最近出現(xiàn)一些有關(guān)于大型botnet的事件，比如那些用來(lái)破壞Twitter 和Facebook網(wǎng)站的botnet，已經(jīng)是眾所周知的新聞了。雖然那些大型的安全事件很容易引起人們的注意，但那些規(guī)模較小的、更加隱蔽的botnet攻擊才是對(duì)于企業(yè)來(lái)說(shuō)更大的威脅，這一點(diǎn)已被人們所證實(shí)。

隨著企業(yè)的安全防護(hù)機(jī)制日漸增強(qiáng)，攻擊者會(huì)去尋找系統(tǒng)的弱點(diǎn)，然后開(kāi)始使用規(guī)模較小的、不太引人注意的botnet，從而避開(kāi)企業(yè)的安全防衛(wèi)體系。在這篇技巧文章中，我們將分析為什么這些所謂的微型botnet能夠成功地進(jìn)行攻擊、怎樣識(shí)別它們，以及怎樣阻止它們的破壞行為。

為什么微型botnet的攻擊效果更好

大型的botnet經(jīng)常被用來(lái)發(fā)起拒絕服務(wù)（DoS）攻擊。為了能夠讓一個(gè)電子商務(wù)網(wǎng)站崩潰，或者阻止一個(gè)企業(yè)訪問(wèn)Web，這些攻擊需要一些資源——即botnet軍隊(duì)。就像在戰(zhàn)爭(zhēng)中派遣成千上萬(wàn)的士兵去打敗敵人一樣，攻擊者會(huì)將很多計(jì)算機(jī)的資源集中起來(lái)去攻擊一個(gè)服務(wù)器或網(wǎng)絡(luò)。當(dāng)攻擊者想對(duì)一個(gè)企業(yè)發(fā)起DoS攻擊時(shí)，他會(huì)給很多分散的botnet軍隊(duì)發(fā)送命令，讓他們集中起來(lái)攻擊受害者。因?yàn)檫@在目標(biāo)環(huán)境中創(chuàng)建了多條連接，所以會(huì)引起幾乎所有主機(jī)和周邊保護(hù)系統(tǒng)的注意（以及資源），致使受害者完全沒(méi)有任何辦法，甚至整個(gè)系統(tǒng)都會(huì)崩潰。

與大型botnet利用大量資源去沖擊網(wǎng)絡(luò)發(fā)起拒絕服務(wù)攻擊所不同的是，微型botnet被檢測(cè)到的可能性很小。因?yàn)樗鼈冎恍枋褂幂^少的計(jì)算機(jī)，發(fā)送較少的數(shù)據(jù)包，所以它們?cè)诒荛_(kāi)防火墻的botnet監(jiān)測(cè)以及入侵檢測(cè)系統(tǒng)方面更有優(yōu)勢(shì)。為了進(jìn)一步避開(kāi)監(jiān)測(cè)，控制botnet的人還可以通過(guò)對(duì)自己的微型botnet進(jìn)行設(shè)置使得殺毒軟件不能工作（雖然軟件看起來(lái)還在正常工作）、長(zhǎng)期潛伏在機(jī)器上、或者不定期的呼叫攻擊者以獲取新命令。沒(méi)有能夠監(jiān)測(cè)的識(shí)別標(biāo)志、沒(méi)有不正常行為的模式，這使得哪怕是最先進(jìn)的、基于行為的入侵防護(hù)系統(tǒng)都很難注意到微型botnet。

為什么微型botnet能夠成功

為了進(jìn)入企業(yè)、繞過(guò)防火墻和IPSes，攻擊者們經(jīng)常以用戶為目標(biāo)。

使用社會(huì)工程學(xué)對(duì)目標(biāo)用戶進(jìn)行攻擊是滲透到一個(gè)企業(yè)最簡(jiǎn)單的方法之一。它能夠相對(duì)容易地找到企業(yè)和員工的信息，然后把這些信息融入到一個(gè)構(gòu)思巧妙的釣魚(yú)email里，并以惡意軟件為郵件的附件。探測(cè)和踩點(diǎn)分析（footprinting）網(wǎng)絡(luò)的弱點(diǎn)也是微型botnet攻擊者常用的方法，但這比發(fā)送簡(jiǎn)單的email需要更長(zhǎng)的時(shí)間。一旦一臺(tái)機(jī)器被攻破，攻擊者要么可以給受害者的發(fā)送惡意軟件命令，讓它們繼續(xù)攻破其他的主機(jī)，進(jìn)一步的擴(kuò)展botnet，從而在受害者的網(wǎng)絡(luò)中提取到目標(biāo)數(shù)據(jù)；要么干脆把botnet賣給別人，轉(zhuǎn)而去尋找下一個(gè)受害者。

