|
互联网出口僵尸网络检测解决方案
一、背景介绍
最早的僵尸网络出现在上个世纪90年代,迄今已有20多年历史,随着IT信息技术不断发展,僵尸网络的危害也越来越严重。僵尸网络实际上是僵尸控制者(Botmaster)出于恶意目的,传播僵尸程序控制大量受感染的主机,并通过一对多的命令与控制信道所组成的网络。它是在黑客工具、蠕虫、木马、后门工具、恶意软件等多种恶意代码形态的基础上发展并融合而产生的一种复合攻击方式,最大的特点是攻击者和僵尸主机之间存在一对多的控制关系。
国家互联网信息中心发布的报告显示:最近几年,我国每年有超过1000万台主机被感染成僵尸网络。2014年,我国有1108万主机感染了僵尸网络,并且大部分僵尸主机被境外服务器所控制,其中广东省、湖南省、江苏省居于木马或僵尸程序受控主机IP地址绝对数量前3位。
僵尸主机会接受控制端的指令,从而造成更多的危害,如发起DDoS攻击。我国是僵尸网络主要受害国,2013年8月25日凌晨,由于僵尸网络造成的海量DNS请求流量阻塞了服务器主干链路,导致中国境内的.cn域名访问中断长达数小时;2014年12月10日,运营商DNS网络遭到了DDoS攻击,当日上午11点开始,攻击开始活跃,多个省份不断出现网页访问缓慢,甚至无法打开等故障。值得注意的是,最近几年爆发的APT攻击事件,都大量利用了僵尸网络,如RSA信息泄漏、索尼影音信息泄漏、中国社保账户信息泄漏等,僵尸网络成为APT攻击者最有效、最常选择的方法。
二、僵尸网络危害 僵尸网络相当于攻击者在我们内部安插了间谍,因此危害非常多,归结起来主要有以下几种类型: 2.1 敏感信息窃取 僵尸网络相当于黑客在僵尸主机上安装了间谍程序,因此它能监视和记录被害主机的各种活动行为,也能窃取用户的敏感信息,如用户的账号密码、身份信息、银行卡信息、研发代码等,给用户造成直接或间接的经济损失。
2.2 高级持续威胁 我们知道APT攻击往往攻击目标明确、时间周期比较长、采用的攻击方法比较多、而且隐蔽性很好。而研究发现,黑客进行APT攻击最常采用的跳板就是僵尸网络,大量的僵尸机给了发动APT攻击的黑客很多选择,并且为了达到继续渗透、监视、敏感数据窃取等目的,黑客会让这些僵尸机很好的潜藏起来,减少暴漏的可能。
2.3 DoS/DDoS攻击 攻击者控制僵尸主机后,可以对外发起DoS/DDoS攻击。受控的僵尸机,往往在用户不知道的情况下,接收控制者的指令,自发向外发送大量的访问请求或者垃圾邮件,造成网络拥塞,当大量的僵尸机同时向某一目标网络发起访问请求时,很可能导致目标网络的资源过载而造成绝服务。DoS/DDoS拒绝服务是僵尸网络导致的最普遍、最难解的危害。
2.4 本地渗透扩散 由于病毒、木马植入被害主机后,会主动通过控制节点和攻击者取得联系,执行攻击者的命令,攻击者可利用此功能向被控主机传送新病毒、木马程序或者其它的恶意软件,从而实现在感染网络内部渗透扩散。单位内部新目标主机或者服务器将成为渗透感染的目标,从而控制更多的主机或者服务器,掌握组织单位网络内部更多的资源和信息。
2.5 脆弱信息收集 攻击者通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息收集。各种僵尸程序偷偷的探测、收集网络内部的各种脆弱性信息,如账户口令、弱密码、开放端口、不安全配置、系统漏洞、应用程序漏洞等,并且把收集到的脆弱性信息悄悄的传递给控制者,黑客可以利用这些弱点实现更多入侵和信息窃取等目的。
三、某公司解决之道
某公司提供了全面的僵尸网络防护解决方案,通过在线部署某公司下一代防火墙NGAF,实现从传播的入口帮助用户解决各类僵尸网络威胁;某公司还智能融合了大数据和云安全技术,通过和部署在全球各地的NGAF威胁信息收集,以及和国内外专业安全机构的合度合作和情报共享,实现海量威胁特征的快速提取和威胁信息的自动下发,实现一站式智能化解决僵尸网络问题。
3.1 防止僵尸网络传播 某公司下一代防火墙创新的智能融合了僵尸网络识别技术,其内置的僵尸网络特征库数量已经达到了50多万条,包含了木马、后门、蠕虫、恶意软件、间谍软件等多种分类。NGAF具备深度内容解析能力,能够实时检测网络流量并切断僵尸网络控制通道,阻止僵尸网络向内部传播。 某公司组建了专业的安全团队实时跟踪监测全球最新的各种僵尸程序,从而保持威胁特征的持续更新。某公司还和某公司、Virustotal等专业组织保持了密切合作,能够快速共享各专业组织最新的僵尸网络情报信息,极大的丰富了某公司僵尸网络特征库数量。
3.2 僵尸网络云端检测 NGAF除了在本地端进行安全防护外,某公司下一代防火墙还与某公司“云中心”进行智能联动。某公司建设了完善的僵尸网络云检测平台,部署在全球各地的某公司下一代防火墙在发现可疑/未知流量后首先进行本地封锁,同时在用户许可的情况下,能实时将可疑流量上传到云安全中心,云平台自动执行沙盒检测,通过多维的自动分析,实现对可疑内容准确判定,生成新的恶意内容(如恶意软件、恶意网址、恶意IP,等)识别规则,并快速下发到全球所有在线设备上,极大的提升了未知僵尸网络的查杀能力,有效清除APT攻击跳板。
