本章描述了一组详细的注意事项,用于标识恶意软件感染或突发,阻止它的传播,然后消除它可能对环境中已感染系统造成的不利影响。对事件响应和恢复采用一致、简单方法的需要不能被低估;恶意软件事件通常具有一定的紧急性,这不利于建立一个长期有效和成功的精心设计的过程。
还有一个重要的问题值得一提。由于使用了多种不同的负载,使得恶意软件攻击的复杂性不断增强,因此任何一种用于从系统中删除恶意软件的单一进程都已不再广泛适用。每个不同的恶意软件攻击都可能需要单独的补救措施。然而,这并非意味着定义一个用于标识攻击、控制攻击的传播以及从攻击恢复的过程(应保持一致性)就不重要。
从高级角度而言,恶意软件突发恢复过程的步骤包括:
1. 感染确认
2. 事件响应
3. 恶意软件分析
4. 系统恢复
5. 恢复后的步骤
步骤 1:感染确认
快速确定系统是否已受到感染对于组织将感染的影响程度降至最低至关重要。通过快速确认感染并标识它的可疑特征,可以降低感染的传播速度,并减小它对用户的不利影响。
有很多不同类型的计算机故障可能被误认为是病毒行为。当用户通过电话或电子邮件表示"我认为我的系统已感染病毒"时,支持人员首先必须确定这种行为是否有可能由某种类型的恶意代码所导致。以下列表提供了一些用户可能将其报告为"类似病毒"行为的典型症状的示例:
• "我曾经打开一封电子邮件附件,当时未出现异常情况;而现在我的计算机却行为异常。"
• "我从联系人那里收到电子邮件答复,询问我为何向他们发送 .exe、.zip 或其他附件,而实际上我却从未发送过类似文件。"
• "我的防病毒软件已经停止工作,且计算机总是自动关机!"
• "我的程序工作异常,它们的速度都非常慢!"
• "'我的文档';文件夹中出现了大量以前未曾见过的文件。"
• "我的某些文件无法打开或已经消失!"
用户的观察和反馈很关键,因为他们有可能第一个注意到异常活动。随着恶意软件突发速度的不断增加,最初感染与有效防御可用性之间的时间长度也变得越来越重要。由于大部分感染将在该阶段发生,因此组织能否快速标识并确认感染对于将突发的传播范围和它可能造成的损害降至最低程度至关重要。
以下部分概述了一系列使您能够更快速地确认异常行为究竟是否是恶意软件攻击或突发的步骤。
如果新型恶意软件感染系统,则该系统的用户将第一个注意到异常行为。在新恶意软件的发布时间与更新防病毒扫描应用程序以检测和应对该恶意软件的时间之间通常存在延迟。尽早提供警告系统的最佳方法是让用户了解如何识别可能的恶意软件攻击信号,并为他们提供快速通信链接以便尽快报告这些恶意软件攻击。
感染报告
在接到用户电话或生成有关可能的新恶意软件攻击的警报后,定义一个用于尽快确定警告是否与新攻击有关的过程对于技术支持通常很有好处。以下流程图显示了该过程中的主要步骤:
图4.1 恶意软件感染报告过程
异常活动报告
以下问题应用于确定导致发出警报的异常活动是否可能是新恶意软件攻击。本指南假设这些问题应由组织中的 IT 技术支持的成员向非技术用户提出。
收集基本信息
最初的问题应旨在得到可以帮助尽快确定警报本质以及它是否有可能是新恶意软件攻击的回答。可以使用以下示例问题作为该过程的起点;应对其进行修改,以满足组织的需要。:
• 报告的日期和时间?
• 导致进行报告的异常活动是什么?
• 在异常活动之前发生了什么活动?
• 最近是否访问过"正常"的日常访问以外的任何 Web 站点?
• 该系统最近是否位于组织网络的外部(例如,位于机场、家庭网络、Wi-Fi 热点或宾馆中)?
• 您在屏幕上是否看到过任何异常弹出窗口或广告?
• 当前正在运行哪些异常或意外进程?
• 计算机是工作站还是服务器?它使用哪种操作系统?它应用了哪些安全更新?
• 它所连接的计算机或任何设备是否包含关键任务数据?
• 用户是否使用具有管理员特权的帐户登录?
• 用户是否使用强密码或口令?
• 该系统以前是否遭到过恶意软件攻击?
最后一个问题很重要,这是因为先前的攻击通常会产生漏洞,无论这些漏洞是否已被修复,都可能导致随后的攻击。如果对该问题回答"是",则考虑提出以下附加问题:
• 上一次攻击发生的时间?
• 谁处理的该攻击,以及攻击编号是多少(如果可能)?
• 能否提供有关当时所采取的措施的信息?
