后来发展为攻击Twitter、Myspace和其他社交网络。Kaspersky估计每天大约有50万活跃的Koobface客户端，。

最后，Armstrong表示，“另外还有TDSS威胁，这个工具包更新非常频繁，以及窃取FTP验证信息的Gumblar，它还能通过服务器层进行自我传播。Rustock的最新更新提供TLS（透明层安全）加密以隐藏其垃圾邮件行为。”

不过，Fortinet公司的网络安全与威胁研究项目经理Derek Manky表示，最大最严重的五个僵尸网络包括以下：

1. Pushdo/Cutwail： Pushdo本身是一个“装载机”，这意味着它只是下载其他组件来安装在系统中。在商业模式中，Pushdo可以为客户定制安装特定恶意软件，根据每个安装来收取费用。Pushdo通常总是下载Cutwail，一个垃圾邮件引擎和webwail。Pushdo使用Cutwail来自我复制垃圾邮件，从而不断扩大其僵尸网络，也可通过Cutwail租出垃圾邮件服务

2. Bredolab：Bredolab也是很流行的装载机。除了发送垃圾邮件外，Bredolab还专注于下载“Scareware”（假杀毒软件）以及“Ransomware”产品。其主要商业模式是使用这些产品感染很多系统，希望受害者购买Scareware和Ransomware产品，然后获取佣金利润。

3. Zeus：Zeus作为犯罪软件工具包出售，这意味着它不仅仅是一个大型僵尸网络，而是很多独立僵尸网络。任何人都可以利用这个工具来创建自己的僵尸网络，而且很受欢迎。最近我们检测到很多Zeus变种。Zeus通常被配置为窃取信息，包括银行凭证信息和返回给攻击者的报告。

4. Waledac：与Cutwail一样，Waledac也可以利用其下载的定制模版发送垃圾邮件。由于它是基于模版的，Waledac也为垃圾邮件服务收费。与Pushdo不一样，Waledac在点到点网络操作，所以很难被攻破。它还可以加载恶意软件，代理HTTP内容来通过僵尸网络传播恶意网站。

5. Conficker：这个僵尸网络可能不需要过多介绍。虽然历史悠久，但Conficker从来没有真正导致过重大事故。但这并不意味着不存在威胁，该僵尸网络仍然很活跃。

打破僵尸网络

正如上文所述，现在网路中有大量自动化敌人正虎视眈眈地准备攻击你的电脑并使之成为犯罪奴隶，那么我们该怎么做呢?

对于不懂技术的人来说，只需要替换windows操作系统就可以避免僵尸网络的威胁。在Linux或者Mac操作系统还没有出现重大的僵尸网络，这只是windows面临的问题。即使你知道如何进行正确的操作来阻止恶意软件：及时进行windows系统和应用程序更新，保持杀毒程序更新等等，你仍然无法确保windows操作系统的安全性。

你坚持使用Windows还有什么需要做？

Manky强烈建议，不要触碰来自公司或者家庭网络外部的文件，除非你知道这些文件来自可信任来源。他表示，“当心文件中毒，PDF、XLS和DOC文件经常被利用来感染僵尸网络。”

特别是Adobe PDF，经常被僵尸网络用户和恶意软件编写者滥用。更糟糕的是，很少有人会更新PDF阅读器，即使出现越来越多的PDF攻击。虽然更新软件并不能完全确保安全性，但是不更新软件绝对会增强受到攻击的可能。

M86安全公司的技术策略副总裁Bradley Anstis表示，“事实证明，企业保护公司计算机首先需要采取的步骤是取消用户管理员访问权限。很多恶意软件安装都是因为系统未修复以及用户运行未打补丁的浏览器，例如IE。”而用户应该使用允许白名单JavaScript的浏览器，Firefox插件NoScript可以帮助解决这个问题，能够帮助确保系统免受恶意JavaScript的攻击。

当然，NoScript和类似程序的缺点就是很多网站依赖于JavaScript来显示，如果设置让正确网页使用JavaScript显示会很耗时间，并且，总是存在广告网站感染Javascript脚本的问题，这意味着，即使是信任的网页也可能成为感染源。

然后，正如Richard所说，“在企业设置web过滤可以帮助防止僵尸网络进入企业网络，网站是恶意软件传播的主要途径，所以阻止对某些已知恶意软件源的访问和扫描网络内容是任何安全设置的必要步骤。”

好的防火墙也可以帮助提高安全性。虽然防火墙不能够阻止僵尸网络感染，但它可以阻止僵尸网络控制者使用的网络端口指向和发动僵尸网络软件。

虽然僵尸网络曾使用相对模糊的端口如IRC（互联网中继聊天）的TCP 6660-6669，这很容易进行阻止。但现在，僵尸网络已经发展为使用通用端口（如HTTP80和HTTPS443）且有通用协议，使用它们自己的算法进行加密以逃避检测，还建立了点到点网络来加强僵尸网络。

总结来说，没有简单的办法阻止僵尸网络。我们能做的就是采取常用的安全措施，确保防火墙的开启，随时监测网络流量日志中任何不正常的活动。

【编辑推荐】