为了进一步完善和精确僵尸网络防护能力,某公司还在全球多个区域部署了Beta站点,Beta站点能够实时共享本地的流量数据到云安全中心,某公司安全团队利用这些大量的真实流量进行深入的安全研究,从僵尸网络发展、APT攻击等过程还原黑客的活动行为,掌握黑客最新的攻击方法,收集黑客的种种工具和社交网络,监控黑客对僵尸网络的控制通道和联系网络,快速生成最新的僵尸工具防护技术,极大提升已知/未知僵尸网络和高级持续威胁行为的检测精准度。
3.3 防御对外DoS攻击 此外,NGAF基于行为特征的僵尸网络检测方法,能够有效的识别内网主机的异常行为,一些已经感染了僵尸病毒的主机,可能发起对外DoS攻击。内网外发的DoS攻击将会造成网络拥堵,导致正常业务体验变差,也会影响被攻击网络的业务的正常运行。 NGAF能够对这些异常行为快速检测并阻止,防止本地风险扩大,避免对外攻击发生,规避潜在的法律风险。
3.4 减少僵尸工具传播 随着WEB2.0时代的到来,社交网络和即时通信等应用得到了普遍使用,使得僵尸工具的传播从过去邮件或漏洞攻击方式,转向了更方便和广泛使用的web应用平台上进行传播。某公司下一代防火墙能够实时检测钓鱼、盗号、欺诈、木马、页面伪造等多种恶意链接,无论是用户不慎访问恶意链接,还是僵尸程序主动请求这些链接,NGAF都能自动检测出来并阻止进一步访问弹出重定向告警页面,给出清晰的风险分类和说明,提示用户风险,并密切监视业务交互异常行为,通过清除、隔离、IP锁定定方式避免僵尸威胁传播,并及时向网络管理员发送告警信息。
3.5 实时防护脆弱性 某公司下一代防火墙NGAF能够实时检测内部业务系统的脆弱性信息,防止僵尸程序对脆弱性信息的收集,避免黑客发起针对漏洞的攻击行为,有效避免“0day”漏洞攻击的产生。可以对经过设备的流量进行实时漏洞风险分析,且不会给网络产生额外的流量。实时漏洞检测功能能够发现底层系统漏洞、弱密码问题、业务应用漏洞、不安全配置、开放端口等多种安全缺陷,并提供对应的防护方案。 某公司拥有专业的漏洞研究团队,此外还加入了国内CNVD、CNNVD等专业单位及时共享漏洞特征信息。某公司是微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。NGAF漏洞特征库通过了国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。
3.6 敏感信息防泄漏 僵尸网络在黑客控制系可能将网络中的敏感信息悄悄的发送出去,某公司下一代防火墙提供可定义的敏感信息防泄漏功能,可有效阻止常见的敏感信息泄漏行为,并通过短信、邮件等方式报警。NGAF还能通过正则表达式等方法自定义敏感信息内容,避免管理员账户/密码、重要配置、银行卡号、身份证号码、社保账号、手机号码等信息泄漏出去。
3.7 智能定位僵尸机 NGAF通过用户行为的智能分析,结合僵尸行为算法和用户业务模型等方法,来准确定位已感染的僵尸主机。比如具备僵尸行为的通信,对恶意网站/主机的访问行为超过阈值,以及某段时间内爆发式的HTTP请求行为等,都是比较典型的僵尸网络的行为。
3.8 可视化威胁展示 NGAF提供了可视化的僵尸网络威胁展示功能,能够给出全面细致的僵尸主机风险类型分布和全部僵尸主机详细行为记录。NGAF能够给出对僵尸网络行为监测信息,如飞客蠕虫、C&C通信等各种行为次数,以及威胁僵尸主机IP地址,感染威胁类型,活跃时间等信息,帮助管理员快速精准的识别内网的僵尸主机。
3.9 自助化快速运维 对于监测发现的僵尸网络安全问题,NGAF还创新的提供了自助化安全运维服务,通过将发现的问题分类汇总,提醒用户及时修复安全问题。针对具僵尸网络安全问题,NGAF给出了详细的风险说明及建议的解决方案,用户只需要参照解决方案提示步骤,即可快速完成这些僵尸网络安全风险的修复。 这种自助化运维理念,不仅弥补了传统安全设备缺乏对僵尸网络安全防护问题,同时通过直观的威胁展示和清晰的运维说明,帮助组织单位快速实现安全运维,化被动为主动,进一步提升IT信息部门的效率和价值。
四、总结 某公司下一代防火墙提供了全面的僵尸网络防护解决方案,其专业的二到七层双向内容检测技术,不仅能实时发现僵尸网络入侵、控制、破坏等安全问题,还能有效解决被控制后产生的扩散、泄密、对外攻击等问题,实现僵尸网络的事前、事中、事后全面双向安全防护,帮助用户解决各类僵尸网络威胁。某公司下一代防火墙智能融合的大数据和云安全技术,通过某公司蜜罐网络、部署在全球各地的NGAF威胁信息收集,以及和国内外专业安全机构的深度合作和情报共享,实现海量威胁特征的快速提取和威胁信息的自动下发,实现对未知威胁、APT攻击等安全问题的有效解决。 | 
发表于 2015-10-21 09:45
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2015-10-28 09:50
技术研究员2级 
