Duqu惡意軟件忠告：企業(yè)應(yīng)該擔(dān)憂Duqu木馬嗎？

在過(guò)去的一年中，很少有安全事件像Duqu惡意軟件爆發(fā)那樣贏得媒體的注意。Duqu木馬、亦或稱為W32.Duqu，正如公眾所知，它會(huì)創(chuàng)建帶有“~DQ”前綴的文件。它于去年10月14日首次被發(fā)現(xiàn)，研究員們稱該木馬驚人地類似于危險(xiǎn)的Stuxnet木馬，盡管Duqu木馬被設(shè)計(jì)專門用來(lái)收集情報(bào)數(shù)據(jù)，而不是像Stuxnet木馬那樣搞垮核反應(yīng)堆。

不是所有的惡意軟件都會(huì)得到同Stuxnet木馬一樣的注意，因?yàn)楹苊黠@對(duì)于大多數(shù)企業(yè)和消費(fèi)者來(lái)說(shuō)，還有更多逍遙法外的危險(xiǎn)惡意軟件。然而，這不意味著你能忽視Duqu木馬。本文將審視Duqu木馬，包括它的能力以及企業(yè)應(yīng)該如何應(yīng)對(duì)像Duqu木馬這樣的潛在威脅。

是否應(yīng)該重視Duqu木馬？

Duqu木馬已經(jīng)引起信息安全媒體極大的注意，部分是因?yàn)樗�與Stuxnet的聯(lián)系。最近的報(bào)告顯示，Duqu木馬是由Stuxnet同一個(gè)組織編寫的，但是它可能不是直接基于Stuxnet代碼編寫的。盡管在安全研究員們中對(duì)這點(diǎn)仍然保持著爭(zhēng)議，但看起來(lái)Duqu的開發(fā)者確實(shí)從Stuxnet木馬學(xué)到了很多東西。

Duqu木馬是相對(duì)復(fù)雜的惡意軟件樣本，但是它的許多能力在當(dāng)代的惡意軟件來(lái)看是“標(biāo)準(zhǔn)套餐”。Duqu木馬屬于遠(yuǎn)程訪問(wèn)類型木馬，被設(shè)計(jì)用于從特定的組織竊取信息，并且使用許多與其它惡意軟件一樣的技術(shù)。在最新的賽門鐵克關(guān)于Duqu木馬報(bào)告中，最值得注意的方面是它的“命令和控制（command-and-control）”服務(wù)器是如何轉(zhuǎn)發(fā)連接給其它服務(wù)器、以及點(diǎn)對(duì)點(diǎn)間的“命令和控制”組件，盡管為 “命令和控制” 使用點(diǎn)對(duì)點(diǎn)技術(shù)不是新的技術(shù)。Duqu木馬對(duì)大多數(shù)企業(yè)造成的威脅級(jí)別是相對(duì)低的，因?yàn)橹辉谏贁?shù)的企業(yè)中偵測(cè)到它的存在。有高安全環(huán)境要求和高價(jià)值資產(chǎn)的企業(yè)要更加關(guān)注，因?yàn)樗麄兛赡艹蔀镈uqu木馬攻擊的目標(biāo)。Duqu和Stuxnet木馬可能用于未來(lái)的攻擊，但是攻擊者更可能會(huì)使用Duqu木馬作為額外的學(xué)習(xí)練習(xí)，以避免在未來(lái)使用任何Duqu的核心代碼編寫木馬時(shí)被偵測(cè)到。

企業(yè)應(yīng)對(duì)Duqu木馬

一般企業(yè)應(yīng)對(duì)Duqu木馬時(shí)，應(yīng)該評(píng)估系統(tǒng)是否能夠偵測(cè)并預(yù)防該木馬，并將它作為公司計(jì)算機(jī)安全事故響應(yīng)團(tuán)隊(duì)（computer security incident response team ，CSIRT）的樣例。隨著惡意軟件攻擊變得更加先進(jìn)，以及使用傳統(tǒng)的安全工具更加難以偵測(cè)，評(píng)估是否使用企業(yè)目前的信息安全工具、或者如何使用它們來(lái)偵測(cè)像Duqu木馬這樣的惡意軟件能有助于確保對(duì)未來(lái)的事故有備無(wú)患。

