2009年12月，谷歌和其他著名公司受到了未知惡意程序的攻擊。這一事件被稱為極光行動(dòng)（Operation Aurora），此次零日攻擊是針對(duì)當(dāng)時(shí)未發(fā)布補(bǔ)丁的IE瀏覽器漏洞。

極光行動(dòng)中最嚴(yán)峻的情況是：即使配置了較完善安全資源的組織仍然可能是受害者。如果一些最先進(jìn)并獲得雄厚資金支持的IT安全組織都可以被黑客攻擊，那么對(duì)那些擁有較少安全資源的小型組織而言，為了保護(hù)自身不受這樣的攻擊，他們的日子將會(huì)更加艱難。然而，從極光行動(dòng)中我們也可以吸取很多重要的教訓(xùn)，在本文中我們將討論關(guān)于該攻擊，企業(yè)需要了解的信息，以及在今后發(fā)生類似的攻擊時(shí)企業(yè)應(yīng)該采取的預(yù)防措施。

極光行動(dòng)：背景

讓我們回顧一下已經(jīng)報(bào)道出來的關(guān)于極光攻擊以及各個(gè)組織應(yīng)該如何阻止該攻擊的一些技術(shù)細(xì)節(jié)。谷歌報(bào)告說，它以及至少20家大公司，在2009年12月成為極光行動(dòng)的攻擊目標(biāo)。谷歌認(rèn)為這次攻擊侵犯了知識(shí)產(chǎn)權(quán)，其目標(biāo)針對(duì)的是中國人權(quán)活躍分子的Gmail賬戶。

根據(jù)極光行動(dòng)攻擊后發(fā)布的報(bào)告，黑客將IE瀏覽器零日漏洞及其利用程序與未知的惡意軟件綁定在一起發(fā)起攻擊。某些攻擊被黑客認(rèn)為是成功的，因?yàn)楸还舻膶?duì)象是重要的公司，媒體緊接著就進(jìn)行了廣泛的報(bào)道。而高端的黑客技術(shù)和比較普通的零日攻擊和未知惡意軟件結(jié)合在一起使用，這一點(diǎn)也被認(rèn)為是成功的。他們通過在網(wǎng)絡(luò)通信中使用多層加密，成功地讓攻擊躲避了安全檢測。

極光行動(dòng)的攻擊媒介

雖然IE瀏覽器零日漏洞及其利用程序本身并不是最高端的攻擊，但它可以使攻擊者完全控制受害者的電腦系統(tǒng)，這一點(diǎn)已在極光行動(dòng)中被證明是成功的。然而，如果攻擊者想成功做到這一步，還需要提高其登陸帳戶的訪問權(quán)限，或者由攻擊者憑借漏洞利用程序去獲得較高的訪問權(quán)限。當(dāng)已登陸的用戶只具有普通用戶訪問的權(quán)限時(shí)，一些惡意軟件將感染系統(tǒng)，但卻不容易接管系統(tǒng)。很多組織不必允許所有用戶都具有管理員級(jí)別的權(quán)限，因?yàn)樵擃悪?quán)限可以進(jìn)行應(yīng)用程序安裝、更改配置以及其他一些沒有限制的操作。然而，當(dāng)攻擊者找到了可以提高系統(tǒng)權(quán)限的途徑，那么就沒有辦法去阻止黑客濫用這些權(quán)限了。而通過只為用戶提供必要的訪問權(quán)限，可以使漏洞更難被成功利用。

過去從未出現(xiàn)過的惡意軟件是相當(dāng)常見的攻擊媒介，經(jīng)常被普通的網(wǎng)絡(luò)罪犯用來做一些可以馬上得利的事情。在這次極光行動(dòng)攻擊中，黑客獲得了一些知名度很高的賬戶。雖然發(fā)起極光行動(dòng)的直接動(dòng)機(jī)尚不清楚，但從長遠(yuǎn)來看，敏感數(shù)據(jù)是具有價(jià)值的，最起碼可以作為一個(gè)監(jiān)視的戰(zhàn)術(shù)。

