扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
打击垃圾邮件和其它类型的僵尸网络是一个长期的工作,需要我们时刻保持警惕性。尽管我们可能无法打倒所有的坏人,但是可以通过提高自己的技术水平,尽力避免网络被盗用,让他们获取经济利益。
--------------------------------------------------------------------------------------------
尽管垃圾电子邮件最大的发送者McColo已经在2008年第四季度被关闭,但处于活跃状态的自动运行型木马(也叫做僵尸)数量还是处于持续增加的状态,初步估计速度大概是在每天30万左右。该数据来自internet.com网站上最新一篇由查德·阿迪卡里撰写的文章。在文章中,他对木马继续增长的原因进行了分析,归结于木马软件在编程和运行模式上都在逐步改善和提高。而在本文中,我将介绍的是怎样预防木马以及在出现后怎样进行有效处理这两个方面。
从阿迪卡里的文章中,我找到了两种关于攻击方式的介绍:
1. 网址嫁接技术的改善导致攻击成功率显著增加。
2. 象招聘类电子邮件之类的老式欺骗行为还是会让用户点击里面包含的连接。
现在就让我们看看,作为公司网络的管理员,为了防止公司网络受到僵尸网络入侵可以做些什么,以及怎样对已经进入系统的木马进行检测。
两种常见的网址嫁接技术
网址嫁接技术的关键是将网站的实际地址进行重定向或者将流量转移到一个恶意站点上。为了完成这样的工作,攻击者通常可以在两种方式中进行选择:修改主机文件或利用域名系统服务中存在的弱点。
当域名系统服务都无法使用或者由于需求变化正在按照新设置进行调整而导致域名到网络IP地址的转换过程出现问题时,主机文件是一个非常传统的解决方法。默认情况下,微软Windows操作系统的主机文件包含了域名/网络IP地址等信息,可以用来对域名系统进行解析。因此,对于攻击者来说,要做的就是在系统桌面上加上一个小脚本工具,对主机文件进行修改,这样的话,以后用户访问什么网站就由攻击者决定了。下面我们就从一个Windows XP SP2操作系统下的例子来看攻击的具体过程究竟是什么样子的。
如图一所示,在所有版本的Windows操作系统中,主机文件的保存位置都是一样的。主机文件是一个没有扩展名的文本文件。如果添加扩展名的话,就会导致Windows操作系统在启动时将其忽略。
图一
如图二所示,主机文件的内容可以给网络管理员提供帮助。请注意文件中类似域名系统记录主机地址转换信息的部分。
图二
为了能清楚地展示主机文件整个的工作过程,我选择将自己的网站adventuresinsecurity.com重定向到google.com作为例子。我ping谷歌网站,并将返回的网络IP地址加入到主机文件中,作为自己网站使用的网络IP地址。操作过程如图三所示。
图三
在我保存文件后(没有添加扩展名),就可以在命令行模式下使用ipconfig /flushdns命令清除解析器缓存。这两步操作将实现这样的效果。首先,它会从我用来进行实验的机器上清除所有的域名系统名称解析记录。接着,它会将主机文件中的内容添加到解析器缓存中。这样的话,只要Windows操作系统发送域名系统查询,对于adventuresinsecurity.com来说返回的将永远是谷歌的网络IP地址。(关于域名系统和解析器缓存操作的详细步骤,可以参阅文章《域名系统资源记录的完整性仍然存在一个相当大的问题》一文)。
为了继续进行测试,我关闭并重新启动了微软IE7网络浏览器,并输入了adventuresinsecurity.com对应的地址空间。正如你在图四中看到的,我进入了google.com而不是自己的网站。如果攻击者到达这个步骤,他或她就可能会将对应网站伪装得看上去和我自己的实际网站完全一样。这样的话,替代网站就可以进行包括对系统进行重定向以及成为僵尸网络的一部分等类的活动了。