更糟的是，一旦他們攻破了一個(gè)網(wǎng)絡(luò)，微型botnet還可以潛伏一段時(shí)間，等待進(jìn)一步的命令或者特定的“觸發(fā)”事件。大型botnet需要更好的命令和控制，這樣做可能導(dǎo)致響應(yīng)不正?；蛘弑话l(fā)現(xiàn)，與此不同的是，小型botnet更加精確，最適合發(fā)起定向的攻擊，特別對(duì)特定數(shù)據(jù)進(jìn)行偷竊時(shí)。

微型botnet能夠比傳統(tǒng)botnet更有效地搜尋出數(shù)據(jù)。微型botnet經(jīng)常將多種方法混合來(lái)使用，從而獲得敏感數(shù)據(jù)。它們更加謹(jǐn)慎，在探測(cè)網(wǎng)絡(luò)時(shí)一次只發(fā)送幾個(gè)包，能利用受操縱的帳戶搜尋商業(yè)秘密，并且能通過(guò)刪除關(guān)鍵的軟件文件使得殺毒軟件失效。一個(gè)微型botnet在跟正常的網(wǎng)絡(luò)流量一起穿過(guò)網(wǎng)絡(luò)時(shí)，會(huì)試圖發(fā)起這些攻擊，而且還會(huì)嘗試其他的混合攻擊。

幫助找到并組止微型botnet的最佳辦法

很明顯，人的因素是一個(gè)重要的環(huán)節(jié)，而且很明顯botnet可以避開(kāi)傳統(tǒng)的防護(hù)系統(tǒng)并滲透到企業(yè)環(huán)境中去。為了保護(hù)自己不受到微型botnet的攻擊，企業(yè)必須開(kāi)始分配更多的資源來(lái)檢測(cè)它們，而不是只把重心放在防御上。就像前面描述的一樣，botnet經(jīng)常能夠輕易的潛入企業(yè)環(huán)境，而傳統(tǒng)的防御系統(tǒng)卻總是不起作用。不是說(shuō)防御就沒(méi)有必要了，而是說(shuō)監(jiān)測(cè)已經(jīng)進(jìn)入企業(yè)的botnet是最應(yīng)該做的，哪怕是一次鼠標(biāo)的點(diǎn)擊也不應(yīng)該忽視。如果你認(rèn)為防火墻、IDS或者惡意軟件防御軟件足以應(yīng)付外界的攻擊，那么這種心態(tài)會(huì)導(dǎo)致你誤認(rèn)為自己的工作環(huán)境是安全的。企業(yè)必須做得更多，才能了解自己的網(wǎng)絡(luò)中到底發(fā)生了什么。

了解和理解網(wǎng)絡(luò)的活動(dòng)可以更早的識(shí)別出攻擊，從而能夠更好的對(duì)攻擊作出回?fù)?。然而，這超出了資產(chǎn)管理的范圍，而且還需要對(duì)主機(jī)上運(yùn)行的全部程序、主機(jī)放置在什么地方、它們使用什么端口等等信息有所了解。它包括對(duì)環(huán)境的映射、保持客戶端軟件升級(jí)到最新配置的詳細(xì)資料等。

在微型botnet開(kāi)始顯現(xiàn)的時(shí)候，不管這一動(dòng)作多么的微小，都需要你注意網(wǎng)絡(luò)流量中異常的增長(zhǎng)、意外開(kāi)放的端口，以及帳戶權(quán)限突然提升等情況。如果你正在使用一個(gè)模式掃描器（pattern scanner），那么請(qǐng)?zhí)岣哽`敏級(jí)別，花點(diǎn)額外的時(shí)間確定那是不是一個(gè)錯(cuò)誤的確認(rèn)。對(duì)日志進(jìn)行分析是一個(gè)好的網(wǎng)絡(luò)安全習(xí)慣，這樣你可以了解網(wǎng)絡(luò)中到底發(fā)生了什么事情。如果想對(duì)大部分的日志進(jìn)行自動(dòng)化分析，你可以看看由LogLogic Inc.、ArcSight Inc公司或者Tenable Network Security Inc公司提供的產(chǎn)品。

最后，一定要重視培訓(xùn)和教育用戶。用戶必須懂得怎樣識(shí)別和報(bào)告不正常的網(wǎng)絡(luò)活動(dòng)，以避免成為社會(huì)工程攻擊的受害者。為了引起用戶的注意，培訓(xùn)過(guò)程必須安排得有趣，還應(yīng)該檢查用戶是否真正懂得了課程所學(xué)內(nèi)容。為了找到以及阻止微型botnet的攻擊，企業(yè)必須把更好的培訓(xùn)和上面提到的安全措施結(jié)合起來(lái)，列入到企業(yè)的安全策略中去。
 

【編輯推薦】

1. 黑客的最愛(ài)：木馬Rootkits和僵尸Botnets
2. 企業(yè)如何制定Twitter策略 防止來(lái)自社交網(wǎng)絡(luò)的威脅
3. Twitter再爆安全漏洞黑客可短信息中插惡意代碼