危胁手法
利用装载了恶意代码的合法网页来植入按键记录器从而窃取员工密码,或者将计算机引向代理服务器进行其他攻击的恶意感染事件有扩大趋势。而最初的HTML恶意软件利用一个名为"iFrames"的漏洞。"iFrames"常用于网站且经常被利用。
在受影响的浏览器上,IP网页会被重新定向,这时,恶意软件工具包统计页面就会显示出有多少员工在访问合法网站时,被重新定向至能够启动下载链接的主机。而导致员工访问此合法站点时被从定向到恶意攻击者自行架设的站点,下载恶意运行程序,导致员工的信息被窃取或网络瘫痪等损失。如今的恶意代码植入手法已经从手动发展到了自动,以致顷刻间导致数千个网站被攻击。在Web威胁越来越猖獗的今天,中小企业员工应该加强对网页的安全访问意识。
因为这种恶意攻击是透过HTTP入侵,建议企业员工建置HTTP网关防毒系统(IWSA/IGSA),可以启动拦截可执行文件的功能以及URL过滤功能。具有特殊的URL过滤技术方可彻底清除Web恶意。
Web恶意感染的传播机制是一个复杂过程,但是需要取决于网站所有者是否意识到被侵害,以及网站使用者是否了解即使在合法网站上冲浪也会被感染。下面是感染的具体过程:
1) 受损害或受攻击的第一级URL是合法网站。这些网站大多数都是合法的意大利语网站,刊登有当地的旅游、宾馆、汽车服务、音乐、乐透等广告。
2)有些可能网站被攻击后,恶意IP地址被嵌入到合法网站的HTML代码中,这样员工就会被转向至另一个带有Javascript下载程序的网站。这时受损害的是第二级和第三级URL。 第三级URL会从第四级的URL处下载一个特洛伊至目标系统。
3) 特洛伊会从两个不同的五级URL再下载另外两个特洛伊,特洛伊PAKES 会从第六级URL下载一个窃取器——特洛伊SINOWAL的变种。
面对当前恶意感染,中小企业可以通过以下行为来防止Web恶意攻击:
1、要制定相应对HTTP扫描策略:由于当前Web恶意攻击的蔓延,在网络中执行基于Web的扫描系统。不但要认真部署,而且还需要确认员工是否具有屏蔽系统功能。要执行这样系统,最安全方法莫过于强制员工将所有Web请求都被转发到相应扫描设备中,否则给予拒绝访问。在这当前与恶意软件和间谍软件的斗争中,这一点相当的重要,是因为Web已经成为它们进入中小企业网络最薄弱的突破口。
2、不允许不需要的协议进入内部网络:目前最危险的协议就是P2P通讯协议和IRC协议了。这两个协议正是进入内部网络和对外通讯的利器,因此一定要启用企业硬件防火墙相关功能,将其禁用。
3、在内部网络中定期检测系统漏洞 :要保持操作系统随时更新,这样可以最大程度上,降低受内部网络漏洞攻击的影响,也可以及时地消除被病毒感染的危险。要为各种应用程序升到当前最高版本。激活Windows操作系统的自动更新功能,并尽快安装更新补丁。
4、严格限制内部网络员工的权限:警惕需要安装软件的网页。除非你绝对信赖该网站以及软件的提供商,否则一定不要通过浏览器安装新软件。最高管理员禁止员工装载和卸载设备驱动程序,可以最大程度的阻止它们。对付流氓软件的一个好方法就是限制员工权限。管理员需要部署特定软件才能够检测和阻止它们。
随着Web恶意攻击,而大多数攻击都试图去愚弄员工。如果员工不去点击它的话,大多数恶意软件都无法对员工造成损害,可以极大降低恶意软件的威胁。同时,我们必须教会员工最基本的安全手段以及了解如何应对网络攻击,这样可以预防中小企业内部网络,是向员工通告最新的威胁,比如:Google正在开发一款能够自动地发现其web应用软件中跨站点脚本缺陷的安全工具,代号为Lemon的这一工具通过提供随机的数据输入以触发和曝露web应用软件中的缺陷。让员工了解最新网络威胁,及时能让中小企业做好相应的安全策略,为我们中小企业免受网络攻击威胁,而提供最有力保障。