幾年前，在一個項目中，由于是有針對性的惡意軟件攻擊，我研究了被卷入僵尸網(wǎng)絡(luò)的超過10000臺的計算機。這些計算機存在的主要問題是安全措施極其薄弱，如沒有漏洞測試，以及對傳統(tǒng)殺毒軟件過度依賴等。另外還發(fā)現(xiàn)在安全團隊、桌面支持團隊、IT管理員和其他相關(guān)方之間的溝通出現(xiàn)中斷。這是非常致命的。

[[108354]]

“肉雞”和它們的指令控制（C&C）服務(wù)器被歸類為先進的惡意軟件。隨著我們更多地了解這些先進惡意軟件的復(fù)雜程度以及問題可能的復(fù)雜性和廣泛性，很顯然，僵尸網(wǎng)絡(luò)的清理并不是一件簡單的事情。不幸的是，在企業(yè)遇到這種問題時，管理員是無法簡單地通過關(guān)閉系統(tǒng)，重新安裝鏡像來避免的。

正如我遇到過的一樣，肉雞感染可能是作為一名IT專業(yè)人士處理過的最討厭的事情之一，但它并不會對你現(xiàn)有的工作產(chǎn)生巨大影響。

對于如何應(yīng)對這些惡意軟件感染，以及肉雞移除，作為企業(yè)的IT管理員，以下是需要注意的五個關(guān)鍵步驟。

1. 文檔化

如果你要有效地管理IT風(fēng)險，需要有完善的事件響應(yīng)流程。行動計劃的缺失可以說是有效安全響應(yīng)的最大障礙。馬上開始制定積極的預(yù)防措施來盡量減少惡意軟件攻擊的潛在影響。如果要讓你的組織具備處理被僵尸網(wǎng)絡(luò)劫持的能力，那么一個對不同終端，網(wǎng)絡(luò)訪問，數(shù)據(jù)管理以及未知用戶都有詳細定義的好的計劃是相當有必要的。

2. 診斷

俗話說，治病一半的功勞在于診斷。所以，感染點在哪里？這是一個對于惡意軟件來說價值$ 64,000的問題。

使用加密，快速DNS變更的方式進行攻擊稱之為“Fast Flux服務(wù)網(wǎng)絡(luò)”，很多典型的僵尸網(wǎng)絡(luò)和C&C代碼都是使用這種方式穿梭在傳統(tǒng)的安全控制雷達之下的。這就是為什么沒有合適的工具就難以檢測僵尸網(wǎng)絡(luò)。但如果你能找到惡意軟件發(fā)起的主機，一定要加緊調(diào)查并盡量控制范圍。提示：Windows客戶端被感染的可能性比較大，但也可能是你的Windows服務(wù)器。

使用微軟的Sysinternals工具是一個好的開端。需要特別小心的是注意在有嫌疑的機器上輸入的任何密碼，以及從這里訪問的其它系統(tǒng)等。對于像Wireshark之類的網(wǎng)絡(luò)分析工具，OmniPeek還可以提供額外的視圖以查看網(wǎng)絡(luò)層面發(fā)生的事情，這種更高級別的視圖將讓管理員受益匪淺。

此外，你最終可能需要從Damballa和FireEye這樣的供應(yīng)商那里獲取更先進的技術(shù)，以有效地追蹤惡意軟件感染和進行肉雞移除。

3. 限制

如果你足夠了解惡意軟件的感染，可以運用一些應(yīng)急的網(wǎng)絡(luò)訪問控制列表或防火墻規(guī)則來阻止惡意軟件的入站或出站網(wǎng)絡(luò)流量，直到將它們清理掉。

你還可以采用白名單的方法，加上本地策略或組策略作為基本工具來對抗惡意軟件感染，更可以使用Bit9提倡的“積極安全控制策略”作為高級工具進行對抗。

4. 清除

只是運行一個簡單的防病毒掃描是無法將肉雞移除的。你甚至無法檢測到惡意軟件的異常行為。即使可以檢測，惡意代碼也往往與操作系統(tǒng)/注冊表相互交織，使主流的殺毒軟件不知道如何進行處理。

你所能做的最好的措施之一就是運行多個反惡意軟件工具，尤其是像Webroot和Malwarebytes這樣的對更高級威脅相對了解的工具。你也可能除了重新安裝操作系統(tǒng)之外毫無選擇。

此外，在重新安裝操作系統(tǒng)時，還要注意數(shù)據(jù)丟失的風(fēng)險。在我處理過的項目中，幾乎沒有任何內(nèi)部安全評估，也沒有找到位于工作站上的敏感信息的備份副本。

5. 補丁更新

對于惡意軟件的感染，最大的敵人莫過于用戶沒有對Java、Adobe和相關(guān)的第三方軟件進行定期更新。其次是Windows XP即將退休。

問題是，對企業(yè)的系統(tǒng)進行更新可以消除威脅，至少可以防止惡意軟件的傳播。所以現(xiàn)在需要開始考慮第三方軟件的補丁管理問題，以至于在真正出現(xiàn)問題時你可以有所防備。

當所有這一切都沒有奏效時，你只能尋求專家的幫助。僵尸網(wǎng)絡(luò)非常難以應(yīng)付。因為我發(fā)現(xiàn)在我的項目里，以及從其它事件了解的信息來看，僵尸網(wǎng)絡(luò)很像身體的癌癥病變。即使網(wǎng)絡(luò)中還殘存一點僵尸信息，很可能就會遭遇第二波感染。應(yīng)急事件措施以及讓專業(yè)人士定期對疑似特征的終端進行處理將會讓整個組織處于IT安全的保護之中。

去除終端上的惡意軟件是盡量減少風(fēng)險的一個方面。威脅情報(知道要尋找什么，并有足夠的信息支持決策)非常關(guān)鍵。這又回到一個基本的管理原則：了解你的網(wǎng)絡(luò)。雖然它聽起來有些無聊，但是當你真正知道什么是“ 正常”時，你就會對異?；顒幼龀稣_的判斷。

如果你沒有工具或流程來獲取相應(yīng)的信息，那就從今天開始吧。要獲得終端的控制權(quán)，你需要有好的網(wǎng)絡(luò)分析工具和事件監(jiān)控工具來同僵尸網(wǎng)絡(luò)進行對抗。就像我最喜歡的一句話：“知己知彼，百戰(zhàn)不殆”。

惡意軟件的問題并不會隨著時間的流逝有任何好轉(zhuǎn)的跡象。所以對于桌面和網(wǎng)絡(luò)管理員來說，現(xiàn)在需要提高他們的技能，使之成長為威脅分析師，數(shù)據(jù)科學(xué)家和事件響應(yīng)者。即使目前這些領(lǐng)域還不會影響他們的工作，但是有朝一日，他們一定會派上用場的。

本文來源：

http://www.searchsv.com.cn/showcontent_80102.htm

http://www.searchsv.com.cn/showcontent_80104.htm