评估该数据
收集对这些问题的回答后,技术支持人员应对照以下问题组评估收集的数据,以帮助确定恶意软件攻击是否可能是报告的原因:
• 报告是否可能是系统的合法新特征或更新特征的结果?
• 它能否由授权用户(而非黑客/入侵者)的活动得到解释?
• 它能否由已知的系统活动得到解释?
• 它能否由对程序或系统的授权更改得到解释?
最后,应检查外部防病毒源(在本指南第 3 章"深层病毒防护"的"主动的内部通信"部分中标识),以确定该报告是否符合某些现有病毒或蠕虫警报。
收集详细信息
此时,可以确定新恶意软件攻击是否是问题的可能原因。如果不是,则可能需要更高级别的技术信息,且技术支持人员可能需要以物理方式访问(如果可能,远程控制)可疑系统。可以使用以下示例技术问题收集更详细的信息,并明确地确定系统是否已受到黑客或恶意代码的攻击:
• 设备本身或在其前面是否启用了防火墙?如果启用,哪些端口已向 Internet 开放?
• 如果应用程序出现故障,则立即联系应用程序供应商以确定根本原因(例如,当前的 Microsoft 应用程序提供可用于发送故障报告的错误报告工具)。
• 该系统是否存在已经发布,但尚未安装的安全更新?
• 系统拥有哪种类型的密码策略?最小密码长度是多少?密码复杂性的要求是什么?
• 是否存在下列新的或可疑的情况:
• 本地计算机上是否存在任何新的或可疑的帐户?
• 管理员组中是否存在新的或可疑的帐户?
• 服务管理控制台中是否列出了新的或可疑的服务?
• 事件日志中是否存在新的或可疑的事件?
• 是否存在由 Netstat 实用程序报告的指向外部 IP 地址或可疑 IP 地址的网络连接?
异常活动响应
收集最初信息并将其用于确定警报的本质后,支持人员应可以确定所发生的是假警报、恶作剧还是真正的恶意软件攻击。
创建假恶意软件报告要比开发病毒或蠕虫容易得多,它可以确保创建许多假恶意软件警报。这些恶作剧以及它们所生成的调用和警告将浪费大量时间和金钱。恶作剧还会给用户带来麻烦,并通常使他们对报告可能攻击的作用产生质疑。应注意以下事项以确保正确地处理警报。
• 假警报。如果报告是假警报,则应记录呼叫信息。定期检查该信息可能有助于确定是否需要额外的用户培训。
• 恶作剧。跟踪和记录假恶意软件警报以及真正的恶意软件活动很重要,因为它们仍是攻击实例 — 只是它们并不使用恶意代码。将有关假恶意软件警报以及真正恶意软件威胁的信息报告给用户应为组织的常规防病毒通信的一部分。该信息将帮助用户事先识别恶作剧,从而减少工作效率的降低程度。
• 已知的感染。如果系统受到感染,支持人员应采取措施,以确定感染是否是可以使用现有的防病毒应用程序处理的已知攻击。应检查系统的防病毒应用程序,以确保它是否正常运行并保持最新状态。然后,应进行完整的系统扫描以尝试清理系统。如果此扫描成功标识并清理了感染,则应记录调用并将警告发送给所有用户,以确保他们的防病毒系统正常运行并已被更新。如果扫描无法标识特定形式的恶意软件,则应将其视为新感染,并遵循"事件响应过程"部分中的指南。
• 新感染。如果系统受到新恶意软件攻击的感染,则应执行一些初始操作,以确保正确地交流问题。这些初始操作旨在帮助 IT 支持人员始终遵循一个用于确保遵循正确操作流程的过程。对前面列出的初始问题的回答将帮助确定在此阶段应考虑以下哪个初始操作:
• 使用警报详细信息联系紧急响应小组的指定成员。
• 如果可疑计算机是服务器,则联系它的管理员以商议能否从网络中移除该计算机。
• 如果可疑计算机是工作站,则联系它的用户以商议能否从网络中移除该计算机。
• 考虑向 IT 系统用户触发高级警报或警告以针对检测到的攻击发出警告。
此时,支持人员的角色已经完成。有关突发的责任将转移到事件响应过程,并需要通知计算机安全事件响应小组 (CSIRT) 的成员。
步骤 2:事件响应
CSIRT 将需要尽快召集紧急会议,以帮助安排组织的下一阶段的事件响应过程。有关如何创建事件响应小组以及通常的安全和灾难恢复过程的详细信息,请参见本指南中的同一章。
出于本指南的目的,假设 CSIRT 已经创建。此时,该小组的第一个目标应是确定即时突发控制机制。以下部分提供了将帮助确定该机制及其组成部分的选项的信息。
紧急突发控制