使用現(xiàn)有的安全技術(shù)能夠偵測(cè)Duqu木馬許多的指紋，如“命令和控制”的網(wǎng)絡(luò)通信。如果企業(yè)保留來(lái)自IDS的網(wǎng)絡(luò)IP流數(shù)據(jù)，可以使用它來(lái)搜索離開網(wǎng)絡(luò)的數(shù)據(jù)，或是尋找與“命令和控制”服務(wù)器的網(wǎng)絡(luò)連接。DLP工具也能夠偵測(cè)離開網(wǎng)絡(luò)的數(shù)據(jù)。企業(yè)甚至可能使用原本用于系統(tǒng)管理的工具來(lái)每天為系統(tǒng)上的所有文件建立目錄，然后進(jìn)行差異分析（也可以是每天）來(lái)尋找未經(jīng)授權(quán)的修改，或是使用文件完整性監(jiān)控工具來(lái)辨識(shí)惡意文件被寫入系統(tǒng)。通過(guò)使用只允許核準(zhǔn)代碼運(yùn)行的白名單應(yīng)用技術(shù)來(lái)也可能預(yù)防Duqu木馬的感染。

使用Duqu木馬作為CSIRT練習(xí)的樣本也讓組織對(duì)類似的有目標(biāo)的攻擊有所準(zhǔn)備。如果在事故響應(yīng)過(guò)程中發(fā)現(xiàn)不足，可以調(diào)研新的系統(tǒng)或是數(shù)據(jù)來(lái)源，以確保企業(yè)能偵測(cè)到該惡意軟件。大多數(shù)關(guān)于Duqu木馬的報(bào)告表明，在被偵測(cè)到之前，該木馬已經(jīng)滲透入網(wǎng)絡(luò)達(dá)數(shù)月之久。該木馬被偵測(cè)之時(shí)，它瞄準(zhǔn)的數(shù)據(jù)很可能已經(jīng)被竊取。因?yàn)镈uqu木馬利用微軟Windows系統(tǒng)的零日漏洞、并且是定制化的惡意軟件，許多防病毒或是防惡意軟件產(chǎn)品無(wú)法偵測(cè)到它，這也是此類目標(biāo)性攻擊的常見問(wèn)題。因此對(duì)于企業(yè)來(lái)說(shuō)，保護(hù)自身防范由于像Duqu木馬類似攻擊所導(dǎo)致的破壞或損失的最佳做法是，迅速的偵測(cè)以及事故響應(yīng)策略。這不是說(shuō)迅速的偵測(cè)和良好的事故響應(yīng)策略是唯一需要的安全控制，但是高級(jí)的惡意軟件、或是資源豐富的攻擊者極可能繞過(guò)任何預(yù)防性的安全控制措施。

從Duqu惡意軟件中學(xué)到的教訓(xùn)

盡管有更多更加危險(xiǎn)的惡意軟件逍遙法外，但我們?nèi)阅軓腄uqu木馬上學(xué)到一些具有價(jià)值的教訓(xùn)。企業(yè)應(yīng)該實(shí)施必要的控制措施來(lái)確保他們的終端免于可能面對(duì)的攻擊，很少的企業(yè)會(huì)成為Duqu木馬的目標(biāo)，但是大多數(shù)的組織最終會(huì)被迫對(duì)其它類似的目標(biāo)性攻擊作出響應(yīng)，即使僅是釣魚式攻擊。

隨著高級(jí)的攻擊技術(shù)更加地商品化，就像摩爾定律描述的那樣，更為廣泛的攻擊者社區(qū)在采用這些攻擊技術(shù)。一定會(huì)有更多我們從沒聽說(shuō)過(guò)的高級(jí)攻擊，所以關(guān)于高級(jí)攻擊的更多公布的數(shù)據(jù)，只是幫助改進(jìn)企業(yè)如何確保他們系統(tǒng)的安全。隨著不斷復(fù)雜、易于使用的漏洞工具包出現(xiàn)，企業(yè)應(yīng)該在他們的環(huán)境內(nèi)實(shí)施合理的安全控制，同時(shí)恰當(dāng)?shù)乇Ｗo(hù)具有價(jià)值的個(gè)人資產(chǎn)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]