2009年12月,谷歌和其他著名公司受到了未知恶意程序的攻击。这一事件被称为极光行动(Operation Aurora),此次零日攻击是针对当时未发布补丁的IE浏览器漏洞。
极光行动中最严峻的情况是:即使配置了较完善安全资源的组织仍然可能是受害者。如果一些最先进并获得雄厚资金支持的IT安全组织都可以被黑客攻击,那么对那些拥有较少安全资源的小型组织而言,为了保护自身不受这样的攻击,他们的日子将会更加艰难。然而,从极光行动中我们也可以吸取很多重要的教训,在本文中我们将讨论关于该攻击,企业需要了解的信息,以及在今后发生类似的攻击时企业应该采取的预防措施。
极光行动:背景
让我们回顾一下已经报道出来的关于极光攻击以及各个组织应该如何阻止该攻击的一些技术细节。谷歌报告说,它以及至少20家大公司,在2009年12月成为极光行动的攻击目标。谷歌认为这次攻击侵犯了知识产权,其目标针对的是中国人权活跃分子的Gmail账户。
根据极光行动攻击后发布的报告,黑客将IE浏览器零日漏洞及其利用程序与未知的恶意软件绑定在一起发起攻击。某些攻击被黑客认为是成功的,因为被攻击的对象是重要的公司,媒体紧接着就进行了广泛的报道。而高端的黑客技术和比较普通的零日攻击和未知恶意软件结合在一起使用,这一点也被认为是成功的。他们通过在网络通信中使用多层加密,成功地让攻击躲避了安全检测。
极光行动的攻击媒介
虽然IE浏览器零日漏洞及其利用程序本身并不是最高端的攻击,但它可以使攻击者完全控制受害者的电脑系统,这一点已在极光行动中被证明是成功的。然而,如果攻击者想成功做到这一步,还需要提高其登陆帐户的访问权限,或者由攻击者凭借漏洞利用程序去获得较高的访问权限。当已登陆的用户只具有普通用户访问的权限时,一些恶意软件将感染系统,但却不容易接管系统。很多组织不必允许所有用户都具有管理员级别的权限,因为该类权限可以进行应用程序安装、更改配置以及其他一些没有限制的操作。然而,当攻击者找到了可以提高系统权限的途径,那么就没有办法去阻止黑客滥用这些权限了。而通过只为用户提供必要的访问权限,可以使漏洞更难被成功利用。
过去从未出现过的恶意软件是相当常见的攻击媒介,经常被普通的网络罪犯用来做一些可以马上得利的事情。在这次极光行动攻击中,黑客获得了一些知名度很高的账户。虽然发起极光行动的直接动机尚不清楚,但从长远来看,敏感数据是具有价值的,最起码可以作为一个监视的战术。
预防类似极光行动的攻击
尽管这些攻击方法很令人烦恼,但也有很多方法可以防御它们,以确保类似的攻击不会成功。刚开始的时候,你可以选择使用非IE的网页浏览器或者其他操作系统,从而避免IE浏览器零日攻击,这依赖于你的环境可承受的危险等级,部署的深度防御安全控制有多少,以及对攻击者的价值。然而,使用非微软的软件可能会让管理更复杂、更耗时(最终产生的费用也相当昂贵),因为它们往往需要依赖于你的环境、应用程序补丁以及基础设施结构,这是一个明显的缺点。
另一种可以抵御攻击的方法是通过确保DEP生效,从而使得IE运行在被削减的权限之下,尽管这种措施据称也已经被漏洞利用程序绕过了。DEP是用于阻止来自非可执行存储位置上的可执行代码的攻击,这在理论上会使攻击者更难使用类似极光行动中的攻击来控制系统。另外,IE8也提供了额外的保护措施去对抗这种类型的攻击。
多层加密或者代理服务器可以用来隐藏被控制电脑的网络通信,并使通信的源头不被检测到。为了能发觉和终止这样的通信,网络连接需要被监控,特别是那些从公司网络向外的连接。但这种监控可能会因为外部连接的多样性而变得没有效率,但是监控从系统流出的特定非正常的大型数据也是可以辨别电脑是否被控制的一种途径。一个经验丰富的组织或许也会想到用防火墙来划分它的网络,从而限制攻击者从一个部分跳到另一个部分。
为了确保类似于极光行动的攻击不再发生,组织应采取一些基础的信息安全措施。公司需要评估他们的网络并确定最高风险在哪,然后运用合适的防御措施去应付这些风险。比如说,在谷歌最初的声明中,该公司推荐企业使用知名的反恶意软件工具,勤打补丁以及定期升级浏览器。
对所有组织而言,本文所谈到的方法并不都是适用的。每个组织在防御攻击之前都需要进行基础的部署。通过深度防御策略,将类似攻击的影响降到最小,从而更好的避免零日攻击完全控制目标电脑,并防止其通过隐藏而免于被检测。
零日攻击:谁容易受到攻击?