預(yù)防類似極光行動(dòng)的攻擊

盡管這些攻擊方法很令人煩惱，但也有很多方法可以防御它們，以確保類似的攻擊不會(huì)成功。剛開始的時(shí)候，你可以選擇使用非IE的網(wǎng)頁瀏覽器或者其他操作系統(tǒng)，從而避免IE瀏覽器零日攻擊，這依賴于你的環(huán)境可承受的危險(xiǎn)等級(jí)，部署的深度防御安全控制有多少，以及對(duì)攻擊者的價(jià)值。然而，使用非微軟的軟件可能會(huì)讓管理更復(fù)雜、更耗時(shí)（最終產(chǎn)生的費(fèi)用也相當(dāng)昂貴），因?yàn)樗鼈兺枰蕾囉谀愕沫h(huán)境、應(yīng)用程序補(bǔ)丁以及基礎(chǔ)設(shè)施結(jié)構(gòu)，這是一個(gè)明顯的缺點(diǎn)。

另一種可以抵御攻擊的方法是通過確保DEP生效，從而使得IE運(yùn)行在被削減的權(quán)限之下，盡管這種措施據(jù)稱也已經(jīng)被漏洞利用程序繞過了。DEP是用于阻止來自非可執(zhí)行存儲(chǔ)位置上的可執(zhí)行代碼的攻擊，這在理論上會(huì)使攻擊者更難使用類似極光行動(dòng)中的攻擊來控制系統(tǒng)。另外，IE8也提供了額外的保護(hù)措施去對(duì)抗這種類型的攻擊。

多層加密或者代理服務(wù)器可以用來隱藏被控制電腦的網(wǎng)絡(luò)通信，并使通信的源頭不被檢測到。為了能發(fā)覺和終止這樣的通信，網(wǎng)絡(luò)連接需要被監(jiān)控，特別是那些從公司網(wǎng)絡(luò)向外的連接。但這種監(jiān)控可能會(huì)因?yàn)橥獠窟B接的多樣性而變得沒有效率，但是監(jiān)控從系統(tǒng)流出的特定非正常的大型數(shù)據(jù)也是可以辨別電腦是否被控制的一種途徑。一個(gè)經(jīng)驗(yàn)豐富的組織或許也會(huì)想到用防火墻來劃分它的網(wǎng)絡(luò)，從而限制攻擊者從一個(gè)部分跳到另一個(gè)部分。

為了確保類似于極光行動(dòng)的攻擊不再發(fā)生，組織應(yīng)采取一些基礎(chǔ)的信息安全措施。公司需要評(píng)估他們的網(wǎng)絡(luò)并確定最高風(fēng)險(xiǎn)在哪，然后運(yùn)用合適的防御措施去應(yīng)付這些風(fēng)險(xiǎn)。比如說，在谷歌最初的聲明中，該公司推薦企業(yè)使用知名的反惡意軟件工具，勤打補(bǔ)丁以及定期升級(jí)瀏覽器。

對(duì)所有組織而言，本文所談到的方法并不都是適用的。每個(gè)組織在防御攻擊之前都需要進(jìn)行基礎(chǔ)的部署。通過深度防御策略，將類似攻擊的影響降到最小，從而更好的避免零日攻擊完全控制目標(biāo)電腦，并防止其通過隱藏而免于被檢測。

零日攻擊：誰容易受到攻擊？

鑒于Stuxnet如此受人關(guān)注，似乎許多系統(tǒng)都被該病毒感染。雖然10萬個(gè)系統(tǒng)不算少，但是與被Renos惡意軟件感染的百萬個(gè)系統(tǒng)相比還是小數(shù)目。然而，受到感染的系統(tǒng)雖然比較少，但是容易受到利用多個(gè)零日漏洞的惡意軟件攻擊的系統(tǒng)數(shù)量卻極其巨大（前提是零日攻擊的目標(biāo)為電腦中的多個(gè)軟件）。

有趣的是，最應(yīng)該關(guān)心多個(gè)零日攻擊的企業(yè)通常是那些已經(jīng)阻止了其他常見攻擊的企業(yè)。如果傳統(tǒng)攻擊技術(shù)無效的話，攻擊者更可能利用零日技術(shù)進(jìn)行攻擊。沒有阻止過常見攻擊的企業(yè)也會(huì)受到多個(gè)零日技術(shù)的攻擊，但是他們可能已經(jīng)被普通的惡意軟件入侵過了。

為了確定你的企業(yè)是否容易受到此類攻擊，請(qǐng)仔細(xì)評(píng)估現(xiàn)存的安全保護(hù)系統(tǒng)，并確定所有的這些保護(hù)是否會(huì)被最近的零日攻擊繞過。企業(yè)必須自己進(jìn)行這些具體的評(píng)估，因?yàn)樗鼈內(nèi)Q于你系統(tǒng)上的各種保護(hù)措施。

