恶意软件网络威胁日盛 企业如何自保

去年，我们看到了恶意软件网络(malnet)的威胁日益严重，这是一种利用互联网的热门程序(如搜索引擎和社交网络)反复发动各种动态恶意攻击的分布式网络基础设施。Blue Coat实验室总结了六个最佳做法可以帮助企业抵御这种威胁。

　　在2011年，攻击者创建了恶意软件网络来加大其攻击力度，这是一种分布式网络基础设施，专门利用互联网中搜索引擎和社交网络等来不断发动恶意软件攻击。

　　安全公司Blue Coat公司去年开始追踪这种恶意软件网络。在其2012年安全报告中，Blue Coat指出，恶意软件网络基础设施让攻击者能够发起动态攻击，传统防病毒解决方案通常在几天甚至几个月内无法检测到这种攻击。该报告还指出在2011年2月一个恶意软件负载在一天内改变其位置达1500次。

　　“我们追踪了500个这种网络，”Blue Coat公司产品营销高级总监Sasi Murthy表示，“有些非常小，有些是全球性的，这些网络大多数都会悄然无息地存在几个月之久，这是逃避执法非常有效的方法。”

　　Blue Coat公司发现的最大恶意软件网络是Shnakule，该网络平均拥有1269台主机，分布在北美、南美、欧洲和亚洲，其恶意活动主要包括路过式下载、假冒杀毒软件、codecs、Flash和Firefox更新、僵尸网络CnC控制、赌博等。Blue Coat表示在七月份，这个恶意软件网络将其传统活动扩大到包括恶意广告。

　　恶意软件网络如何运作

　　恶意软件网络由几千个独特域、服务器和网站组成，这些组合在一起让攻击者发出恶意软件负载，他们通常是使用受信任网站作为起点。使用这种基础设施以及一些热门话题作为诱饵，攻击者可以快速发起新攻击，在安全技术检测和阻止这种攻击之前，吸引很多潜在受害者。

　　“很多合法网站实际上已经被感染了，”Murthy表示，“在某些情况下，你会发现合法网站具有高达74%的恶意内容。”

　　也许吸引不知情用户最流行的方法就是搜索引擎中毒(SEP)，这种方式使用搜索引擎优化(SEO)技术在常见搜索结果中插入恶意软件站点种子。

　　“在2011年，142个搜索中大约有1个搜索结果是链接到恶意网址的，”Murthy表示，“当你看看这些搜索结果对于用户的重要性时，你就会发现这是多么可怕。”

　　Blue Coat表示每个攻击都使用不同的受信任网站和不同的诱饵来吸引用户。一些攻击甚至不使用中继代理服务器，一旦用户上钩，攻击者就能够直接利用服务器来发现用户系统或者应用程序漏洞，并使用发现的信息来用于恶意软件负载。

　　“在某些情况下，通过iFrame注入，用户会在不知情的情况下走入恶意软件网络设置的路线，”Blue Coat表示，“中继和利用服务器在后台运作，偷偷地安装恶意软件。在其他情况下，下载恶意软件需要用户点击一个链接。”

　　虽然搜索引擎/门户网站和电子邮件仍然是攻击者最常使用的攻击途径，在2011年社交网站也开始激增。这其实一点也不奇怪，Blue Coat表示恶意软件网络操作者遵循低风险/高影响策略，搜索引擎、门户网站和社交网站提供了大量潜在受害者。但这些并不是攻击者唯一使用的攻击途径。恶意软件网络操作者喜欢将他们的恶意负载隐藏在众目睽睽之下，在线存储网站和软件下载网站都对攻击者特别具有吸引力，因为托管文件是他们业务模式的一部分。Blue Coat表示，在2004年，在线存储中74%的新评分是恶意的。

　　抵御威胁的最佳做法

　　考虑到这种威胁的不断变化的性质，IT企业该如何保护自己及其员工呢?Blue Coat为大家提供了以下六个最佳做法。

　　1. 知道你的日志记录并定期检查。对网络中流量进行审查可以帮助你识别异常行为，例如受感染的计算机试图回拨到命令控制控制台等。如果你看到网络中某台电脑出现很多未评级流量，这可能是一个迹象，表明网络存在问题。

　　2. 阻止所有来自未评级域的可执行内容。如果不能被评级的内容试图下载可执行文件，那么很有可能这是恶意内容。

　　3. 对危险和潜在危险的类别设置政策。当涉及可疑类别时，对它们进行阻止或者至少阻止可执行文件。高风险类别包括攻击网站和赌博网站、色情和代理服务器规避网站等。其他风险类别还包括软件下载、混合内容、在线存储、网络广告、非可视内容和动态DNS主机等。

　　4. 阻止所有试图使用端口443的非SSL流量。Blue Coat表示，很多僵尸程序在回拨到其命令控制服务器时，会在端口443使用自定义加密以回避检测。企业应该通过使用代理设备提供对端口443的SSL流量的可视性，以及阻止所有试图使用端口443的非SSL流量来加强防御措施。

　　5. 在台式机和网关层部署防病毒解决方案。通过在网络中部署多个防病毒引擎，你可以增加被一个引擎错过的恶意可执行程序被另一个引擎阻止的机会。

　　6. 除使用web过滤技术外，还是用粒度应用程序和操作控制来减轻社交网络的风险。Murthy指出，社交网站已经扩展成为“互联网内的互联网”，这是一个自给自足的环境，用户可以做任何事情。因此，企业需要对社交网站进行详细的分析和控制，包括个人web应用程序和这些网站的内容等。例如，Murthy指出，一些政府还对Facebook制定了只读政策和控制。

　　“在这里我们想要强调的最重要的事情就是：你可以在这种威胁发生之前对其进行阻止，”Murthy表示。