确认恶意软件攻击后,控制突发的第一步是确保将感染的计算机与其他设备隔离。确保隔离受感染的计算机很重要,因为这样将使这些计算机无法传播恶意代码。有一些不同的机制用于实现此隔离,这些机制将对组织的正常操作产生影响。
要点:如果相信组织将提请刑事或民事诉讼,则 Microsoft 建议您在采取进一步的措施前咨询组织的法律代表。
如果在防病毒社区中检测到突发,则使用防病毒供应商提供的指南来帮助您确定突发的严重性。
如果突发当前在更广泛的防病毒社区中是未知的,则应尽快将事件报告给防病毒供应商。他们可能请求您将恶意软件示例放在压缩和带密码保护的文件中并发送给他们,以便他们对其进行分析。查找这些示例的过程并非始终简单直接,因此在理想情况下应事先做好准备。参阅本章的"步骤 3:恶意软件分析"部分,以了解准备恶意软件示例的指南。
下一个应执行的操作流程是控制即时攻击的传播。应考虑三个基本选项:
• 将已遭破坏的系统与本地网络断开连接。
• 如果可能,隔离包含受感染主机的网络。
• 如果整个网络已遭到破坏或有可能遭到破坏,则将整个网络与所有外部网络断开连接。
可以采取许多更详细的技术步骤,如监视要尝试的网络以及标识攻击涉及的网络端口和 IP 地址。然而,如果尚未完成对恶意软件的详细分析,则很有可能遗漏可导致更广泛感染的攻击方法。组织可用于确定该风险是否可以接受的唯一机制是完善的安全风险评估报告。该报告使您能够确定未阻止攻击以及可能感染或意外用于对客户或合作伙伴组织发起攻击所涉及的风险。如果在攻击发生前未完成此风险分析,则建议组织务必小心从事,并通过选择最高级别的隔离措施来将传播攻击的可能性降至最低。
此处列出的选项只作为指南。特定的操作流程可能取决于业务需要、区域设置、影响、严重度等因素,以及其他可能只适用于组织和突发环境的因素。
准备恢复
激活突发控制机制后,应启动活动恢复过程。恢复过程的主要目标是确保实现以下目标:
• 将对组织业务的破坏性降至最低程度。
• 从攻击恢复的时间尽可能快。
• 捕获用于支持可能的起诉的信息。
• 捕获用于开发其他安全措施的信息(如果需要)。
• 针对已恢复的系统,阻止该类型的进一步攻击。
遗憾的是,前两个目标需要"快速修复"方法,而其余三个方法需要花时间收集有关攻击的信息以便完全了解它。要同时满足这两个条件(即快速解决该问题,并仍捕获所需的所有相关数据),请考虑使用下图中显示的过程。该过程旨在确保尽快发布要恢复的受感染系统,同时确保不丢失所需的讨论数据。该数据很重要,因为您的组织将使用它确定恢复的系统是否会免受未来的攻击,同时它还将用作证据(如果以后采取法律活动)。
系统恢复和病毒分析过程应作为并行活动运行,以确保最快的可能恢复时间。
图 4.2 分析前的恢复步骤
使所有系统得以恢复的最快方法是确定某个受感染系统能否用于分析。如果能够用于分析,则应隔离和分析该系统。(本章的以下"步骤 3:恶意软件分析"部分提供了有关该分析过程的指南。)如果无法进行隔离和分析,则下一个最佳选项是使用某种类型的映像软件创建系统副本。如果该选项可用,则应拍摄系统图像,发布要恢复的原始计算机,然后创建克隆系统。
在将要收集证据或可以进行更详细的分析的情况下,尽快拍摄受感染计算机的图像(在修补活动开始之前)非常重要,这样可通过最理想和最合适的方法标识、优先治疗和处理感染。
最后,如果无法拍摄图像,则在发布要恢复的系统前,应收集一组最少量的法庭数据。理想情况下,组织的安全小组应开发和维护某种类型的事件响应工具包。可以使用此工具包收集将用于提供系统法庭数据的不稳定和稳定系统数据。该工具包可以是更完整的恶意软件分析工具包(将在本章的下个部分中用于暴露和记录恶意软件的所有元素)的子集。然而,事件响应工具包的主要差别在于它应在最快的时间内捕获所需的最小级别的系统信息,以便系统能够尽快针对恢复进行发布。
来源:upschool.com.cn
作者:
关键字:深层防毒,快速有效响应事件一
发表日期:2007-2-7 7:11:45
网页显示有限 阅读全文请下载本文完整版WORD文档上一篇:对付网页仿冒欺诈电子邮件新技术 下一篇:11种流行的木马清除方法
共2页 9 7 [1] [2] 8 :>
2009-1-9 3:35:42
