|
在過去的一年中�,很少有安全事件像Duqu惡意軟件爆發(fā)那樣贏得媒體的注意�。Duqu木馬、亦或稱為W32.Duqu����,正如公眾所知,它會創(chuàng)建帶有“~DQ”前綴的文件��。它于去年10月14日首次被發(fā)現����,研究員們稱該木馬驚人地類似于危險的Stuxnet木馬,盡管Duqu木馬被設計專門用來收集情報數據����,而不是像Stuxnet木馬那樣搞垮核反應堆。
不是所有的惡意軟件都會得到同Stuxnet木馬一樣的注意�,因為很明顯對于大多數企業(yè)和消費者來說,還有更多逍遙法外的危險惡意軟件��。然而,這不意味著你能忽視Duqu木馬��。本文將審視Duqu木馬����,包括它的能力以及企業(yè)應該如何應對像Duqu木馬這樣的潛在威脅。
是否應該重視Duqu木馬�?
Duqu木馬已經引起信息安全媒體極大的注意,部分是因為它與Stuxnet的聯系�。最近的報告顯示,Duqu木馬是由Stuxnet同一個組織編寫的��,但是它可能不是直接基于Stuxnet代碼編寫的���。盡管在安全研究員們中對這點仍然保持著爭議��,但看起來Duqu的開發(fā)者確實從Stuxnet木馬學到了很多東西���。
Duqu木馬是相對復雜的惡意軟件樣本��,但是它的許多能力在當代的惡意軟件來看是“標準套餐”��。Duqu木馬屬于遠程訪問類型木馬��,被設計用于從特定的組織竊取信息,并且使用許多與其它惡意軟件一樣的技術���。在最新的賽門鐵克關于Duqu木馬報告中�,最值得注意的方面是它的“命令和控制(command-and-control)”服務器是如何轉發(fā)連接給其它服務器�����、以及點對點間的“命令和控制”組件�,盡管為 “命令和控制” 使用點對點技術不是新的技術。Duqu木馬對大多數企業(yè)造成的威脅級別是相對低的��,因為只在少數的企業(yè)中偵測到它的存在����。有高安全環(huán)境要求和高價值資產的企業(yè)要更加關注,因為他們可能成為Duqu木馬攻擊的目標����。Duqu和Stuxnet木馬可能用于未來的攻擊,但是攻擊者更可能會使用Duqu木馬作為額外的學習練習�����,以避免在未來使用任何Duqu的核心代碼編寫木馬時被偵測到���。
企業(yè)應對Duqu木馬
一般企業(yè)應對Duqu木馬時���,應該評估系統(tǒng)是否能夠偵測并預防該木馬�����,并將它作為公司計算機安全事故響應團隊(computer security incident response team �����,CSIRT)的樣例��。隨著惡意軟件攻擊變得更加先進�����,以及使用傳統(tǒng)的安全工具更加難以偵測���,評估是否使用企業(yè)目前的信息安全工具、或者如何使用它們來偵測像Duqu木馬這樣的惡意軟件能有助于確保對未來的事故有備無患�����。
使用現有的安全技術能夠偵測Duqu木馬許多的指紋��,如“命令和控制”的網絡通信����。如果企業(yè)保留來自IDS的網絡IP流數據,可以使用它來搜索離開網絡的數據���,或是尋找與“命令和控制”服務器的網絡連接��。DLP工具也能夠偵測離開網絡的數據�����。企業(yè)甚至可能使用原本用于系統(tǒng)管理的工具來每天為系統(tǒng)上的所有文件建立目錄�����,然后進行差異分析(也可以是每天)來尋找未經授權的修改���,或是使用文件完整性監(jiān)控工具來辨識惡意文件被寫入系統(tǒng)。通過使用只允許核準代碼運行的白名單應用技術來也可能預防Duqu木馬的感染����。
使用Duqu木馬作為CSIRT練習的樣本也讓組織對類似的有目標的攻擊有所準備。如果在事故響應過程中發(fā)現不足���,可以調研新的系統(tǒng)或是數據來源�,以確保企業(yè)能偵測到該惡意軟件。大多數關于Duqu木馬的報告表明��,在被偵測到之前�,該木馬已經滲透入網絡達數月之久。該木馬被偵測之時�����,它瞄準的數據很可能已經被竊取��。因為Duqu木馬利用微軟Windows系統(tǒng)的零日漏洞���、并且是定制化的惡意軟件���,許多防病毒或是防惡意軟件產品無法偵測到它,這也是此類目標性攻擊的常見問題�����。因此對于企業(yè)來說���,保護自身防范由于像Duqu木馬類似攻擊所導致的破壞或損失的最佳做法是�����,迅速的偵測以及事故響應策略�����。這不是說迅速的偵測和良好的事故響應策略是唯一需要的安全控制�,但是高級的惡意軟件���、或是資源豐富的攻擊者極可能繞過任何預防性的安全控制措施����。
從Duqu惡意軟件中學到的教訓
盡管有更多更加危險的惡意軟件逍遙法外��,但我們仍能從Duqu木馬上學到一些具有價值的教訓����。企業(yè)應該實施必要的控制措施來確保他們的終端免于可能面對的攻擊,很少的企業(yè)會成為Duqu木馬的目標����,但是大多數的組織最終會被迫對其它類似的目標性攻擊作出響應,即使僅是釣魚式攻擊���。
隨著高級的攻擊技術更加地商品化��,就像摩爾定律描述的那樣��,更為廣泛的攻擊者社區(qū)在采用這些攻擊技術����。一定會有更多我們從沒聽說過的高級攻擊,所以關于高級攻擊的更多公布的數據���,只是幫助改進企業(yè)如何確保他們系統(tǒng)的安全���。隨著不斷復雜、易于使用的漏洞工具包出現����,企業(yè)應該在他們的環(huán)境內實施合理的安全控制,同時恰當地保護具有價值的個人資產����。
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商�!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
