|
||||
这就需要通过网络安全技术切断僵尸网络通向企业网络的传播途径。以近期最危险的僵尸网络程序之一Torpig为例,该僵尸网络程序的目的就是窃取身份认证信息、信用卡、银行账号和支付宝账户等。典型的Torpig感染方式如下图所示:
典型的Torpig感染方式
步骤1:桌面机客户访问某一Web服务器,该Web服务器由于存在漏洞,被Torpig感染;
步骤2:Torpig通过iframe方式修改用户的浏览器访问;
步骤3:重定向之后,桌面机客户的Web访问指向了Mebroot下载服务器;
步骤4:Mebroot下载服务器将Mebroot、注入DLL等下载到桌面机,该桌面机成为僵尸网络客户端;
步骤5:每两小时,该僵尸网络客户端和Mebroot C&C服务器联系;
步骤6:Torpig DLL注入到IE、Firefox等浏览器中,Outlook邮件客户端,Skype和即时通讯软件中;
步骤7:每20分钟,将窃取的身份认证信息、信用卡、银行账号和支付宝账户上传到Torpig C&C服务器上;
步骤8:Torpig C&C服务器下发包含银行域名、新的C&C服务器300个域名等信息的配置文件;
步骤9:僵尸网络客户端访问注入服务器;
步骤10:注入服务器发送钓鱼HTML文件到僵尸网络客户端。
值得注意的是,除了已知的各种技术,Torpig僵尸网络使用了一些新的技术,使得防范和反向追踪变得更为困难,如Mebroot下载服务器的路过式(Drive-by)感染,还有域名流动技术以随时变更C&C服务器。
要切断Torpig的传播,一种方法就是切断其与Torpig C&C服务器的联系,但是由于其域名流动技术使得该操作变得异常困难。加州大学圣巴巴拉分校(UCSB)的研究小组表现出了相当的耐心的才能。发现Torpig僵尸网络在确定攻击目标时使用的算法,提前计算出了Torpig将很快检查的域名,并特意在名声不好的域名提供商那里购买了这些域名。从而顺利地“接管”了一个庞大的Torpig僵尸网络长达10天。但是僵尸网络控制者查觉后,使用了新版的Torpig,改变了僵尸网络选择域名的算法,这一方法已经不再奏效。另外,这种预测并接管的方法过于复杂并且相对而言比较被动,并不适合企业使用。
McAfee Lab的研究人员通过在McAfee 入侵防护系统中加入各种新的安全技术,从而实现了对于僵尸网络的全面网络防护,下图给出了该系统防护Torpig的方式:
防护Torpig
对应于前述Torpig僵尸网络的感染途径,该系统可以起到以下作用。
步骤1:属于正常的Web访问,无需阻断;
步骤2:通过McAfee 入侵防护系统的漏洞保护功能,阻断Torpig通过iframe方式修改用户的浏览器;
步骤3:仍属于正常的Web访问,无需阻断;
步骤4:通过McAfee 入侵防护系统的Artemis云安全技术,检测并阻断服务器下发的Rootkit和恶件,避免该桌面机成为僵尸网络客户端;
步骤5:属于IRC通信,无需阻断;
步骤6:通过McAfee 入侵防护系统的Artemis云安全技术,检测并阻断服务器下发的Torpig DLL,避免浏览器注入等攻击;
步骤7:通过McAfee 入侵防护系统的行为检测技术,检测并阻断每20分钟的上传窃取信息到 Torpig C&C服务器上;
步骤8:通过McAfee 入侵防护系统的行为检测技术,检测并阻断Torpig C&C服务器下发的配置文件;
步骤9:属于正常的Web访问,无需阻断;
步骤10:文件传输,无需阻断。
通过这一方式,McAfee Lab研究人员成功地切断了Torpig僵尸网络的关键传播途径,即服务器端发起对客户端的攻击、服务器端下发Rootkit和恶件以及僵尸网络客户端和C&C服务器的信息传输,从而实现了在网络层对于Torpig等僵尸网络的防护。