幾年前,在一個項目中,由於是有針對性的惡意軟體攻擊,我研究了被捲入僵屍網路的超過10,000台的電腦。這些電腦存在的主要問題是安全措施極其薄弱,如沒有漏洞測試,以及對傳統殺毒軟體過度依賴等。另外還發現在安全團隊、PC支持團隊、IT管理員和其他相關方之間的溝通出現中斷。這是非常致命的。
“傀儡終端設備”和它們的指令控制(C&C)伺服器被歸類為先進的惡意軟體。隨著我們更多地瞭解這些先進惡意軟體的複雜程度以及問題可能的複雜性和廣泛性,很顯然,僵屍網路的清理並不是一件簡單的事情。不幸的是,在企業遇到這種問題時,管理員是無法簡單地通過關閉系統,重新安裝鏡像(Mirror)來避免的。
正如我遇到過的一樣,傀儡終端設備感染可能是作為一名IT專業人士處理過的最討厭的事情之一,但它並不會對你現有的工作產生巨大影響。
對於如何應對這些惡意軟體感染,以及傀儡終端設備移除,作為企業的IT管理員,以下是需要注意的五個關鍵步驟。
1.文件化
如果你要有效地管理IT風險,需要有完善的事件回應流程。行動計畫的缺失可以說是有效安全回應的最大障礙。馬上開始制定積極的預防措施來儘量減少惡 意軟體攻擊的潛在影響。如果要讓你的組織具備處理被僵屍網路劫持的能力,那麼一個對不同終端,網路存取,資料管理以及未知使用者都有詳細定義的好的計畫是相當有必要的。
2.診斷
俗話說,治病一半的功勞在於診斷。所以,感染點在哪裡?這是一個對於惡意軟體來說價值 $ 64,000的問題。
使用加密,快速DNS變更的方式進行攻擊稱之為“Fast Flux服務網路”,很多典型的僵屍網路和C&C代碼都是使用這種方式穿梭在傳統的安全控制雷達之下的。這就是為什麼沒有合適的工具就難以檢測僵屍網路。但如果你能找到惡意軟體發起的主機,一定要加緊調查並儘量控制範圍。提示:Windows用戶端被感染的可能性比較大,但也可能是你的 Windows伺服器。
使用微軟的Sysinternals工具是一個好的開端。需要特別小心的是注意在有嫌疑的機器上輸入的任何密碼,以及從這裡存取的其它系統等。對於 像Wireshark之類的網路分析工具,OmniPeek還可以提供額外的視圖以查看網路層面發生的事情,這種更高級別的視圖將讓管理員受益匪淺。
此外,你最終可能需要從Damballa和FireEye這樣的供應商那裡獲取更先進的技術,以有效地追蹤惡意軟體感染和進行傀儡終端設備移除。
3.限制
如果你足夠瞭解惡意軟體的感染,可以運用一些應急的網路存取控制清單或防火牆規則來阻止惡意軟體的入站或出站網路流量,直到將它們清理掉。
你還可以採用白名單的方法,加上本地策略或群組原則作為基本工具來對抗惡意軟體感染,更可以使用Bit9提倡的“積極安全控制策略”作為高級工具進行對抗。
4.清除
只是運行一個簡單的防病毒掃描是無法將傀儡終端設備移除的。你甚至無法檢測到惡意軟體的異常行為。即使可以檢測,惡意程式碼也往往與作業系統/註冊表相互交織,使主流的殺毒軟體不知道如何進行處理。
你所能做的最好的措施之一就是運行多個反惡意軟體工具,尤其是像Webroot和Malwarebytes這樣的對更高級威脅相對瞭解的工具。你也可能除了重新安裝作業系統之外毫無選擇。
此外,在重新安裝作業系統時,還要注意資料丟失的風險。在我處理過的專案中,幾乎沒有任何內部安全評估,也沒有找到位於工作站上的敏感資訊的備份副本。
5.補丁更新
對於惡意軟體的感染,最大的敵人莫過於用戶沒有對Java、Adobe和相關的協力廠商軟體進行定期更新。其次是Windows XP即將退休。
問題是,對企業的系統進行更新可以消除威脅,至少可以防止惡意軟體的傳播。所以現在需要開始考慮協力廠商軟體的補丁管理問題,以至於在真正出現問題時你可以有所防備。
當所有這一切都沒有奏效時,你只能尋求專家的幫助。僵屍網路非常難以應付。因為我發現在我的項目裡,以及從其它事件瞭解的資訊來看,僵屍網路很像身 體的癌症病變。即使網路中還殘存一點僵屍資訊,很可能就會遭遇第二波感染。應急事件措施以及讓專業人士定期對疑似特徵的終端進行處理將會讓整個組織處於 IT安全的保護之中。
去除終端上的惡意軟體是儘量減少風險的一個方面。威脅情報(知道要尋找什麼,並有足夠的資訊支援決策)非常關鍵。這又回到一個基本的管理原則:瞭解你的網路。雖然它聽起來有些無聊,但是當你真正知道什麼是“ 正常”時,你就會對異常活動做出正確的判斷。
如果你沒有工具或流程來獲取相應的資訊,那就從今天開始吧。要獲得終端的控制權,你需要有好的網路分析工具和事件監控工具來同僵屍網路進行對抗。就像我最喜歡的一句話:“知己知彼,百戰不殆”。
惡意軟體的問題並不會隨著時間的流逝有任何好轉的跡象。所以對於桌面和網路系統管理員來說,現在需要提高他們的技能,使之成長為威脅分析師,資料科學家和事件回應者。即使目前這些領域還不會影響他們的工作,但是有朝一日,他們一定會派上用場的。