誰(shuí)容易受到攻擊？

鑒于Stuxnet如此受人關(guān)注，似乎許多系統(tǒng)都被該病毒感染。雖然10萬(wàn)個(gè)系統(tǒng)不算少，但是與被Renos惡意軟件感染的百萬(wàn)個(gè)系統(tǒng)相比還是小數(shù)目。然而，受到感染的系統(tǒng)雖然比較少，但是容易受到利用多個(gè)零日漏洞的惡意軟件攻擊的系統(tǒng)數(shù)量卻極其巨大(前提是零日攻擊的目標(biāo)為電腦中的多個(gè)軟件)。

有趣的是，最應(yīng)該關(guān)心多個(gè)零日攻擊的企業(yè)通常是那些已經(jīng)阻止了其他常見(jiàn)攻擊的企業(yè)。如果傳統(tǒng)攻擊技術(shù)無(wú)效的話，攻擊者更可能利用零日技術(shù)進(jìn)行攻擊。沒(méi)有阻止過(guò)常見(jiàn)攻擊的企業(yè)也會(huì)受到多個(gè)零日技術(shù)的攻擊，但是他們可能已經(jīng)被普通的惡意軟件入侵過(guò)了。

為了確定你的企業(yè)是否容易受到此類攻擊，請(qǐng)仔細(xì)評(píng)估現(xiàn)存的安全保護(hù)系統(tǒng)，并確定所有的這些保護(hù)是否會(huì)被最近的零日攻擊繞過(guò)。企業(yè)必須自己進(jìn)行這些具體的評(píng)估，因?yàn)樗鼈內(nèi)Q于你系統(tǒng)上的各種保護(hù)措施。

注重安全的企業(yè)在評(píng)估系統(tǒng)和網(wǎng)絡(luò)時(shí)需要了解利用多個(gè)零日漏洞的惡意軟件，并且要把它們考慮進(jìn)去。如果系統(tǒng)保護(hù)措施相互重疊嚴(yán)重，并且會(huì)以同樣的方式失敗，那么即使安裝多層保護(hù)也可能無(wú)法提供重要的額外安全，反而會(huì)增加系統(tǒng)的攻擊面，讓管理更加困難。

企業(yè)對(duì)多個(gè)零日攻擊的防御策略

為了防御多個(gè)零日攻擊或者有針對(duì)性的攻擊，企業(yè)不僅需要使用殺毒軟件、更新補(bǔ)丁、采用基于主機(jī)的防火墻等標(biāo)準(zhǔn)措施，還應(yīng)該考慮部署外圍防火墻、基于網(wǎng)絡(luò)的殺毒監(jiān)測(cè)和阻斷、以及入侵監(jiān)測(cè)等，從而防御各種類型的攻擊。雖然額外的多層安全在某層失敗后可以提供協(xié)助保護(hù)，但是多層保護(hù)并不能真正提供足夠的深層次防御。

比如，如果你的企業(yè)在臺(tái)式機(jī)、服務(wù)器、電子郵件系統(tǒng)以及網(wǎng)絡(luò)設(shè)備中使用相同的殺毒軟件引擎，單靠這些殺毒軟件監(jiān)測(cè)提供的保護(hù)范圍可能并不會(huì)比只在臺(tái)式機(jī)中安裝這種殺毒引擎提供的保護(hù)范圍大多少。如果不是所有的臺(tái)式機(jī)都安裝了殺毒軟件，或者不是所有機(jī)器中的殺毒引擎都進(jìn)行了合適的操作，那么使用相同監(jiān)測(cè)引擎的額外層才可能會(huì)提供額外的安全保護(hù)覆蓋面。在服務(wù)器、電子郵件系統(tǒng)以及基于網(wǎng)絡(luò)的殺毒設(shè)備中運(yùn)行不同的或者額外的殺毒引擎，可以增加額外的零日保護(hù)或者惡意軟件的監(jiān)測(cè)覆蓋面。

如果你的企業(yè)擔(dān)心這類攻擊，你可以采取額外的步驟(保護(hù)USB連接的安全)以防護(hù)或者限制攻擊。如果不需要USB連接，請(qǐng)禁用它們，確保USB設(shè)備是在安全的配置中使用，確保USB設(shè)備的自動(dòng)運(yùn)行不能攻擊系統(tǒng)。禁用USB設(shè)備之后，請(qǐng)鎖定其他的物理安全設(shè)置，比如說(shuō)系統(tǒng)BIOS。還有，只允許用有效的證書(shū)進(jìn)行軟件簽名，并與應(yīng)用程序白名單一起使用，從而防止惡意代碼在系統(tǒng)中執(zhí)行。微軟的增強(qiáng)的減災(zāi)體驗(yàn)工具包 (EMET)可以為微軟軟件提供額外的惡意軟件保護(hù)，防止軟件被攻擊者進(jìn)行漏洞利用。只要有可能，企業(yè)還應(yīng)該考慮不要把任務(wù)優(yōu)先的系統(tǒng)連接到通用網(wǎng)絡(luò)或者互聯(lián)網(wǎng)上。

