應對惡意軟件的方法

　　幾年前，在一個項目中，由於是有針對性的惡意軟件攻擊，我研究了被卷入僵屍網絡的超過10,000台的計算機。這些計算機存在的主要問題是安全措施極其薄弱，如沒有漏洞測試，以及對傳統殺毒軟件過度依賴等。另外還發現在安全團隊、桌面支持團隊、IT管理員和其他相關方之間的溝通出現中斷。這是非常致命的。

　　“肉雞”和它們的指令控制(C&C)服務器被歸類為先進的惡意軟件。隨著我們更多地了解這些先進惡意軟件的復雜程度以及問題可能的復雜性和廣泛性，很顯然，僵屍網絡的清理並不是一件簡單的事情。不幸的是，在企業遇到這種問題時，管理員是無法簡單地通過關閉系統，重新安裝鏡像來避免的。

　　正如我遇到過的一樣，肉雞感染可能是作為一名IT專業人士處理過的最討厭的事情之一，但它並不會對你現有的工作產生巨大影響。

　　對於如何應對這些惡意軟件感染，以及肉雞移除，作為企業的IT管理員，以下是需要注意的五個關鍵步驟。

　　1. 文檔化

　　如果你要有效地管理IT風險，需要有完善的事件響應流程。行動計劃的缺失可以說是有效安全響應的最大障礙。馬上開始制定積極的預防措施來盡量減少惡意軟件攻擊的潛在影響。如果要讓你的組織具備處理被僵屍網絡劫持的能力，那麼一個對不同終端，網絡訪問，數據管理以及未知用戶都有詳細定義的好的計劃是相當有必要的。

　　2. 診斷

　　俗話說，治病一半的功勞在於診斷。所以，感染點在哪裡?這是一個對於惡意軟件來說價值$ 64,000的問題。

　　使用加密，快速DNS變更的方式進行攻擊稱之為“Fast Flux服務網絡”，很多典型的僵屍網絡和C&C代碼都是使用這種方式穿梭在傳統的安全控制雷達之下的。這就是為什麼沒有合適的工具就難以檢測僵屍網絡。但如果你能找到惡意軟件發起的主機，一定要加緊調查並盡量控制范圍。提示：Windows客戶端被感染的可能性比較大，但也可能是你的Windows服務器。

　　使用微軟的Sysinternals工具是一個好的開端。需要特別小心的是注意在有嫌疑的機器上輸入的任何密碼，以及從這裡訪問的其它系統等。對於像Wireshark之類的網絡分析工具，OmniPeek還可以提供額外的視圖以查看網絡層面發生的事情，這種更高級別的視圖將讓管理員受益匪淺。

　　此外，你最終可能需要從Damballa和FireEye這樣的供應商那裡獲取更先進的技術，以有效地追蹤惡意軟件感染和進行肉雞移除。

　　3. 限制

　　如果你足夠了解惡意軟件的感染，可以運用一些應急的網絡訪問控制列表或防火牆規則來阻止惡意軟件的入站或出站網絡流量，直到將它們清理掉。

　　你還可以采用白名單的方法，加上本地策略或組策略作為基本工具來對抗惡意軟件感染，更可以使用Bit9提倡的“積極安全控制策略”作為高級工具進行對抗。

　　4. 清除

　　只是運行一個簡單的防病毒掃描是無法將肉雞移除的。你甚至無法檢測到惡意軟件的異常行為。即使可以檢測，惡意代碼也往往與操作系統/注冊表相互交織，使主流的殺毒軟件不知道如何進行處理。

　　你所能做的最好的措施之一就是運行多個反惡意軟件工具，尤其是像Webroot和Malwarebytes這樣的對更高級威脅相對了解的工具。你也可能除了重新安裝操作系統之外毫無選擇。

　　此外，在重新安裝操作系統

　　時，還要注意數據丟失的風險。在我處理過的項目中，幾乎沒有任何內部安全評估，也沒有找到位於工作站上的敏感信息的備份副本。

　　5. 補丁更新

　　對於惡意軟件的感染，最大的敵人莫過於用戶沒有對Java、Adobe和相關的第三方軟件進行定期更新。其次是Windows XP即將退休。

　　問題是，對企業的系統進行更新可以消除威脅，至少可以防止惡意軟件的傳播。所以現在需要開始考慮第三方軟件的補丁管理問題，以至於在真正出現問題時你可以有所防備。

　　當所有這一切都沒有奏效時，你只能尋求專家的幫助。僵屍網絡非常難以應付。因為我發現在我的項目裡，以及從其它事件了解的信息來看，僵屍網絡很像身體的癌症病變。即使網絡中還殘存一點僵屍信息，很可能就會遭遇第二波感染。應急事件措施以及讓專業人士定期對疑似特征的終端進行處理將會讓整個組織處於IT安全的保護之中。

　　去除終端上的惡意軟件是盡量減少風險的一個方面。威脅情報(知道要尋找什麼，並有足夠的信息支持決策)非常關鍵。這又回到一個基本的管理原則：了解你的網絡。雖然它聽起來有些無聊，但是當你真正知道什麼是“ 正常”時，你就會對異常活動做出正確的判斷。

　　如果你沒有工具或流程來獲取相應的信息，那就從今天開始吧。要獲得終端的控制權，你需要有好的網絡分析工具和事件監控工具來同僵屍網絡進行對抗。就像我最喜歡的一句話：“知己知彼，百戰不殆”。

　　惡意軟件的問題並不會隨著時間的流逝有任何好轉的跡象。所以對於桌面和網絡管理員來說，現在需要提高他們的技能，使之成長為威脅分析師，數據科學家和事件響應者。即使目前這些領域還不會影響他們的工作，但是有朝一日，他們一定會派上用場的。