图四
在默认情况下,除了本地管理员之外的所有用户都有权限对主机文件进行读/写操作。但在通常情况下,用户在不登陆网络和浏览页面的时间,会选择使用本地管理员的帐户,因此,对于黑帽黑客来说,这种类型的攻击如何进行将会是一个比较棘手的问题。但是还存在另一种途径。
黑帽黑客不能获得对本地主机文件进行修改的权限,就不能将用户重定向到恶意网站上。但最近发现的漏洞让域名系统解析器缓存攻击在服务器级别存在一种现实的可能性,特别是在域名系统务提供商还没有安装安全补丁或正确配置它们服务器的情况下。中毒的缓存会将所有的域名系统解析请求重定向到恶意服务器上。
对于垃圾邮件僵尸网络来说,各种各样的域名解析重定向正在成为吸收新成员的重要方法。尽管这并不是本文关注的重点,但我们应该了解,重定向会给数据和身份安全带来更大的风险。
垃圾邮件的增长和变异
垃圾邮件和网址嫁接技术对于僵尸网络来说是互相促进的两个方面。僵尸发送垃圾邮件,更多的垃圾邮件则会促进网络发展。在全球信息总量中,垃圾邮件的比率正在上升。根据阿迪卡里文章中提供的数据,垃圾邮件在整体电子邮件中的比例已经从2008年第四季度的72%增加到一月份的85%(约150亿封),并且增长速度方面没有任何减缓的迹象。
如此之多的垃圾邮件会导致僵尸网络规模的进一步扩大,而僵尸网络规模扩大又会进一步增加垃圾邮件的数量,恶性循环将进一步持续下去,最终的结果可能就是整个网络的崩溃。
防范措施
尽管前景并不是十分乐观,但垃圾邮件过滤器供应商还是奋力追踪垃圾邮件技术的发展,提高过滤技术。实际上,在不对正常电子邮件造成影响的情况下,是不可能阻止所有垃圾邮件的。因此,对于公司来说,为了保护网络和机密数据的运行,就必须放过一些类型的垃圾邮件,依靠用户自身的判断进行处理。但对于安全来说,指望人们依靠自身认识作出正确选择本身就是一件很不靠谱的事情。因此,对于安全专家来说,必须使用更多的方法,发现和清除已经进入公司网络中的木马和其他令人讨厌的恶意代码。
尽管预防措施是众所周知的,但落实情况往往并没有我们想象的那么好。下面就是预防措施的介绍:
· 禁止用户使用本地管理员的身份登陆。至少,限制他们系统对网络的访问。
· 过滤访问的网站。如果你没有专门预算用来处理这种情况,OpenDNS就是一个最佳的选择。
· 为域名系统服务安装补丁并进行配置以确保安全。如果你自己没有提供主机服务的话,可以选择象DNS Nameserver spoofability testing之类的免费服务。如果漏洞已经存在,请联系你的供应商,以解决这些问题。如果有必要的话,也可以选择转移到更注意网络安全的服务供应商上。
检测方式
不管你怎么精心防范,僵尸木马也总会找到方法进入你的网络。包括干预和清除功能在内的两种主要检测方法可以帮助你摆脱它们。我们首先要做的是,清除僵尸木马发送电子邮件的能力,切断受感染计算机与僵尸木马控制中心之间的联系。如果监测系统已经到位,拦截垃圾邮件就是标准的处理方法。入侵防御系统不仅仅是可以用来阻止垃圾邮件。它也可以用来提醒工作人员,网络中已经存在僵尸木马。
第二步,我们可以利用入侵防御系统提供的挤压/入侵检测方法,来检测并阻止僵尸木马尝试连接到无法辨识或与业务无关的外部服务器等行为。
最后,也是最简单的事情,就是防病毒解决方案的执行和日常管理。这有点象是老生常谈。但实际上,你会很惊讶的发现很多公司就是“不明白这一点”。
结 论
打击垃圾邮件和其它类型的僵尸网络是一个长期的工作,需要我们时刻保持警惕性。尽管我们可能无法打倒所有的坏人,但是可以通过提高自己的技术水平,尽力避免网络被盗用,让他们获取经济利益。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者