Stuxnet只是使用高級(jí)功能和利用多個(gè)零日漏洞的惡意軟件之一。歷史的經(jīng)驗(yàn)告訴我們，惡意軟件和攻擊者只需做最少工作的就可以入侵系統(tǒng)，而隨著防護(hù)水平的提高，攻擊者的水平也會(huì)相應(yīng)提高。Stuxnet以及將來(lái)可能利用多個(gè)零日漏洞的惡意軟件，表明了企業(yè)需要仔細(xì)評(píng)估自己的安全保護(hù)措施，并且弄清這些保護(hù)是否能夠阻斷以及如何阻斷這種攻擊。利用多個(gè)零日漏洞的攻擊將會(huì)更加常見(jiàn)，因?yàn)樵趷阂廛浖锌梢越壎ü舻钠脚_(tái)不斷涌現(xiàn)，而且在惡意軟件中包含新型攻擊變得越來(lái)越簡(jiǎn)單了。

Stuxnet蠕蟲(chóng)病毒已經(jīng)引起了媒體的廣泛關(guān)注，因?yàn)檫@種病毒能夠感染多種不同類型的系統(tǒng)。Symantec公司發(fā)布了一篇詳細(xì)介紹Stuxnet的技術(shù)文章，并且指出，該病毒已經(jīng)感染了近10萬(wàn)個(gè)系統(tǒng)。

Stuxnet類似于2009年12月的Operation Aurora(極光行動(dòng))攻擊和Zeus僵尸病毒，因?yàn)樗憩F(xiàn)出了惡意軟件的尖端技術(shù)。然而，Stuxnet更加復(fù)雜，主要是因?yàn)樗軌蛲瑫r(shí)利用多個(gè)零日漏洞。雖然通常很難預(yù)測(cè)未來(lái)的惡意軟件，但是可以確定的是，Stuxnet不是最后一種同時(shí)利用多個(gè)零日漏洞的攻擊。在本文中，我們將討論Stuxnet的具體攻擊方法，以及企業(yè)應(yīng)該如何防御這種類似的漏洞利用程序。

當(dāng)前Stuxnet的狀態(tài)

Stuxnet是目前世界上最先進(jìn)的惡意軟件之一，因?yàn)樗卸喾N不同的惡意功能。它可以利用四種零日漏洞，其中包括Windows打印機(jī)后臺(tái)處理中的一個(gè)遠(yuǎn)程漏洞，以及另外一個(gè)具有本地升級(jí)權(quán)限的漏洞。攻擊一個(gè)零日漏洞比較普遍，而試圖利用多個(gè)零日漏洞媒介可以讓攻擊者更加成功地入侵系統(tǒng)。雖然這是真的，但是對(duì)于每個(gè)零日漏洞來(lái)說(shuō)可能都存在保護(hù)措施，或者系統(tǒng)并不會(huì)運(yùn)行該軟件容易受攻擊的版本(比如，惡意軟件試圖攻擊32位系統(tǒng)，但是最終攻擊的卻是64位Windows系統(tǒng)，或者目標(biāo)系統(tǒng)使用的是另外一種PDF閱讀器，而不是Adobe Reader)，然而如果惡意軟件包括多個(gè)零日漏洞攻擊，只要其中一個(gè)攻擊媒介沒(méi)有受到充分的保護(hù)，就為攻擊者提供了可乘之機(jī)。

攻擊零日漏洞的惡意軟件并不常見(jiàn)，普通的惡意軟件一般針對(duì)的是比較老的、沒(méi)打補(bǔ)丁的常見(jiàn)漏洞以及安全性差的系統(tǒng)，而能同時(shí)攻擊多個(gè)零日漏洞的惡意軟件則少之又少。

雖然利用多個(gè)零日漏洞可以增加攻擊者成功的機(jī)會(huì)，但是攻擊者所帶來(lái)的破壞跟零日漏洞的數(shù)量沒(méi)有關(guān)系。破壞的大小取決于攻擊者利用漏洞所獲得的訪問(wèn)權(quán)限，以及是否能夠完全控制整個(gè)系統(tǒng)。如果惡意軟件能夠控制系統(tǒng)，不管它同時(shí)利用幾個(gè)零日漏洞都沒(méi)關(guān)系，因?yàn)樗焕靡粋€(gè)漏洞入侵系統(tǒng)。一旦攻擊者控制了系統(tǒng)，就可以截獲數(shù)據(jù)，使用該系統(tǒng)去攻擊其他系統(tǒng)，或者進(jìn)行該系統(tǒng)可以完成的任何事情。

攻擊多個(gè)零日漏洞的惡意軟件利用了多個(gè)攻擊媒介，這會(huì)增加它被監(jiān)測(cè)到的機(jī)會(huì)，具體的取決于惡意軟件的工作方式。如果多個(gè)失敗的利用被記錄下來(lái)，就會(huì)引起更多的關(guān)注，因?yàn)檫@可能是一個(gè)不尋常的事件。所以，攻擊者需要進(jìn)行權(quán)衡，因?yàn)樗麄冊(cè)绞鞘褂枚鄠€(gè)零日攻擊入侵系統(tǒng)，就越有可能被監(jiān)測(cè)到。

【編輯推薦】

1. 木馬釋放器集合惡意程序
2. 木馬強(qiáng)化惡意文件迷惑性
3. 給你預(yù)防病毒的八個(gè)忠告
4. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢(shì)
5. 如何全面清除計(jì)算機(jī)電腦病毒
6. 淺析漏洞攻擊與惡意程序植入的合作關(guān)系
7. 淺析漏洞攻擊與惡意程序植入的合作關(guān)系 續(xù)