鉴于Stuxnet如此受人关注,似乎许多系统都被该病毒感染。虽然10万个系统不算少,但是与被Renos恶意软件感染的百万个系统相比还是小数目。然而,受到感染的系统虽然比较少,但是容易受到利用多个零日漏洞的恶意软件攻击的系统数量却极其巨大(前提是零日攻击的目标为电脑中的多个软件)。
有趣的是,最应该关心多个零日攻击的企业通常是那些已经阻止了其他常见攻击的企业。如果传统攻击技术无效的话,攻击者更可能利用零日技术进行攻击。没有阻止过常见攻击的企业也会受到多个零日技术的攻击,但是他们可能已经被普通的恶意软件入侵过了。
为了确定你的企业是否容易受到此类攻击,请仔细评估现存的安全保护系统,并确定所有的这些保护是否会被最近的零日攻击绕过。企业必须自己进行这些具体的评估,因为它们取决于你系统上的各种保护措施。
注重安全的企业在评估系统和网络时需要了解利用多个零日漏洞的恶意软件,并且要把它们考虑进去。如果系统保护措施相互重叠严重,并且会以同样的方式失败,那么即使安装多层保护也可能无法提供重要的额外安全,反而会增加系统的攻击面,让管理更加困难。
企业对多个零日攻击的防御策略
为了防御多个零日攻击或者有针对性的攻击,企业不仅需要使用杀毒软件、更新补丁、采用基于主机的防火墙等标准措施,还应该考虑部署外围防火墙、基于网络的杀毒监测和阻断、以及入侵监测等,从而防御各种类型的攻击。虽然额外的多层安全在某层失败后可以提供协助保护,但是多层保护并不能真正提供足够的深层次防御。
比如,如果你的企业在台式机、服务器、电子邮件系统以及网络设备中使用相同的杀毒软件引擎,单靠这些杀毒软件监测提供的保护范围可能并不会比只在台式机中安装这种杀毒引擎提供的保护范围大多少。如果不是所有的台式机都安装了杀毒软件,或者不是所有机器中的杀毒引擎都进行了合适的操作,那么使用相同监测引擎的额外层才可能会提供额外的安全保护覆盖面。在服务器、电子邮件系统以及基于网络的杀毒设备中运行不同的或者额外的杀毒引擎,可以增加额外的零日保护或者恶意软件的监测覆盖面。
如果你的企业担心这类攻击,你可以采取额外的步骤(保护USB连接的安全)以防护或者限制攻击。如果不需要USB连接,请禁用它们,确保USB设备是在安全的配置中使用,确保USB设备的自动运行不能攻击系统。禁用USB设备之后,请锁定其他的物理安全设置,比如说系统BIOS。还有,只允许用有效的证书进行软件签名,并与应用程序白名单一起使用,从而防止恶意代码在系统中执行。微软的增强的减灾体验工具包 (EMET)可以为微软软件提供额外的恶意软件保护,防止软件被攻击者进行漏洞利用。只要有可能,企业还应该考虑不要把任务优先的系统连接到通用网络或者互联网上。
总结
Stuxnet只是使用高级功能和利用多个零日漏洞的恶意软件之一。历史的经验告诉我们,恶意软件和攻击者只需做最少工作的就可以入侵系统,而随着防护水平的提高,攻击者的水平也会相应提高。Stuxnet以及将来可能利用多个零日漏洞的恶意软件,表明了企业需要仔细评估自己的安全保护措施,并且弄清这些保护是否能够阻断以及如何阻断这种攻击。利用多个零日漏洞的攻击将会更加常见,因为在恶意软件中可以绑定攻击的平台不断涌现,而且在恶意软件中包含新型攻击变得越来越简单了。
作者:Nick Lewis
