管理员应对恶意软件的五个步骤

几年前,在一个项目中,由于是有针对性的恶意软件攻击,我研究了被卷入僵尸网络的超过10,000台的计算机。这些计算机存在的主要问题是安全措施极其薄弱,如没有漏洞测试,以及对传统杀毒软件过度依赖等。另外还发现在安全团队、桌面支持团队、IT管理员和其他相关方之间的沟通出现中断。这是非常致命的。

[[108352]]

 

“肉鸡”和它们的指令控制(C&C)服务器被归类为先进的恶意软件。随着我们更多地了解这些先进恶意软件的复杂程度以及问题可能的复杂性和广泛性,很显然,僵尸网络的清理并不是一件简单的事情。不幸的是,在企业遇到这种问题时,管理员是无法简单地通过关闭系统,重新安装镜像来避免的。

正如我遇到过的一样,肉鸡感染可能是作为一名IT专业人士处理过的最讨厌的事情之一,但它并不会对你现有的工作产生巨大影响。

对于如何应对这些恶意软件感染,以及肉鸡移除,作为企业的IT管理员,以下是需要注意的五个关键步骤。

1. 文档化

如果你要有效地管理IT风险,需要有完善的事件响应流程。行动计划的缺失可以说是有效安全响应的最大障碍。马上开始制定积极的预防措施来尽量减少恶意软件攻击的潜在影响。如果要让你的组织具备处理被僵尸网络劫持的能力,那么一个对不同终端,网络访问,数据管理以及未知用户都有详细定义的好的计划是相当有必要的。

2. 诊断

俗话说,治病一半的功劳在于诊断。所以,感染点在哪里?这是一个对于恶意软件来说价值$ 64,000的问题。

使用加密,快速DNS变更的方式进行攻击称之为“Fast Flux服务网络”,很多典型的僵尸网络和C&C代码都是使用这种方式穿梭在传统的安全控制雷达之下的。这就是为什么没有合适的工具就难以检测僵尸网络。但如果你能找到恶意软件发起的主机,一定要加紧调查并尽量控制范围。提示:Windows客户端被感染的可能性比较大,但也可能是你的Windows服务器。

使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码,以及从这里访问的其它系统等。对于像Wireshark之类的网络分析工具,OmniPeek还可以提供额外的视图以查看网络层面发生的事情,这种更高级别的视图将让管理员受益匪浅。

此外,你最终可能需要从Damballa和FireEye这样的供应商那里获取更先进的技术,以有效地追踪恶意软件感染和进行肉鸡移除。

3. 限制

如果你足够了解恶意软件的感染,可以运用一些应急的网络访问控制列表或防火墙规则来阻止恶意软件的入站或出站网络流量,直到将它们清理掉。

你还可以采用白名单的方法,加上本地策略或组策略作为基本工具来对抗恶意软件感染,更可以使用Bit9提倡的“积极安全控制策略”作为高级工具进行对抗。

4. 清除

只是运行一个简单的防病毒扫描是无法将肉鸡移除的。你甚至无法检测到恶意软件的异常行为。即使可以检测,恶意代码也往往与操作系统/注册表相互交织,使主流的杀毒软件不知道如何进行处理。

你所能做的最好的措施之一就是运行多个反恶意软件工具,尤其是像Webroot和Malwarebytes这样的对更高级威胁相对了解的工具。你也可能除了重新安装操作系统之外毫无选择。

此外,在重新安装操作系统时,还要注意数据丢失的风险。在我处理过的项目中,几乎没有任何内部安全评估,也没有找到位于工作站上的敏感信息的备份副本。

5. 补丁更新

对于恶意软件的感染,最大的敌人莫过于用户没有对Java、Adobe和相关的第三方软件进行定期更新。其次是Windows XP即将退休。

问题是,对企业的系统进行更新可以消除威胁,至少可以防止恶意软件的传播。所以现在需要开始考虑第三方软件的补丁管理问题,以至于在真正出现问题时你可以有所防备。

当所有这一切都没有奏效时,你只能寻求专家的帮助。僵尸网络非常难以应付。因为我发现在我的项目里,以及从其它事件了解的信息来看,僵尸网络很像身体的癌症病变。即使网络中还残存一点僵尸信息,很可能就会遭遇第二波感染。应急事件措施以及让专业人士定期对疑似特征的终端进行处理将会让整个组织处于IT安全的保护之中。

去除终端上的恶意软件是尽量减少风险的一个方面。威胁情报(知道要寻找什么,并有足够的信息支持决策)非常关键。这又回到一个基本的管理原则:了解你的网络。虽然它听起来有些无聊,但是当你真正知道什么是“ 正常”时,你就会对异常活动做出正确的判断。

如果你没有工具或流程来获取相应的信息,那就从今天开始吧。要获得终端的控制权,你需要有好的网络分析工具和事件监控工具来同僵尸网络进行对抗。就像我最喜欢的一句话:“知己知彼,百战不殆”。

恶意软件的问题并不会随着时间的流逝有任何好转的迹象。所以对于桌面和网络管理员来说,现在需要提高他们的技能,使之成长为威胁分析师,数据科学家和事件响应者。即使目前这些领域还不会影响他们的工作,但是有朝一日,他们一定会派上用场的。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/146889.html<

(0)
管理的头像管理
上一篇2025-03-11 07:26
下一篇 2025-03-11 07:27

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注