几年前,在一个项目中,由于是有针对性的恶意软件攻击,我研究了被卷入僵尸网络的超过10,000台的计算机。这些计算机存在的主要问题是安全措施极其薄弱,如没有漏洞测试,以及对传统杀毒软件过度依赖等。另外还发现在安全团队、桌面支持团队、IT管理员和其他相关方之间的沟通出现中断。这是非常致命的。
“肉鸡”和它们的指令控制(C&C)服务器被归类为先进的恶意软件。随着我们更多地了解这些先进恶意软件的复杂程度以及问题可能的复杂性和广泛性,很显然,僵尸网络的清理并不是一件简单的事情。不幸的是,在企业遇到这种问题时,管理员是无法简单地通过关闭系统,重新安装镜像来避免的。
正如我遇到过的一样,肉鸡感染可能是作为一名IT专业人士处理过的最讨厌的事情之一,但它并不会对你现有的工作产生巨大影响。
对于如何应对这些恶意软件感染,以及肉鸡移除,作为企业的IT管理员,以下是需要注意的五个关键步骤。
1. 文档化
如果你要有效地管理IT风险,需要有完善的事件响应流程。行动计划的缺失可以说是有效安全响应的最大障碍。马上开始制定积极的预防措施来尽量减少恶意软件攻击的潜在影响。如果要让你的组织具备处理被僵尸网络劫持的能力,那么一个对不同终端,网络访问,数据管理以及未知用户都有详细定义的好的计划是相当有必要的。
2. 诊断
俗话说,治病一半的功劳在于诊断。所以,感染点在哪里?这是一个对于恶意软件来说价值$ 64,000的问题。
使用加密,快速DNS变更的方式进行攻击称之为“Fast Flux服务网络”,很多典型的僵尸网络和C&C代码都是使用这种方式穿梭在传统的安全控制雷达之下的。这就是为什么没有合适的工具就难以检测僵尸网络。但如果你能找到恶意软件发起的主机,一定要加紧调查并尽量控制范围。提示:Windows客户端被感染的可能性比较大,但也可能是你的Windows服务器。
使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码,以及从这里访问的其它系统等。对于像Wireshark之类的网络分析工具,OmniPeek还可以提供额外的视图以查看网络层面发生的事情,这种更高级别的视图将让管理员受益匪浅。
此外,你最终可能需要从Damballa和FireEye这样的供应商那里获取更先进的技术,以有效地追踪恶意软件感染和进行肉鸡移除。
3. 限制
如果你足够了解恶意软件的感染,可以运用一些应急的网络访问控制列表或防火墙规则来阻止恶意软件的入站或出站网络流量,直到将它们清理掉。
你还可以采用白名单的方法,加上本地策略或组策略作为基本工具来对抗恶意软件感染,更可以使用Bit9提倡的“积极安全控制策略”作为高级工具进行对抗。
4. 清除
只是运行一个简单的防病毒扫描是无法将肉鸡移除的。你甚至无法检测到恶意软件的异常行为。即使可以检测,恶意代码也往往与操作系统/注册表相互交织,使主流的杀毒软件不知道如何进行处理。
你所能做的最好的措施之一就是运行多个反恶意软件工具,尤其是像Webroot和Malwarebytes这样的对更高级威胁相对了解的工具。你也可能除了重新安装操作系统之外毫无选择。
此外,在重新安装操作系统时,还要注意数据丢失的风险。在我处理过的项目中,几乎没有任何内部安全评估,也没有找到位于工作站上的敏感信息的备份副本。
5. 补丁更新
对于恶意软件的感染,最大的敌人莫过于用户没有对Java、Adobe和相关的第三方软件进行定期更新。其次是Windows XP即将退休。
问题是,对企业的系统进行更新可以消除威胁,至少可以防止恶意软件的传播。所以现在需要开始考虑第三方软件的补丁管理问题,以至于在真正出现问题时你可以有所防备。
当所有这一切都没有奏效时,你只能寻求专家的帮助。僵尸网络非常难以应付。因为我发现在我的项目里,以及从其它事件了解的信息来看,僵尸网络很像身体的癌症病变。即使网络中还残存一点僵尸信息,很可能就会遭遇第二波感染。应急事件措施以及让专业人士定期对疑似特征的终端进行处理将会让整个组织处于IT安全的保护之中。
去除终端上的恶意软件是尽量减少风险的一个方面。威胁情报(知道要寻找什么,并有足够的信息支持决策)非常关键。这又回到一个基本的管理原则:了解你的网络。虽然它听起来有些无聊,但是当你真正知道什么是“ 正常”时,你就会对异常活动做出正确的判断。
如果你没有工具或流程来获取相应的信息,那就从今天开始吧。要获得终端的控制权,你需要有好的网络分析工具和事件监控工具来同僵尸网络进行对抗。就像我最喜欢的一句话:“知己知彼,百战不殆”。
恶意软件的问题并不会随着时间的流逝有任何好转的迹象。所以对于桌面和网络管理员来说,现在需要提高他们的技能,使之成长为威胁分析师,数据科学家和事件响应者。即使目前这些领域还不会影响他们的工作,但是有朝一日,他们一定会派上用场的。
