2009年12月，谷歌和其他著名公司受到了未知惡意程序的攻擊。這一事件被稱為極光行動（Operation Aurora），此次零日攻擊是針對當(dāng)時未發(fā)布補(bǔ)丁的IE瀏覽器漏洞。

極光行動中最嚴(yán)峻的情況是：即使配置了較完善安全資源的組織仍然可能是受害者。如果一些最先進(jìn)并獲得雄厚資金支持的IT安全組織都可以被黑客攻擊，那么對那些擁有較少安全資源的小型組織而言，為了保護(hù)自身不受這樣的攻擊，他們的日子將會更加艱難。然而，從極光行動中我們也可以吸取很多重要的教訓(xùn)，在本文中我們將討論關(guān)于該攻擊，企業(yè)需要了解的信息，以及在今后發(fā)生類似的攻擊時企業(yè)應(yīng)該采取的預(yù)防措施。

極光行動：背景

讓我們回顧一下已經(jīng)報道出來的關(guān)于極光攻擊以及各個組織應(yīng)該如何阻止該攻擊的一些技術(shù)細(xì)節(jié)。谷歌報告說，它以及至少20家大公司，在2009年12月成為極光行動的攻擊目標(biāo)。谷歌認(rèn)為這次攻擊侵犯了知識產(chǎn)權(quán)，其目標(biāo)針對的是中國人權(quán)活躍分子的Gmail賬戶。

根據(jù)極光行動攻擊后發(fā)布的報告，黑客將IE瀏覽器零日漏洞及其利用程序與未知的惡意軟件綁定在一起發(fā)起攻擊。某些攻擊被黑客認(rèn)為是成功的，因為被攻擊的對象是重要的公司，媒體緊接著就進(jìn)行了廣泛的報道。而高端的黑客技術(shù)和比較普通的零日攻擊和未知惡意軟件結(jié)合在一起使用，這一點也被認(rèn)為是成功的。他們通過在網(wǎng)絡(luò)通信中使用多層加密，成功地讓攻擊躲避了安全檢測。

極光行動的攻擊媒介

雖然IE瀏覽器零日漏洞及其利用程序本身并不是最高端的攻擊，但它可以使攻擊者完全控制受害者的電腦系統(tǒng)，這一點已在極光行動中被證明是成功的。然而，如果攻擊者想成功做到這一步，還需要提高其登陸帳戶的訪問權(quán)限，或者由攻擊者憑借漏洞利用程序去獲得較高的訪問權(quán)限。當(dāng)已登陸的用戶只具有普通用戶訪問的權(quán)限時，一些惡意軟件將感染系統(tǒng)，但卻不容易接管系統(tǒng)。很多組織不必允許所有用戶都具有管理員級別的權(quán)限，因為該類權(quán)限可以進(jìn)行應(yīng)用程序安裝、更改配置以及其他一些沒有限制的操作。然而，當(dāng)攻擊者找到了可以提高系統(tǒng)權(quán)限的途徑，那么就沒有辦法去阻止黑客濫用這些權(quán)限了。而通過只為用戶提供必要的訪問權(quán)限，可以使漏洞更難被成功利用。

過去從未出現(xiàn)過的惡意軟件是相當(dāng)常見的攻擊媒介，經(jīng)常被普通的網(wǎng)絡(luò)罪犯用來做一些可以馬上得利的事情。在這次極光行動攻擊中，黑客獲得了一些知名度很高的賬戶。雖然發(fā)起極光行動的直接動機(jī)尚不清楚，但從長遠(yuǎn)來看，敏感數(shù)據(jù)是具有價值的，最起碼可以作為一個監(jiān)視的戰(zhàn)術(shù)。

