判斷你是否真的被黑客攻擊

　　如果你在機構裡實施終端用戶支持，你多半會熟悉當用戶的電腦不能啟動或發生問題時，它們會不分青紅皂白的說“我想我被黑了！”。其中有一些情況確實如此，需要立即響應，但另外一些只是用戶反應過度的小毛病。為了幫助你在用戶真正被黑時辨別和尋找故障，請查看下面的篇章。我們將請三位Windows安全專家介紹有關終端用戶問題分析和可能采取何種行動的知識，隨後，你可以到我們的論壇閱讀別人碰到問題後的解決辦法，也可以分享你自己的想法。 　　用戶的問題 　　“我是一個擁有超過500台運行Windows 2000和Windows XP操作系統的終端用戶的IT管理員，我們的一個用戶經歷的問題是：她的Internet連接不明不白的突然斷線，當她重啟計算機後，每一項工作看起來都在正常運行，和平時沒有什麼兩樣，但片刻之後，她的Internet連接就再度斷掉。有趣的是，她注意到在她不能訪問E-mail時，她的AOL即時聊天服務仍然能夠正常運行。我們已經運行netstat命令，注意到在她的機器中存在許多不明的開放連接，使用著某些確定的端口。這個特殊的用戶使用的是筆記本電腦，她經常在家中進行工作，因此我們不能確認所有的更新已經安裝。難道她的電腦被黑了？” 　　專家的意見 　　對於此類問題，可以采取四個步驟進行解決。 　　第一階段：分析 　　根據用戶給出的信息，判斷用戶的電腦是否被黑。 　　第二階段：立即響應 　　如果某台工作站被黑，那麼在24小時之內，你要進行怎樣的工作才能夠防止進一步的破壞？ 　　第三階段：恢復 　　在關鍵性的24小時過去之後，你要怎麼做才能夠挽回Windos操作系統，讓它恢復到原來的狀況下工作。 　　第四階段：預防 　　怎樣才能夠避免在未來被黑？ 　　下面，我們將具體介紹這四個步驟，也就是將專家們各自的處理方法綜合起來。
　　你被黑了：第一階段――分析 　　Lawrence Abrams：在發現和分析階段，第一件要做的事情是凍結筆記本電腦，以使感染不被擴散，並且數據和證據不致被破壞和丟失。在事件中，筆記本是法庭上需要的必要的證據，在分析它硬盤上的任何數據之前，你必須采取正確的步驟。 　　首先立即拔掉網線，並切斷電腦的電源（不要使用系統內置的關機，而是直接切斷）。然後，使用字節對字節的拷貝工具，比如EnCase（），FTK Imager（）， 　　WinHex（）或者可以在Helix Linux CD（）上 　　找到的圖形界面的dd gui，將硬盤上的數據從被感染的筆記本電腦鏡像到備用筆記本電腦上。現在，你擁有了法庭上承認的筆記本電腦拷貝，將原始的筆記本電腦鎖定，直到你需要在法庭上出具證據時才能再啟動它。 　　一旦數據被轉移到備用筆記本電腦，下一步就是辨認感染的工作。在所描述的問題場景中，我所做的第一步是下載從Foundstone 　　下載Fport（?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm），並且再從~merijn/下載HijackThis，然後在電腦上運行獲得大概的情況。Fport將給出哪個程序打開了哪個IP端口，HijackThis則將告訴你有哪些程序在隨著Windows啟動而運行。然後使用Netstat（），你能夠看到這台計算機正在嘗試連接網絡上的其它機器，並感染它們。 　　Kevin Beaver：這個用戶的電腦很又可能被黑或者感染了某種類型的惡意軟件。 　　Tony Bradley：在所描述的問題中，描述了一些可疑的活動，但是在場景中只提供了一部分的信息，這很難判斷此活動是惡意攻擊還是只是一些小問題。 　　你被黑了：第二階段――立即響應 　　Lawrence Abrams：使用在分析階段找到的信息，你應該鞏固企業_blank">防火牆的規則，禁止被感染機器可能訪問的那些端口，將網絡分為不同的部分，或者與外部網絡隔離。 　　由於AIM（AOL即時聊天工具）還能夠運行，因此病毒很可能會將自己插入聊天信息中，並希望能夠借助此信息傳播，當收到消息的人點擊其中的連接時，他們就可能中毒了。為減輕這種危險，你需要馬上在網絡中封掉5190端口（AIM使用的端口）。並且馬上發一封郵件給所有人，讓他們關閉即時聊天軟件也是合情合理的，而相對孤立的網絡部分，沒有被感染的風險。 　　如果他們被SDBot/RBot 　　（_gci211699,00.html">,290660,sid45_gci211699,00.html）或者其它的惡意後門軟件感染，你應該立即封禁出站端口6666和6667，除去從外部IRC服務器可能執行的命令。 　　使用_blank">防火牆日志，你應該能夠確定這些機器是否符合你的過濾要求，並且為清除其中的巨大威脅做好准備。粗略的使用類似Fport之類的程序掃描對每台電腦都是必要的，它對發現感染非常有用，不過這看起來是一個枯燥的令人畏縮的任務，但它必須執行。 　　Kevin Beaver：在這個階段，你應該按照你們公司的突發事件反應計劃進行工作，並按照它包含的每一個步驟詳細執行，最終消滅惡意攻擊，並從災難中恢復。突發事件響應團隊然後應該確定是否需要求助外部人員，或者在未來進行此項操作。 　　對――嚴重的情況是――你們公司並不存在一個突發事件應急計劃。