注重安全的企業(yè)在評(píng)估系統(tǒng)和網(wǎng)絡(luò)時(shí)需要了解利用多個(gè)零日漏洞的惡意軟件，并且要把它們考慮進(jìn)去。如果系統(tǒng)保護(hù)措施相互重疊嚴(yán)重，并且會(huì)以同樣的方式失敗，那么即使安裝多層保護(hù)也可能無法提供重要的額外安全，反而會(huì)增加系統(tǒng)的攻擊面，讓管理更加困難。

企業(yè)對(duì)多個(gè)零日攻擊的防御策略

為了防御多個(gè)零日攻擊或者有針對(duì)性的攻擊，企業(yè)不僅需要使用殺毒軟件、更新補(bǔ)丁、采用基于主機(jī)的防火墻等標(biāo)準(zhǔn)措施，還應(yīng)該考慮部署外圍防火墻、基于網(wǎng)絡(luò)的殺毒監(jiān)測和阻斷、以及入侵監(jiān)測等，從而防御各種類型的攻擊。雖然額外的多層安全在某層失敗后可以提供協(xié)助保護(hù)，但是多層保護(hù)并不能真正提供足夠的深層次防御。

比如，如果你的企業(yè)在臺(tái)式機(jī)、服務(wù)器、電子郵件系統(tǒng)以及網(wǎng)絡(luò)設(shè)備中使用相同的殺毒軟件引擎，單靠這些殺毒軟件監(jiān)測提供的保護(hù)范圍可能并不會(huì)比只在臺(tái)式機(jī)中安裝這種殺毒引擎提供的保護(hù)范圍大多少。如果不是所有的臺(tái)式機(jī)都安裝了殺毒軟件，或者不是所有機(jī)器中的殺毒引擎都進(jìn)行了合適的操作，那么使用相同監(jiān)測引擎的額外層才可能會(huì)提供額外的安全保護(hù)覆蓋面。在服務(wù)器、電子郵件系統(tǒng)以及基于網(wǎng)絡(luò)的殺毒設(shè)備中運(yùn)行不同的或者額外的殺毒引擎，可以增加額外的零日保護(hù)或者惡意軟件的監(jiān)測覆蓋面。

如果你的企業(yè)擔(dān)心這類攻擊，你可以采取額外的步驟（保護(hù)USB連接的安全）以防護(hù)或者限制攻擊。如果不需要USB連接，請(qǐng)禁用它們，確保USB設(shè)備是在安全的配置中使用，確保USB設(shè)備的自動(dòng)運(yùn)行不能攻擊系統(tǒng)。禁用USB設(shè)備之后，請(qǐng)鎖定其他的物理安全設(shè)置，比如說系統(tǒng)BIOS。還有，只允許用有效的證書進(jìn)行軟件簽名，并與應(yīng)用程序白名單一起使用，從而防止惡意代碼在系統(tǒng)中執(zhí)行。微軟的增強(qiáng)的減災(zāi)體驗(yàn)工具包 （EMET）可以為微軟軟件提供額外的惡意軟件保護(hù)，防止軟件被攻擊者進(jìn)行漏洞利用。只要有可能，企業(yè)還應(yīng)該考慮不要把任務(wù)優(yōu)先的系統(tǒng)連接到通用網(wǎng)絡(luò)或者互聯(lián)網(wǎng)上。

總結(jié)

Stuxnet只是使用高級(jí)功能和利用多個(gè)零日漏洞的惡意軟件之一。歷史的經(jīng)驗(yàn)告訴我們，惡意軟件和攻擊者只需做最少工作的就可以入侵系統(tǒng)，而隨著防護(hù)水平的提高，攻擊者的水平也會(huì)相應(yīng)提高。Stuxnet以及將來可能利用多個(gè)零日漏洞的惡意軟件，表明了企業(yè)需要仔細(xì)評(píng)估自己的安全保護(hù)措施，并且弄清這些保護(hù)是否能夠阻斷以及如何阻斷這種攻擊。利用多個(gè)零日漏洞的攻擊將會(huì)更加常見，因?yàn)樵趷阂廛浖锌梢越壎ü舻钠脚_(tái)不斷涌現(xiàn)，而且在惡意軟件中包含新型攻擊變得越來越簡單了。

作者：Nick Lewis