几年前,在一个项目中,因为是有针对性的歹意软件报复打击,我研究了被卷进僵尸收集的超越10,000台的计较机。这些计较机存在的首要标题问题是安然办法极其亏弱,如没有缝隙测试,和对传统杀毒软件过度依托等。别的还发此刻安然团队、桌面撑持团队、IT治理员和其他相干方之间的沟通呈现间断。这是很是致命的。
“肉鸡”和它们的指令节制(C&C)办事器被回类为进步前辈的歹意软件。跟着我们更多地体味这些进步前辈歹意软件的复杂程度和标题问题可能的复杂性和 遍及性,很明显,僵尸收集的清理其实不是一件简单的工作。不幸的是,在企业碰着这类标题问题时,治理员是没法简单地经由过程封锁系统,从头安装镜像来避免的。
正如我碰着过的一样,肉鸡传染多是作为一名IT专业人士措置过的最讨厌的工作之一,但它其实不会对你现有的工作产生巨大年夜影响。
对若何应对这些歹意软件传染,和肉鸡移除,作为企业的IT治理员,以下是需要寄望的五个关头步调。
1. 文档化
假定你要有效地治理IT风险,需要有完美的事务响应流程。步履打算的缺掉可以说是有效安然响应的最大年夜障碍。顿时开端拟定积极的预防办法来尽可能削减恶 意软件报复打击的暗藏影响。假定要让你的组织具有措置被僵尸收集劫持的能力,那么一个对不合终端,收集拜候,数据治理和未知用户都有具体定义的好的打算是相 当有需要的。
2. 诊断
鄙谚说,治病一半的功绩在于诊断。所以,传染点在哪里?这是一个对歹意软件来讲价值$ 64,000的标题问题。
利用加密,快速DNS变动的编制进行报复打击称之为“Fast Flux办事收集”,良多典型的僵尸收集和C&C代码都是利用这类编制穿梭在传统的安然节制雷达之下的。这就是为甚么没有合适的东西就难以检测僵 尸收集。但假定你能找到歹意软件倡议的主机,必然要抓紧查询拜访并尽可能节制范围。提示:Windows客户端被传染的可能性比较大年夜,但也多是你的 Windows办事器。
利用微软的Sysinternals东西是一个好的初步。需要出格谨慎的是寄望在有嫌疑的机械上输进的任何暗码,和从这里拜候的其它系统等。对 像Wireshark之类的收集阐发东西,OmniPeek还可以供给额外的视图以查看收集层面产生的工作,这类更高级别的视图将让治理员收获颇丰。
别的,你终很可能需要从Damballa和FireEye如许的供给商那边获得更进步前辈的手艺,以有效地追踪歹意软件传染和进行肉鸡移除。
3. 限制
假定你足够体味歹意软件的传染,可以应用一些应急的收集拜候节制列表或防火墙法则来禁止歹意软件的进站或出站收集流量,直到将它们清理掉落。
你还可以采取白名单的编制,加上本地策略或组策略作为根基东西来匹敌歹意软件传染,更可利用Bit9倡导的“积极安然节制策略”作为高级东西进行匹敌。
4. 断根
只是运行一个简单的防病毒扫描是没法将肉鸡移除的。你乃至没法检测到歹意软件的异常行动。即便可以检测,歹意代码也常常与把持系统/注册表彼此交叉,使主流的杀毒软件不知道若何进行措置。
你所能做的最好的办法之一就是运行多个反歹意软件东西,特别是像Webroot和Malwarebytes如许的对更高级威胁相对体味的东西。你也可能除从头安装把持系统以外毫无选择。
别的,在从头安装把持系统时,还要寄望数据丢掉的风险。在我措置过的项目中,几近没有任何内部安然评估,也没有找到位于工作站上的敏感信息的备份副本。
5. 补丁更新
对歹意软件的传染,最大年夜的仇敌莫过于用户没有对Java、Adobe和相干的第三方软件进行按期更新。其次是Windows XP即将退休。
标题问题是,对企业的系统进行更新可以消弭威胁,起码可以避免歹意软件的传播。所以此刻需要开端考虑第三方软件的补丁治理标题问题,乃至于在真正呈现标题问题时你可以有所防御。
当所有这一切都没有见效时,你只能寻求专家的帮忙。僵尸收集很是难以应付。因为我发此刻我的项目里,和从其它事务体味的信息来看,僵尸收集很像身 体的癌症病变。即便收集中还残存一点僵尸信息,很可能就会遭受第二波传染。应急事务办法和让专业人士按期对疑似特点的终端进行措置将会让全部组织处于 IT安然的呵护当中。
往除终端上的歹意软件是尽可能削减风险的一个方面。威胁谍报(知道要寻觅甚么,并有足够的信息撑持决定计划)很是关头。这又回到一个根基的治理原则:体味你的收集。当然它听起来有些无聊,可是当你真正知道甚么是“ 正常”时,你就会对异常勾当做出准确的鉴定。
假定你没有东西或流程来获得响应的信息,那就从今天开端吧。要获得终端的节制权,你需要有好的收集阐发东西和事务监控东西来同僵尸收集进行匹敌。就像我最喜好的一句话:“良知知彼,百战百胜”。
歹意软件的标题问题其实不会跟着时候的流逝有任何好转的迹象。所以对桌面和收集治理员来讲,此刻需要进步他们的手艺,使之成长为威胁阐发师,数据科学家和事务响应者。即便今朝这些范畴还不会影响他们的工作,可是有朝一日,他们必然会派上用处的。