我們談?wù)摰慕┦?dāng)然是指受遠(yuǎn)程命令控制的僵尸電腦。這些電腦的數(shù)量會(huì)大幅增長(zhǎng)，每臺(tái)電腦都會(huì)向其控制者發(fā)出報(bào)告，最終組成一個(gè)僵尸網(wǎng)絡(luò)。

現(xiàn)在，我們正展開(kāi)一場(chǎng)與僵尸網(wǎng)絡(luò)之間的戰(zhàn)爭(zhēng)。是的，是演繹一場(chǎng)互聯(lián)網(wǎng)世界的“行尸走肉”。不過(guò)，這可不是好萊塢美劇，全球的政府安全部門(mén)和安全專(zhuān)家們都會(huì)加入到這場(chǎng)戰(zhàn)爭(zhēng)中來(lái)，對(duì)僵尸進(jìn)行獵捕，監(jiān)控和摧毀。最近的案例就有Bredolab(德國(guó)高科技犯罪小組破獲)，Rustock(微軟DCU)和Coreflood(FBI)。本文要講的是如何識(shí)別并避免當(dāng)今的僵尸威脅。

下面是給企業(yè)的七個(gè)小建議：

1.定期檢查機(jī)器/環(huán)境。僵尸可能是潛伏期很久的代碼，它可以等待數(shù)周甚至數(shù)月的時(shí)間才激活。不要主觀臆斷覺(jué)得檢查一次沒(méi)發(fā)現(xiàn)問(wèn)題就掉以輕心，這樣很可能會(huì)錯(cuò)過(guò)發(fā)現(xiàn)惡意行為的機(jī)會(huì)。

2.不要依賴可視檢查或者機(jī)器的檢測(cè)結(jié)果。流量監(jiān)測(cè)是發(fā)現(xiàn)僵尸程序的最佳方式，因?yàn)閿?shù)據(jù)包已經(jīng)從機(jī)器中發(fā)出，所以不能再被替換。僵尸程序通過(guò)rootkit感染電腦，獲取核心級(jí)別的特權(quán)，然后控制整個(gè)操作系統(tǒng)——隱藏文件，視窗，網(wǎng)絡(luò)流量等。

3.隔離正在接受檢查的機(jī)器或是一些彈出提示。在重新部署網(wǎng)絡(luò)前要完成清理工作。僵尸電腦會(huì)為幕后操縱者帶來(lái)財(cái)富。最常用的方式是通過(guò)流氓安全軟件和彈出的視窗告訴用戶要購(gòu)買(mǎi)安全軟件。顯然，之所以發(fā)生這種情況是因?yàn)闈摲慕┦呀?jīng)下載了這樣的軟件以達(dá)到賺錢(qián)目的。僵尸會(huì)快速地感染同一個(gè)網(wǎng)絡(luò)中的其他本地電腦，因此非常有必要及時(shí)對(duì)已感染機(jī)器進(jìn)行隔離直到僵尸程序清理干凈為止。Fortinet的FortiCleanupRootkit&Malware免費(fèi)清理工具(www.fortiguard.com/antivirus/malware_removal.html)。

4.流量評(píng)估。僵尸程序通常有一個(gè)重復(fù)性的操作，即對(duì)同一個(gè)端口(通常是HTTP)上的相同服務(wù)器發(fā)出響應(yīng)。如果你發(fā)現(xiàn)總是有攜帶HTTP請(qǐng)求的數(shù)據(jù)流發(fā)送到相同IP，特別是在沒(méi)有使用瀏覽器的時(shí)候，那么應(yīng)該是系統(tǒng)感染了僵尸病毒。

5.監(jiān)測(cè)輸出流量。入侵防御可以防止僵尸病毒感染網(wǎng)絡(luò)。這一技術(shù)也可以用來(lái)查探僵尸病毒。即便有機(jī)器感染了僵尸，檢測(cè)并阻止僵尸程序的輸出流量也可以有效減少威脅。這樣一來(lái)，僵尸雖未除，但是卻不能再接收命令或是發(fā)送信息，如竊取銀行憑證等。

6.避免感染，抵御攻擊。僵尸病毒可通過(guò)郵件附件，惡意鏈接，U盤(pán)和PDF文檔傳播。要禁用自動(dòng)運(yùn)行。通常，感染是通過(guò)打開(kāi)文件或鏈接來(lái)觸發(fā)。所以要在打開(kāi)鏈接前先看清楚鏈接。鏈接是通過(guò)郵箱，社交網(wǎng)絡(luò)還是即時(shí)通訊軟件發(fā)送其實(shí)沒(méi)有什么關(guān)系——因?yàn)樵矶际窍嗤?。PDF，DOC，XLS文件也可以成為傳染源。在打開(kāi)帶郵件附件或是鏈接前，花一點(diǎn)點(diǎn)時(shí)間檢查一下。

7.部署統(tǒng)一威脅管理。

反病毒檢查有助于攔截二進(jìn)制僵尸代碼，避免其操縱系統(tǒng)。

入侵防御可避免來(lái)自網(wǎng)頁(yè)的惡意代碼在系統(tǒng)上種植僵尸病毒。

網(wǎng)頁(yè)過(guò)濾可以在惡意代碼發(fā)送到瀏覽器之前就攔截惡意URL鏈接。

反垃圾郵件可以標(biāo)記出攜帶附件和鏈接的惡意郵件。

應(yīng)用控制可以阻止僵尸程序向幕后控制者發(fā)送信息。

【編輯推薦】

1. 微軟關(guān)停僵尸網(wǎng)絡(luò) 稱絕不妥協(xié)
2. UTM設(shè)備適合你的多層安全防御嗎？
3. 安全縱談：NGFW出現(xiàn)了 UTM應(yīng)該怎么辦?
4. 網(wǎng)絡(luò)安全好幫手：UTM知識(shí)精髓簡(jiǎn)介