最近出現一些有關于大型botnet的事件，比如那些用來破壞Twitter 和Facebook網站的botnet，已經是眾所周知的新聞了。雖然那些大型的安全事件很容易引起人們的注意，但那些規(guī)模較小的、更加隱蔽的botnet攻擊才是對于企業(yè)來說更大的威脅，這一點已被人們所證實。

隨著企業(yè)的安全防護機制日漸增強，攻擊者會去尋找系統(tǒng)的弱點，然后開始使用規(guī)模較小的、不太引人注意的botnet，從而避開企業(yè)的安全防衛(wèi)體系。在這篇技巧文章中，我們將分析為什么這些所謂的微型botnet能夠成功地進行攻擊、怎樣識別它們，以及怎樣阻止它們的破壞行為。

為什么微型botnet的攻擊效果更好

大型的botnet經常被用來發(fā)起拒絕服務（DoS）攻擊。為了能夠讓一個電子商務網站崩潰，或者阻止一個企業(yè)訪問Web，這些攻擊需要一些資源——即botnet軍隊。就像在戰(zhàn)爭中派遣成千上萬的士兵去打敗敵人一樣，攻擊者會將很多計算機的資源集中起來去攻擊一個服務器或網絡。當攻擊者想對一個企業(yè)發(fā)起DoS攻擊時，他會給很多分散的botnet軍隊發(fā)送命令，讓他們集中起來攻擊受害者。因為這在目標環(huán)境中創(chuàng)建了多條連接，所以會引起幾乎所有主機和周邊保護系統(tǒng)的注意（以及資源），致使受害者完全沒有任何辦法，甚至整個系統(tǒng)都會崩潰。

與大型botnet利用大量資源去沖擊網絡發(fā)起拒絕服務攻擊所不同的是，微型botnet被檢測到的可能性很小。因為它們只需使用較少的計算機，發(fā)送較少的數據包，所以它們在避開防火墻的botnet監(jiān)測以及入侵檢測系統(tǒng)方面更有優(yōu)勢。為了進一步避開監(jiān)測，控制botnet的人還可以通過對自己的微型botnet進行設置使得殺毒軟件不能工作（雖然軟件看起來還在正常工作）、長期潛伏在機器上、或者不定期的呼叫攻擊者以獲取新命令。沒有能夠監(jiān)測的識別標志、沒有不正常行為的模式，這使得哪怕是最先進的、基于行為的入侵防護系統(tǒng)都很難注意到微型botnet。

為什么微型botnet能夠成功

為了進入企業(yè)、繞過防火墻和IPSes，攻擊者們經常以用戶為目標。

使用社會工程學對目標用戶進行攻擊是滲透到一個企業(yè)最簡單的方法之一。它能夠相對容易地找到企業(yè)和員工的信息，然后把這些信息融入到一個構思巧妙的釣魚email里，并以惡意軟件為郵件的附件。探測和踩點分析（footprinting）網絡的弱點也是微型botnet攻擊者常用的方法，但這比發(fā)送簡單的email需要更長的時間。一旦一臺機器被攻破，攻擊者要么可以給受害者的發(fā)送惡意軟件命令，讓它們繼續(xù)攻破其他的主機，進一步的擴展botnet，從而在受害者的網絡中提取到目標數據；要么干脆把botnet賣給別人，轉而去尋找下一個受害者。

更糟的是，一旦他們攻破了一個網絡，微型botnet還可以潛伏一段時間，等待進一步的命令或者特定的“觸發(fā)”事件。大型botnet需要更好的命令和控制，這樣做可能導致響應不正?；蛘弑话l(fā)現，與此不同的是，小型botnet更加精確，最適合發(fā)起定向的攻擊，特別對特定數據進行偷竊時。

微型botnet能夠比傳統(tǒng)botnet更有效地搜尋出數據。微型botnet經常將多種方法混合來使用，從而獲得敏感數據。它們更加謹慎，在探測網絡時一次只發(fā)送幾個包，能利用受操縱的帳戶搜尋商業(yè)秘密，并且能通過刪除關鍵的軟件文件使得殺毒軟件失效。一個微型botnet在跟正常的網絡流量一起穿過網絡時，會試圖發(fā)起這些攻擊，而且還會嘗試其他的混合攻擊。

幫助找到并組止微型botnet的最佳辦法

很明顯，人的因素是一個重要的環(huán)節(jié)，而且很明顯botnet可以避開傳統(tǒng)的防護系統(tǒng)并滲透到企業(yè)環(huán)境中去。為了保護自己不受到微型botnet的攻擊，企業(yè)必須開始分配更多的資源來檢測它們，而不是只把重心放在防御上。就像前面描述的一樣，botnet經常能夠輕易的潛入企業(yè)環(huán)境，而傳統(tǒng)的防御系統(tǒng)卻總是不起作用。不是說防御就沒有必要了，而是說監(jiān)測已經進入企業(yè)的botnet是最應該做的，哪怕是一次鼠標的點擊也不應該忽視。如果你認為防火墻、IDS或者惡意軟件防御軟件足以應付外界的攻擊，那么這種心態(tài)會導致你誤認為自己的工作環(huán)境是安全的。企業(yè)必須做得更多，才能了解自己的網絡中到底發(fā)生了什么。

了解和理解網絡的活動可以更早的識別出攻擊，從而能夠更好的對攻擊作出回擊。然而，這超出了資產管理的范圍，而且還需要對主機上運行的全部程序、主機放置在什么地方、它們使用什么端口等等信息有所了解。它包括對環(huán)境的映射、保持客戶端軟件升級到最新配置的詳細資料等。

在微型botnet開始顯現的時候，不管這一動作多么的微小，都需要你注意網絡流量中異常的增長、意外開放的端口，以及帳戶權限突然提升等情況。如果你正在使用一個模式掃描器（pattern scanner），那么請?zhí)岣哽`敏級別，花點額外的時間確定那是不是一個錯誤的確認。對日志進行分析是一個好的網絡安全習慣，這樣你可以了解網絡中到底發(fā)生了什么事情。如果想對大部分的日志進行自動化分析，你可以看看由LogLogic Inc.、ArcSight Inc公司或者Tenable Network Security Inc公司提供的產品。

最后，一定要重視培訓和教育用戶。用戶必須懂得怎樣識別和報告不正常的網絡活動，以避免成為社會工程攻擊的受害者。為了引起用戶的注意，培訓過程必須安排得有趣，還應該檢查用戶是否真正懂得了課程所學內容。為了找到以及阻止微型botnet的攻擊，企業(yè)必須把更好的培訓和上面提到的安全措施結合起來，列入到企業(yè)的安全策略中去。
 

【編輯推薦】

1. 黑客的最愛：木馬Rootkits和僵尸Botnets
2. 企業(yè)如何制定Twitter策略 防止來自社交網絡的威脅
3. Twitter再爆安全漏洞黑客可短信息中插惡意代碼