預(yù)防類似極光行動的攻擊

盡管這些攻擊方法很令人煩惱，但也有很多方法可以防御它們，以確保類似的攻擊不會成功。剛開始的時候，你可以選擇使用非IE的網(wǎng)頁瀏覽器或者其他操作系統(tǒng)，從而避免IE瀏覽器零日攻擊，這依賴于你的環(huán)境可承受的危險等級，部署的深度防御安全控制有多少，以及對攻擊者的價值。然而，使用非微軟的軟件可能會讓管理更復(fù)雜、更耗時（最終產(chǎn)生的費用也相當(dāng)昂貴），因為它們往往需要依賴于你的環(huán)境、應(yīng)用程序補(bǔ)丁以及基礎(chǔ)設(shè)施結(jié)構(gòu)，這是一個明顯的缺點。

另一種可以抵御攻擊的方法是通過確保DEP生效，從而使得IE運行在被削減的權(quán)限之下，盡管這種措施據(jù)稱也已經(jīng)被漏洞利用程序繞過了。DEP是用于阻止來自非可執(zhí)行存儲位置上的可執(zhí)行代碼的攻擊，這在理論上會使攻擊者更難使用類似極光行動中的攻擊來控制系統(tǒng)。另外，IE8也提供了額外的保護(hù)措施去對抗這種類型的攻擊。

多層加密或者代理服務(wù)器可以用來隱藏被控制電腦的網(wǎng)絡(luò)通信，并使通信的源頭不被檢測到。為了能發(fā)覺和終止這樣的通信，網(wǎng)絡(luò)連接需要被監(jiān)控，特別是那些從公司網(wǎng)絡(luò)向外的連接。但這種監(jiān)控可能會因為外部連接的多樣性而變得沒有效率，但是監(jiān)控從系統(tǒng)流出的特定非正常的大型數(shù)據(jù)也是可以辨別電腦是否被控制的一種途徑。一個經(jīng)驗豐富的組織或許也會想到用防火墻來劃分它的網(wǎng)絡(luò)，從而限制攻擊者從一個部分跳到另一個部分。

為了確保類似于極光行動的攻擊不再發(fā)生，組織應(yīng)采取一些基礎(chǔ)的信息安全措施。公司需要評估他們的網(wǎng)絡(luò)并確定最高風(fēng)險在哪，然后運用合適的防御措施去應(yīng)付這些風(fēng)險。比如說，在谷歌最初的聲明中，該公司推薦企業(yè)使用知名的反惡意軟件工具，勤打補(bǔ)丁以及定期升級瀏覽器。

對所有組織而言，本文所談到的方法并不都是適用的。每個組織在防御攻擊之前都需要進(jìn)行基礎(chǔ)的部署。通過深度防御策略，將類似攻擊的影響降到最小，從而更好的避免零日攻擊完全控制目標(biāo)電腦，并防止其通過隱藏而免于被檢測。

零日攻擊：誰容易受到攻擊？

鑒于Stuxnet如此受人關(guān)注，似乎許多系統(tǒng)都被該病毒感染。雖然10萬個系統(tǒng)不算少，但是與被Renos惡意軟件感染的百萬個系統(tǒng)相比還是小數(shù)目。然而，受到感染的系統(tǒng)雖然比較少，但是容易受到利用多個零日漏洞的惡意軟件攻擊的系統(tǒng)數(shù)量卻極其巨大（前提是零日攻擊的目標(biāo)為電腦中的多個軟件）。

有趣的是，最應(yīng)該關(guān)心多個零日攻擊的企業(yè)通常是那些已經(jīng)阻止了其他常見攻擊的企業(yè)。如果傳統(tǒng)攻擊技術(shù)無效的話，攻擊者更可能利用零日技術(shù)進(jìn)行攻擊。沒有阻止過常見攻擊的企業(yè)也會受到多個零日技術(shù)的攻擊，但是他們可能已經(jīng)被普通的惡意軟件入侵過了。

為了確定你的企業(yè)是否容易受到此類攻擊，請仔細(xì)評估現(xiàn)存的安全保護(hù)系統(tǒng)，并確定所有的這些保護(hù)是否會被最近的零日攻擊繞過。企業(yè)必須自己進(jìn)行這些具體的評估，因為它們?nèi)Q于你系統(tǒng)上的各種保護(hù)措施。

