企业用户应该如何防止Duqu木马的技巧:在过去的一年中,很少有安全事件像Duqu恶意软件爆发那样赢得媒体的注意。Duqu木马、亦或称为W32.Duqu,正如公众所知,它会创建带有“~DQ”前缀的文件。它于去年10月14日首次被发现,研究员们称该木马惊人地类似于危险的Stuxnet木马,尽管Duqu木马被设计专门用来收集情报数据,而不是像Stuxnet木马那样搞垮核反应堆。
不是所有的恶意软件都会得到同Stuxnet木马一样的注意,因为很明显对于大多数企业和消费者来说,还有更多逍遥法外的危险恶意软件。然而,这不意味着你能忽视Duqu木马。本文将审视Duqu木马,包括它的能力以及企业应该如何应对像Duqu木马这样的潜在威胁。
是否应该重视Duqu木马?
Duqu木马已经引起信息安全媒体极大的注意,部分是因为它与Stuxnet的联系。最近的报告显示,Duqu木马是由Stuxnet同一个组织编写的,但是它可能不是直接基于Stuxnet代码编写的。尽管在安全研究员们中对这点仍然保持着争议,但看起来Duqu的开发者确实从Stuxnet木马学到了很多东西。
Duqu木马是相对复杂的恶意软件样本,但是它的许多能力在当代的恶意软件来看是“标准套餐”。Duqu木马属于远程访问类型木马,被设计用于从特定的组织窃取信息,并且使用许多与其它恶意软件一样的技术。在最新的赛门铁克关于Duqu木马报告中,最值得注意的方面是它的“命令和控制(command-and-control)”服务器是如何转发连接给其它服务器、以及点对点间的“命令和控制”组件,尽管为 “命令和控制” 使用点对点技术不是新的技术。Duqu木马对大多数企业造成的威胁级别是相对低的,因为只在少数的企业中侦测到它的存在。有高安全环境要求和高价值资产的企业要更加关注,因为他们可能成为Duqu木马攻击的目标。Duqu和Stuxnet木马可能用于未来的攻击,但是攻击者更可能会使用Duqu木马作为额外的学习练习,以避免在未来使用任何Duqu的核心代码编写木马时被侦测到。
企业应对Duqu木马
一般企业应对Duqu木马时,应该评估系统是否能够侦测并预防该木马,并将它作为公司计算机安全事故响应团队(computer security incident response team ,CSIRT)的样例。随着恶意软件攻击变得更加先进,以及使用传统的安全工具更加难以侦测,评估是否使用企业目前的信息安全工具、或者如何使用它们来侦测像Duqu木马这样的恶意软件能有助于确保对未来的事故有备无患。
使用现有的安全技术能够侦测Duqu木马许多的指纹,如“命令和控制”的网络通信。如果企业保留来自IDS的网络IP流数据,可以使用它来搜索离开网络的数据,或是寻找与“命令和控制”服务器的网络连接。DLP工具也能够侦测离开网络的数据。企业甚至可能使用原本用于系统管理的工具来每天为系统上的所有文件建立目录,然后进行差异分析(也可以是每天)来寻找未经授权的修改,或是使用文件完整性监控工具来辨识恶意文件被写入系统。通过使用只允许核准代码运行的白名单应用技术来也可能预防Duqu木马的感染。
使用Duqu木马作为CSIRT练习的样本也让组织对类似的有目标的攻击有所准备。如果在事故响应过程中发现不足,可以调研新的系统或是数据来源,以确保企业能侦测到该恶意软件。大多数关于Duqu木马的报告表明,在被侦测到之前,该木马已经渗透入网络达数月之久。该木马被侦测之时,它瞄准的数据很可能已经被窃取。因为Duqu木马利用微软Windows系统的零日漏洞、并且是定制化的恶意软件,许多防病毒或是防恶意软件产品无法侦测到它,这也是此类目标性攻击的常见问题。因此对于企业来说,保护自身防范由于像Duqu木马类似攻击所导致的破坏或损失的最佳做法是,迅速的侦测以及事故响应策略。这不是说迅速的侦测和良好的事故响应策略是唯一需要的安全控制,但是高级的恶意软件、或是资源丰富的攻击者极可能绕过任何预防性的安全控制措施。
从Duqu恶意软件中学到的教训
尽管有更多更加危险的恶意软件逍遥法外,但我们仍能从Duqu木马上学到一些具有价值的教训。企业应该实施必要的控制措施来确保他们的终端免于可能面对的攻击,很少的企业会成为Duqu木马的目标,但是大多数的组织最终会被迫对其它类似的目标性攻击作出响应,即使仅是钓鱼式攻击。
随着高级的攻击技术更加地商品化,就像摩尔定律描述的那样,更为广泛的攻击者社区在采用这些攻击技术。一定会有更多我们从没听说过的高级攻击,所以关于高级攻击的更多公布的数据,只是帮助改进企业如何确保他们系统的安全。随着不断复杂、易于使用的漏洞工具包出现,企业应该在他们的环境内实施合理的安全控制,同时恰当地保护具有价值的个人资产。