在過去的一年中,很少有安全事件像Duqu惡意軟件爆發那樣贏得媒體的注意。Duqu木馬、亦或稱為W32.Duqu,正如公眾所知,它會創建帶有“~DQ”前綴的文件。它于去年10月14日首次被發現,研究員們稱該木馬驚人地類似于危險的Stuxnet木馬,盡管Duqu木馬被設計專門用來收集情報數據,而不是像Stuxnet木馬那樣搞垮核反應堆。
不是所有的惡意軟件都會得到同Stuxnet木馬一樣的注意,因為很明顯對于大多數企業和消費者來說,還有更多逍遙法外的危險惡意軟件。然而,這不意味著你能忽視Duqu木馬。本文將審視Duqu木馬,包括它的能力以及企業應該如何應對像Duqu木馬這樣的潛在威脅。
是否應該重視Duqu木馬?
Duqu木馬已經引起信息安全媒體極大的注意,部分是因為它與Stuxnet的聯系。最近的報告顯示,Duqu木馬是由Stuxnet同一個組織編寫的,但是它可能不是直接基于Stuxnet代碼編寫的。盡管在安全研究員們中對這點仍然保持著爭議,但看起來Duqu的開發者確實從Stuxnet木馬學到了很多東西。
Duqu木馬是相對復雜的惡意軟件樣本,但是它的許多能力在當代的惡意軟件來看是“標準套餐”。Duqu木馬屬于遠程訪問類型木馬,被設計用于從特定的組織竊取信息,并且使用許多與其它惡意軟件一樣的技術。在最新的賽門鐵克關于Duqu木馬報告中,最值得注意的方面是它的“命令和控制(command-and-control)”服務器是如何轉發連接給其它服務器、以及點對點間的“命令和控制”組件,盡管為 “命令和控制” 使用點對點技術不是新的技術。Duqu木馬對大多數企業造成的威脅級別是相對低的,因為只在少數的企業中偵測到它的存在。有高安全環境要求和高價值資產的企業要更加關注,因為他們可能成為Duqu木馬攻擊的目標。Duqu和Stuxnet木馬可能用于未來的攻擊,但是攻擊者更可能會使用Duqu木馬作為額外的學習練習,以避免在未來使用任何Duqu的核心代碼編寫木馬時被偵測到。
企業應對Duqu木馬
一般企業應對Duqu木馬時,應該評估系統是否能夠偵測并預防該木馬,并將它作為公司計算機安全事故響應團隊(computer security incident response team ,CSIRT)的樣例。隨著惡意軟件攻擊變得更加先進,以及使用傳統的安全工具更加難以偵測,評估是否使用企業目前的信息安全工具、或者如何使用它們來偵測像Duqu木馬這樣的惡意軟件能有助于確保對未來的事故有備無患。
使用現有的安全技術能夠偵測Duqu木馬許多的指紋,如“命令和控制”的網絡通信。如果企業保留來自IDS的網絡IP流數據,可以使用它來搜索離開網絡的數據,或是尋找與“命令和控制”服務器的網絡連接。DLP工具也能夠偵測離開網絡的數據。企業甚至可能使用原本用于系統管理的工具來每天為系統上的所有文件建立目錄,然后進行差異分析(也可以是每天)來尋找未經授權的修改,或是使用文件完整性監控工具來辨識惡意文件被寫入系統。通過使用只允許核準代碼運行的白名單應用技術來也可能預防Duqu木馬的感染。
使用Duqu木馬作為CSIRT練習的樣本也讓組織對類似的有目標的攻擊有所準備。如果在事故響應過程中發現不足,可以調研新的系統或是數據來源,以確保企業能偵測到該惡意軟件。大多數關于Duqu木馬的報告表明,在被偵測到之前,該木馬已經滲透入網絡達數月之久。該木馬被偵測之時,它瞄準的數據很可能已經被竊取。因為Duqu木馬利用微軟Windows系統的零日漏洞、并且是定制化的惡意軟件,許多防病毒或是防惡意軟件產品無法偵測到它,這也是此類目標性攻擊的常見問題。因此對于企業來說,保護自身防范由于像Duqu木馬類似攻擊所導致的破壞或損失的最佳做法是,迅速的偵測以及事故響應策略。這不是說迅速的偵測和良好的事故響應策略是唯一需要的安全控制,但是高級的惡意軟件、或是資源豐富的攻擊者極可能繞過任何預防性的安全控制措施。
從Duqu惡意軟件中學到的教訓
盡管有更多更加危險的惡意軟件逍遙法外,但我們仍能從Duqu木馬上學到一些具有價值的教訓。企業應該實施必要的控制措施來確保他們的終端免于可能面對的攻擊,很少的企業會成為Duqu木馬的目標,但是大多數的組織最終會被迫對其它類似的目標性攻擊作出響應,即使僅是釣魚式攻擊。
隨著高級的攻擊技術更加地商品化,就像摩爾定律描述的那樣,更為廣泛的攻擊者社區在采用這些攻擊技術。一定會有更多我們從沒聽說過的高級攻擊,所以關于高級攻擊的更多公布的數據,只是幫助改進企業如何確保他們系統的安全。隨著不斷復雜、易于使用的漏洞工具包出現,企業應該在他們的環境內實施合理的安全控制,同時恰當地保護具有價值的個人資產。
京公網安備 11010502049343號