僵尸網(wǎng)絡(luò)似乎成為了網(wǎng)絡(luò)犯罪的鐘愛品，如同僵尸網(wǎng)絡(luò)這個名字，快速的傳染和難以消滅使得僵尸網(wǎng)絡(luò)成為了網(wǎng)絡(luò)安全中最為頭痛的話題。Zeus僵尸網(wǎng)絡(luò)對于黑客們來說，確實方便快捷。它使用起來很容易，這使得很多網(wǎng)絡(luò)犯罪者們都喜歡使用Zeus僵尸網(wǎng)絡(luò)。本文將主要介紹一下歷史中Zeus是如何成為企業(yè)重點關(guān)注的安全難題，以及怎樣才能更好的防御它。

Zeus僵尸網(wǎng)絡(luò)是一個真正可以用來犯罪的工具包，它可以開發(fā)自定義的、難以檢測的木馬。由于這種木馬程序可以具備多種不同的能力，而且變化迅速，它在協(xié)助網(wǎng)絡(luò)罪犯感染本地系統(tǒng)、建立命令和控制基礎(chǔ)設(shè)施，以及設(shè)置釣魚攻擊網(wǎng)站方面非常的成功。有報道指出，企業(yè)攻擊者甚至以“軟件即服務(wù)”模型（SaaS）的方式來銷售Zeus，這讓攻擊者更加方便。

Zeus一直在用多種不同的方式發(fā)送它的攻擊代碼，而且根據(jù)Zeus的不同版本以及攻擊者的不同選擇，使用的漏洞利用程序（exploits）也會不同。Zeus已經(jīng)被綁定在各種各樣的漏洞利用工具中，甚至被綁定在了rouge殺毒軟件上。因為Zeus是一個木馬，不會自我復(fù)制，所以它們往往通過其他惡意軟件上的piggy-baking技術(shù)進行安裝。最初，Internet Explorer漏洞利用程序是用來在系統(tǒng)上安裝惡意軟件的，但是最近已經(jīng)發(fā)展到使用PDF的運行功能來感染本地系統(tǒng)了。

Zeus最初是用來獲取金融機構(gòu)網(wǎng)頁認證碼的，但是它可以通過改變配置來尋找證券認證碼、401ks等類似內(nèi)容，以及其他類型的網(wǎng)站，其中包括購物和社交網(wǎng)站等。簡而言之，這種木馬會偷竊這些認證碼，并且通過僵尸網(wǎng)絡(luò)把這些數(shù)據(jù)傳給木馬控制人員。攻擊者然后就會登錄被破解的賬戶并通過ACH交易從賬戶中轉(zhuǎn)移金錢。商業(yè)以及商業(yè)賬戶也容易受到同樣的攻擊，實際上這種賬戶更吸引攻擊者，因為這種賬戶里面的資金數(shù)目可能會很大。更糟糕的是，ACH交易不具備類似于信用卡交易欺詐的法律保護，這讓清除由Zeus感染引起的金融問題更加復(fù)雜化。

盡管Zeus僵尸網(wǎng)絡(luò)分析工作表明它的攻擊會更加先進而且難以監(jiān)測，但還是有辦法可以去阻止Zeus僵尸網(wǎng)絡(luò)給你的企業(yè)帶來金融損害的。為了完全防止損失，我們考慮限制企業(yè)中高風(fēng)險用戶電腦的功能，也就是限制那些能夠訪問敏感金融賬戶和賬戶數(shù)據(jù)的系統(tǒng)的功能。另一種策略就是使用專門的電腦來進行金融交易。這臺機器可以放在隔離的虛擬LAN上，也可以放在一個具有防火墻、并與其他網(wǎng)絡(luò)隔離的物理網(wǎng)絡(luò)中，就算是網(wǎng)絡(luò)上其他的用戶被感染了，專用電腦仍然很安全。我建議對這個電腦進行配置，電腦最好是Linux或者Mac OS X系統(tǒng)，以使它的唯一功能就是運行網(wǎng)頁瀏覽器進入你的銀行或者特定的金融網(wǎng)站，防止這臺電腦通過其他方式受感染。這個鎖定的電腦甚至可以是一個運行在安全虛擬基礎(chǔ)設(shè)施上的虛擬桌面，當你想進行交易的時候就可以進行遠程連接。

由于這個策略可能無法在所有的企業(yè)中實現(xiàn)，我們還有其他的最佳實踐做法來保護客戶不受Zeus的毒害，其中包括限制瀏覽器的網(wǎng)頁瀏覽功能，具體做法如下：運行瀏覽器唯一允許的白名單應(yīng)用程序；禁止瀏覽器插件；禁止JavaScript或者 ActiveX控件；如果必要的話只允許必需的網(wǎng)站運行JavaScript或者特定的活動控件。有些金融機構(gòu)在有些高風(fēng)險用戶的電腦上安裝了額外的安全軟件，提供額外的網(wǎng)頁瀏覽器安全。我以前在專欄中提到，為了保護客戶不受惡意軟件攻擊，最重要的做法就是要運行最新版的網(wǎng)頁瀏覽器和其他的應(yīng)用程序。

不幸的是，最實用和最劃算的策略可能是在一次Zeus攻擊發(fā)生后，你要盡快地做出反應(yīng)，并且想辦法把損失降至最小。這方面的一個關(guān)鍵技術(shù)就是使用基于網(wǎng)絡(luò)的反惡意軟件設(shè)備或者其他網(wǎng)絡(luò)隔離措施。有些基于網(wǎng)絡(luò)的反惡意軟件設(shè)備專門處理僵尸網(wǎng)絡(luò)命令和控制交流協(xié)議，能夠阻止Zeus木馬程序與僵尸網(wǎng)絡(luò)交流。如果使用網(wǎng)絡(luò)隔離措施，已知的不良網(wǎng)站IP地址將不會被路由，或者會受到防火墻的攔截。你可以使用來自Zeus跟蹤網(wǎng)站的數(shù)據(jù)，但是這可能需要大量的管理工作。你甚至可以決定讓自己所在的企業(yè)不使用網(wǎng)上銀行或者進行網(wǎng)上金融交易，但是這樣做又過于極端。

隨著攻擊者擴展和改進Zeus工具包的功能，Zeus僵尸網(wǎng)絡(luò)的威脅范圍不斷擴大。我們不能再用陳舊的觀念看待問題了，Zeus的目標不再只是銀行業(yè)，現(xiàn)在它還會攻擊其他類型的網(wǎng)站和企業(yè)，危害范圍更加廣泛。由于Zeus的復(fù)雜性以及攻擊者可以通過它獲益，它在短期內(nèi)滅亡似乎不太可能，但是有了上述策略，再加上交易認證技術(shù)的不斷進展，還是能夠限制Zeus的危害的。
 

1. 互聯(lián)網(wǎng)十大僵尸網(wǎng)絡(luò)
2. 六把利劍斬殺僵尸網(wǎng)絡(luò)
3. 五大僵尸網(wǎng)絡(luò)解析
4. 僵尸網(wǎng)絡(luò)蔓延 法律成為“絆腳石”？
5. 數(shù)據(jù)泄露的七種主要途徑