应对微型botnet的最佳实践

最近出现一些有关于大型botnet的事件，比如那些用来破坏Twitter 和Facebook网站的botnet，已经是众所周知的新闻了。虽然那些大型的安全事件很容易引起人们的注意，但那些规模较小的、更加隐蔽的botnet攻击才是对于企业来说更大的威胁，这一点已被人们所证实。随着企业的安全防护机制日渐增强，攻击者会去寻找系统的弱点，
然后开始使用规模较小的、不太引人注意的botnet，从而避开企业的安全防卫体系。在这篇技巧文章中，我们将分析为什么这些
所谓的微型botnet能够成功地进行攻击、怎样识别它们，以及怎样阻止它们的破坏行为。为什么微型botnet的攻击效果更好大型的botnet经常被用来发起拒绝服务（DoS）攻击。为了能够让一个电子商务网站崩溃，或者阻止一个企业访问Web，这些攻击需要一些资源——即botnet军队。就像在战争中派遣成千上万的士兵去打败敌人一样，攻击者会将很多计算机的资源集中起来去攻击一个服务器或网络。当攻击者想对一个企业发起DoS攻击时，他会给很多分散的botnet军队发送命令，让他们集中起来攻击受害者。因为这在目标环境中创建了多条连接，
所以会引起几乎所有主机和周边保护系统的注意（以及资源），致使受害者完全没有任何办法，甚至整个系统都会崩溃。与大型botnet利用大量资源去冲击网络发起拒绝服务攻击所不同的是，微型botnet被检测到的可能性很小。因为它们只需使用较少的计算机，发送较少的数据包，所以它们在避开防火墙的botnet监测以及入侵检测系统方面更有优势。为了进一步避开监测，控制botnet的人还可以通过对自己的微型botnet进行设置使得杀毒软件不能工作（虽然软件看起来还在正常工作）、长期潜伏在机器上、或者不定期的呼叫攻击者以获取新命令。没有能够监测的识别标志、没有不正常行为的模式，这使得哪怕是最先进的、基于行为的入侵防护系统都很难注意到微型botnet。为什么微型botnet能够成功为了进入企业、绕过防火墙和IPSes，攻击者们经常以用户为目标。使用社会工程学对目标用户进行攻击是渗透到一个企业最简单的方法之一。它能够相对容易地找到企业和员工的信息，然后把这些信息融入到一个构思巧妙的钓鱼email里，并以恶意软件为邮件的附件。探测和踩点分析（footprinting）网络的弱点也是微型botnet攻击者常用的方法，但这比发送简单的email需要更长的时间。一旦一台机器被攻破，攻击者要么可以给受害者的发送恶意软件命令，让它们继续攻破其他的主机，进一步的扩展botnet，从而在受害者的网络中提取到目标数据；要么干脆把botnet卖给别人，转而去寻找下一个受害者。更糟的是，一旦他们攻破了一个网络，微型botnet还可以潜伏一段时间，等待进一步的命令或者特定的“触发”事件。大型botnet需要更好的命令和控制，这样做可能导致响应不正常或者被发现，与此不同的是，小型botnet更加精确，最适合发起定向的攻击，特别对特定数据进行偷窃时。微型botnet能够比传统botnet更有效地搜寻出数据。微型botnet经常将多种方法混合来使用，从而获得敏感数据。它们更加谨慎，在探测网络时一次只发送几个包，能利用受操纵的帐户搜寻商业秘密，并且能通过删除关键的软件文件使得杀毒软件失效。一个微型botnet在跟正常的网络流量一起穿过网络时，会试图发起这些攻击，而且还会尝试其他的混合攻击。帮助找到并组止微型botnet的最佳办法很明显，人的因素是一个重要的环节，而且很明显botnet可以避开传统的防护系统并渗透到企业环境中去。为了保护自己不受到微型botnet的攻击，企业必须开始分配更多的资源来检测它们，而不是只把重心放在防御上。就像
前面描述的一样，botnet经常能够轻易的潜入企业环境，而传统的防御系统却总是不起作用。不是说防御就没有必要了，而是说监测已经进入企业的botnet是最应该做的，哪怕是一次鼠标的点击也不应该忽视。如果你
认为防火墙、IDS或者恶意软件防御软件足以应付外界的攻击，
那么这种心态会导致你误认为自己的工作环境是安全的。企业必须做得更多，才能了解自己的网络中到底发生了什么。了解和理解网络的活动可以更早的识别出攻击，从而能够更好的对攻击作出回击。然而，这超出了
资产管理的范围，而且还需要对主机上运行的全部程序、主机放置在什么地方、它们使用什么端口等等信息有所了解。它包括对环境的映射、保持客户端软件升级到最新配置的详细资料等。在微型botnet开始显现的时候，不管这一动作多么的微小，都需要你注意网络流量中异常的增长、意外开放的端口，以及帐户权限突然提升等情况。如果你正在使用一个模式扫描器（pattern scanner），那么请提高灵敏级别，花点额外的时间确定那是不是一个错误
的确认。对日志进行分析是一个好的网络安全习惯，这样你可以了解网络中到底发生了什么事情。如果想
对大部分的日志进行自动化分析，你可以看看由LogLogic Inc.、ArcSight Inc公司或者Tenable Network Security Inc公司提供的产品。最后，一定要重视培训和教育用户。用户必须
懂得怎样识别和报告不正常的网络活动，以避免成为社会工程攻击的受害者。为了引起用户的注意，培训过程必须安排得有趣，还应该检查用户是否真正懂得了课程所学内容。为了找到以及阻止微型botnet的攻击，企业必须把更好的培训和上面提到的安全措施结合起来，列入到企业的安全策略中去。