注重安全的企業(yè)在評估系統(tǒng)和網(wǎng)絡(luò)時需要了解利用多個零日漏洞的惡意軟件，并且要把它們考慮進(jìn)去。如果系統(tǒng)保護(hù)措施相互重疊嚴(yán)重，并且會以同樣的方式失敗，那么即使安裝多層保護(hù)也可能無法提供重要的額外安全，反而會增加系統(tǒng)的攻擊面，讓管理更加困難。

企業(yè)對多個零日攻擊的防御策略

為了防御多個零日攻擊或者有針對性的攻擊，企業(yè)不僅需要使用殺毒軟件、更新補(bǔ)丁、采用基于主機(jī)的防火墻等標(biāo)準(zhǔn)措施，還應(yīng)該考慮部署外圍防火墻、基于網(wǎng)絡(luò)的殺毒監(jiān)測和阻斷、以及入侵監(jiān)測等，從而防御各種類型的攻擊。雖然額外的多層安全在某層失敗后可以提供協(xié)助保護(hù)，但是多層保護(hù)并不能真正提供足夠的深層次防御。

比如，如果你的企業(yè)在臺式機(jī)、服務(wù)器、電子郵件系統(tǒng)以及網(wǎng)絡(luò)設(shè)備中使用相同的殺毒軟件引擎，單靠這些殺毒軟件監(jiān)測提供的保護(hù)范圍可能并不會比只在臺式機(jī)中安裝這種殺毒引擎提供的保護(hù)范圍大多少。如果不是所有的臺式機(jī)都安裝了殺毒軟件，或者不是所有機(jī)器中的殺毒引擎都進(jìn)行了合適的操作，那么使用相同監(jiān)測引擎的額外層才可能會提供額外的安全保護(hù)覆蓋面。在服務(wù)器、電子郵件系統(tǒng)以及基于網(wǎng)絡(luò)的殺毒設(shè)備中運行不同的或者額外的殺毒引擎，可以增加額外的零日保護(hù)或者惡意軟件的監(jiān)測覆蓋面。

如果你的企業(yè)擔(dān)心這類攻擊，你可以采取額外的步驟（保護(hù)USB連接的安全）以防護(hù)或者限制攻擊。如果不需要USB連接，請禁用它們，確保USB設(shè)備是在安全的配置中使用，確保USB設(shè)備的自動運行不能攻擊系統(tǒng)。禁用USB設(shè)備之后，請鎖定其他的物理安全設(shè)置，比如說系統(tǒng)BIOS。還有，只允許用有效的證書進(jìn)行軟件簽名，并與應(yīng)用程序白名單一起使用，從而防止惡意代碼在系統(tǒng)中執(zhí)行。微軟的增強(qiáng)的減災(zāi)體驗工具包 （EMET）可以為微軟軟件提供額外的惡意軟件保護(hù)，防止軟件被攻擊者進(jìn)行漏洞利用。只要有可能，企業(yè)還應(yīng)該考慮不要把任務(wù)優(yōu)先的系統(tǒng)連接到通用網(wǎng)絡(luò)或者互聯(lián)網(wǎng)上。

總結(jié)

Stuxnet只是使用高級功能和利用多個零日漏洞的惡意軟件之一。歷史的經(jīng)驗告訴我們，惡意軟件和攻擊者只需做最少工作的就可以入侵系統(tǒng)，而隨著防護(hù)水平的提高，攻擊者的水平也會相應(yīng)提高。Stuxnet以及將來可能利用多個零日漏洞的惡意軟件，表明了企業(yè)需要仔細(xì)評估自己的安全保護(hù)措施，并且弄清這些保護(hù)是否能夠阻斷以及如何阻斷這種攻擊。利用多個零日漏洞的攻擊將會更加常見，因為在惡意軟件中可以綁定攻擊的平臺不斷涌現(xiàn)，而且在惡意軟件中包含新型攻擊變得越來越簡單了。

作者：Nick Lewis