Selv om Zeus botnet analyse innsats viser at angrepene sine fortsette å bli mer sofistikert ..., det finnes måter å hindre Zeus botnet fra å gjøre økonomisk skade for organisasjonen.
Zeus botnet er egentlig en kriminell verktøykasse for utvikling av tilpassede, vanskelige å oppdage trojanere. På grunn av de mange forskjellige evner som kan inkluderes i den trojanske og hvor raskt sine kjør endre seg, har det vært usedvanlig vellykket i å hjelpe kriminelle infisere lokale systemer, bygge kommando-og-kontroll infrastruktur og verts phishing angrep nettsteder. Det er til og med rapporter om driftige kriminelle som selger Zeus i en software-as-a-service (SaaS) modell, noe som gjør livet enda enklere for kriminelle.
Zeus har levert sine nyttelaster i et par forskjellige måter, og exploits brukes avhenger av hvilken versjon av Zeus og alternativene som er valgt av angriperen. Zevs har vært sammen med ulike utnytte kits og selv har vært sammen med rouge antivirus-programvare. Siden Zeus er en trojaner, gjør det ikke kopiere seg selv, så det er vanligvis installert av piggy-baking på annen malware. I første omgang ble Internet Explorer exploits brukes til å installere skadelig programvare på systemene, men nylige fremskritt har tatt hjelp av PDF lanseringen funksjonen til å infisere det lokale systemet.
Zeus opprinnelig ble brukt til å målrette Web legitimasjon for finansinstitusjoner, men kan konfigureres til å se etter legitimasjon for aksje meglerhus, 401ks og lignende, samt andre typer nettsteder, inkludert shopping og nettsamfunn. I korte trekk, stjeler den trojanske disse legitimasjon og vanligvis overfører dataene tilbake til kontrollerne via botnet-nettverket. Kriminelle deretter logge inn på den kompromitterte kontoer og overføre penger via ACH transaksjoner ut av regnskapet til penger muldyr. Bedrifter og forretningskontoer er også sårbare for denne samme angrepet, og er faktisk mer attraktive på grunn av større mengder valuta som kan være tilgjengelige i slike kontoer. Verre ennå, ACH transaksjoner ikke har de samme juridiske beskyttelse som kredittkorttransaksjoner i tilfelle av en uredelig transaksjon, som bare ytterligere kompliserer rydde opp i økonomiske problemer fra en Zeus infeksjon.
Selv skjønt Zeus botnet analyse innsats viser at angrepene sine fortsette å bli mer sofistikert og vanskelig å oppdage, det finnes måter å hindre Zeus botnet fra å gjøre økonomisk skade for organisasjonen. Å helt unngå skader, bør du vurdere å begrense funksjonaliteten til høyrisikoklientmaskiner i organisasjonen, nemlig systemene utstedt til de som er autorisert til å få tilgang til finansregnskapet sensitive og kontodata. En annen strategi er å bruke en dedikert datamaskin for finansielle transaksjoner. Denne maskinen ville leve på en isolert virtuelle lokalnett (VLAN), eller et fysisk nettverk brannmur og isolert fra resten av nettverket, slik at selv om en annen klient på nettverket blir smittet, dedikert datamaskin vil sannsynligvis forbli sikker. Jeg anbefaler å konfigurere denne datamaskinen - ideelt sett en Linux- eller Mac OS X-basert maskin - så den eneste funksjonen den kan utføre er å kjøre en nettleser for å komme til din bank eller spesifisert finansiell nettsted for å hindre at denne maskinen fra å bli smittet på andre måter. Dette nedlåst datamaskin kan også være en virtuell desktop på en sikker virtuell infrastruktur som du koble til eksternt når gjennomføre transaksjoner.
Siden denne strategien ikke kan være mulig i alle bedrifter, andre gode rutiner for å beskytte kundene fra Zeus inkluderer restriksjons browser nettleser funksjoner, inkludert noen eller alle av følgende: kjører en hvitlisting søknad med bare nettleseren tillatt; banning browser plug-ins; deaktivere Javascript eller ActiveX-kontroller; og om nødvendig bare la de nødvendige nettsteder å kjøre Javascript eller spesifiserte aktive kontroller. Noen finansinstitusjoner installere ekstra sikkerhetsprogramvare på noen høyrisiko brukernes datamaskiner som gir ekstra nettleser sikkerhet. Følg også de grunnleggende beste praksis nevnt i min tidligere kolonner for å beskytte kunder mot skadelig programvare, særlig sørg for å kjøre de mest up-to-date versjon av nettlesere og andre programmer.
For mer informasjon
Les mer om å vurdere trusselen om et botnet i denne videoen.
Få informasjon om hvordan du bruker BotHunter for botnet deteksjon.
Lær beste praksis for å håndtere små botnets.
Dessverre, kan den mest praktiske og kostnadseffektive strategien rett og slett være å svare så raskt som mulig når en Zeus relatert angrep finner sted, og søke å begrense skadene så mye som mulig. En viktig teknologi for å hjelpe til med dette arbeidet er en nettverksbasert antimalware enhet eller andre nettverks blokker. Noen nettverksbasert antimalware enheter spesifikt mot botnet kommando-og-kontroll-kommunikasjonsprotokoller, som kan blokkere Zeus trojanere fra å kommunisere med botnet. Nettverket blokkene er der IPer kjente dårlige nettsteder er null rutet eller på annen måte blokkert på en brannmur. Du kan bruke data fra Zeus tracker nettsted der de kjente kommando-og-kontroll-servere IP-adresser er publisert for disse blokkene, men dette kan kreve betydelig forvaltningen. Du kan selv bestemme seg for å ikke bruke nettbank eller finansielle transaksjoner for organisasjonen, men dette kan være for ekstrem.
Omfanget av Zeus botnet trusselen har vært økende som kriminelle utvide og forbedre funksjonaliteten til Zeus kriminelle verktøykasse. Ikke faller byttedyr til utdatert tro på at Zevs bare rettet mot banknæringen; et mye bredere utvalg av nettsteder og organisasjoner er nå i fare. Gitt raffinement og lønnsomhet av Zeus, virker det lite sannsynlig at det vil gå bort uansett snart, men strategiene som er nevnt ovenfor, kombinert med nylige fremskritt i transaksjonsbasert sterk autentisering kan bidra til å begrense effekten av Zeus.