這樣的話，你應該做的第一件事情不是恐慌，忙的團團轉的將每一台機器都關閉。如果用戶的工作站上包含有關鍵的信息（比如，個人的、機密的或其它敏感信息），你至少需要將它的網絡連接斷開，以最小化帶來的損失。 　　如果有可能招來外頻顧問或者法律實施進行正式的調查，你所做的就只是簡單的將計算機的電源線拔掉（不要使用系統內置的關機，而是直接切斷電源），這是最好的操作過程。這樣做的話，沒有內存、臨時文件或交換文件被篡改（雖然它們可能在這種暴力關機中被損壞），然後使用工具鏡像整個磁盤，以便能夠進行調查。 　　Tony Bradley：我所做的第一件事情是確認防病毒軟件現在是否正在運行。我還需要運行Microsoft Baseline Security Analyzer (MBSA，_gci1008465,00.html">,289483,sid45_gci1008465,00.html)或者類似的工具檢查所有需要的補丁是否已經安裝。 　　當連接斷線時，使用ping命令ping Internet網關的地址和主DNS服務器的地址，能夠幫助我們確定機器是否仍然能夠與它們通信。很又可能是DNS服務器出現或者這台機器到DNS服務器的連接出現了問題。
　　你被黑了：第三階段――恢復 　　Lawrence Abrams：使用補丁管理工具和人工干預，確認所有的計算機已經安裝了防病毒軟件、間諜軟件清除軟件和最新的Windows Update。每一台電腦不僅需要用防病毒軟件武裝起來，還需要安裝至少兩種反間諜程序。 　　Kevin Beaver：如果沒有進行正式的調查，那麼此時關心的主要事情是將機器重新接入網絡時，確保它是干淨的。這些可能包括使用知名的恢復工具進行恢復，或者在脫離網絡的情況下，啟動此台計算機，然後運行不同的工具，比如反間諜軟件、反病毒軟件、Rootkit檢測/清除工具、TCP/UDP端口映射工具、具有應用程序防護的個人_blank">防火牆軟件等，來確認它是干淨的。 　　同時，更改任何可能存儲於本地系統的密碼（Windows的、AIM的，，等等）。一旦機器被清理干淨，在將它放回網絡之前，你就能夠在它上面安裝一個網絡分析工具（這方面商業軟件Sniffer――或EtherPeek――更適合，也更容易使用）。 　　下一步要做的是開始抓包，或者至少監控協議和連接，以確認沒有令人懷疑的或惡意的東西繼續出現在網絡中。 　　Tony Bradley：假設在電腦和網關以及主DNS服務器之間的ping正常，我將對外部的Web站點進行tracert，以確定到底通信在哪裡發生了問題。假設所使用的系統為Windows操作系統，我將檢查事件、系統和安全日志，以找到相關的信息和可疑活動的證據。顯然，使用Netstat掃描發現的端口直接調查。我將使用Google搜索那些可疑的端口號，以辨認是否有使用這些特殊端口的知名的特洛伊木馬、後門程序或其它的惡意程序。 　　你的反應，包括初始反應和長期反應，以來與你所在公司的策略和你自己的能力。許多功能的策略只是簡單的重新格式化或重新鏡像一台機器，這看起來是一種折中的辦法，這樣做實際上保證了將問題移除――至少短期內能夠移除。 　　如果需要進行更為滲入的法庭調查，則此台機器必須進行隔離，並且要將它的磁盤創建一個鏡像。但是，做到這些需要考慮人力、設置和時間資源，你找到的結果與花費在找它們的投資上的對比，可能並不值得。 　　你被黑了：第四階段――預防 　　Lawrence Abrams：一定要使用補丁管理系統保證電腦補丁的及時性和最新性。而不定管理系統允許登錄到網絡上的遠程用戶獲得最新的補丁，並在它們的計算機上安裝。 　　另外，還需要購買內容過濾設備，比如_blank">防火牆。這類設備允許你過濾安全威脅、垃圾郵件和那些知名的帶有惡意程序的Web站點，它們還會在某台機器執行端口掃描或其它不正常行為時，向你發出警告。 　　每夜或每周進行反病毒和反間諜掃描也一定要安排在時間表內。間諜軟件和病毒已經成為可交換的具有相等威脅的兩個不受人喜歡的東西。為已知的端口創建_blank">防火牆存取規則在你的網絡上特別有用，比如為Internet多線交談（Internet Relay Chat，_gci214040,00.html">,290660,sid45_gci214040,00.html）創建規則。這將允許你在機器受到感染後，通過檢查_blank">防火牆日志，快速找到可能出現問題的點。 　　Kevin Beaver：一些實用措施將能夠鞏固每一個用戶工作站的安全，這些措施包括組策略，當用戶接入網絡時實用集中的補丁管理，實施一個安全策略，培訓用戶在遠程工作時如何打上他們應該打的補丁（不是一個好選擇，但總好過什麼都不做）。同樣，你肯定想安裝反間諜軟件、反病毒軟件和帶有應用程序防護的_blank">防火牆軟件，譬如BlackICE（_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0">?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0）、Zone Alarm（）等等。這些組合化的措施將給你一個相對健壯的環境，是一種很不錯的解決方案。 　　Tony Bradley：在預防未來的