企业环境下的恶意软件解决之道

        Dominic Vogel 是企业IT安全管理新手。通过一段时间的工作，他总结了一套适合企业IT安全管理员的恶意软件应对步骤，如果你也同样是个新手，可以从中学到不少经验。

        如果我说，初级IT安全管理员这个岗位非常迷人，工作中充满了刺激，这肯定是不现实的。不过虽然这个工作没有马戏团的驯兽员调教狮子老虎那么刺激，但是也有其自身的乐趣。对于我来说，最喜欢做的就是处理那些被恶意软件感染的电脑。可能很多自身安全专家觉得这种工作太小儿科，但是它对于IT安全新手来说确实是一个学习的绝好机会，从中我们可以认识到企业的IT安全现状，学习风险预测，日志分析以及安全威胁信息的归档等。

        在处理可能由恶意软件引发的问题时，我一般会使用以下工具：铅笔、记事本、U盘、光盘(防止USB接口被恶意软件屏蔽)，以及一些零碎工具。虽然看上去有些凌乱，但是每样工具都有它的作用。

       针对恶意软件所作的处理工作可分为以下几个步骤：

       #1 评估威胁程度。在这一阶段还不需要将问题复杂化，也就是说，不需要详细的计算损失。只需要注意感染迹象，并按照下面的几个等级将威胁进行评级即可：

       • 低: 有明显的被感染症状，但是可以很容易清理

       • 中: 有明显的被感染症状，需要一定精力和多种工具才能清除所有病毒/恶意软件痕迹。

       • 高 : 没有明显症状，但是会在企业不知道的情况下活跃的盗取企业数据。(最危险的恶意软件类型就是没有明显迹象的，而要避免和清除这种威胁，对IT安全工作者来说是很大的挑战，很多专业人士也有自己总结出的一套经验办法)

       #2 分析来自公司反病毒系统的日志并寻找相关信息。 这台电脑是否在之前就有过被感染的记录，当时是否彻底清理了恶意软件?这台电脑是否频繁被感染?这些问题可以帮助管理人员进行企业电脑系统的整体风险预测，从而辅助企业进行一系列决策，比如员工们是否需要进一步的安全培训?通过分析企业的各种反病毒设备的日志，比如电子邮件过滤日志、Web使用情况报表、网络入侵检测系统的日志等，可以帮助管理人员判断入侵发生的位置，感染的范围，透过哪种漏洞进行感染的，为何安全防御系统“失效”，以及未来该如何防止此类感染发生。(有时候这些问题的答案需要等到步骤3和步骤4之后才能完全给出).

       #3 向同事进一步询问信息。在发现电脑有问题时，正在浏览什么网站，是否打开了邮件附件，第一次感染迹象出现在什么时候(这些问题并不是走形式，一定要问清楚)。但是记住不要一开始就指责员工，人们都是倾向于在没有抗拒心理时透露更多信息。

用铅笔和记事本将员工陈述的重点记录下来。在获得了你所需要的信息后，别忘了给同事买杯咖啡或给个糖吃，为他对你工作的配合表示一下感谢，这样你以后的工作也会更加顺利。

       #4 清理被感染的电脑。 用U盘中的工具软件清理电脑中的恶意软件。我的U盘和CD光盘中包括以下这些工具：

       • USB Dummy Protect

       防止任何恶意软件向U盘中写入代码，阻止恶意软件的进一步传播和破坏。

       • Super Anti-Spyware

       恶意软件和病毒检测清除工具，尤其擅长清除FakeAV(假冒杀毒软件的木马)

       • Malware Bytes AntiMalware

       另一款流行的病毒查杀工具

       • SysInternals

       http://live.sysinternals.com/这个网站包含了很多工具软件，其中ProcMon和Rootkit Revealer都是不错的恶意软件顽固残留清除工具。

       • EXEFIX_XP

       • 修复因为恶意软件而受损的可执行文件和快捷方式。

       • Sophos Rootkit Revealer

       如果各种杀毒软件都没有检测到恶意软件，有可能是rootkit类型的恶意软件。这种情况可以通过Sophos工具进行查杀，它对各种类型的rootkit恶意软件都有效。

       • aswMBR

       这是来自Avast 的Rootkit扫描工具，针对TDL4/3, MBRoot (Sinowal), Whistler, 以及多种难缠的rootkits

       • Kaspersky Rescue CD

      很多时候，我们试过了各种查杀软件，也无法彻底清理掉某些恶意软件，这时可以通过救援光盘启动，防止系统在引导时即被感染。系统通过救援CD启动后，可以比较容易得清除掉恶意软件。

      #5 将所有发现的事项进行记录。这里所说的事项，包括病毒/恶意软件感染，安全漏洞攻击，以及各种安全威胁等。大部分恶意软件查杀工具都会列出被感染文件、恶意软件名称和类型等信息。其它有关恶意软件的额外信息可以通过网络上的恶意软件数据库获取，比如 Microsoft Malware Protection Center 或McAfee Threat Intelligence。 所有主流的病毒查杀公司都有类似的研究页面供网民参考。确保将所有的问题及答案都记录下。

      #6 调整企业的安全系统和策略。这个步骤的目的是解决企业现有的安全漏洞或安全策略缺陷，防止同类入侵事件再次发生。这个工作需要我们平衡严格安全策略和工作便利性之间的关系，毕竟我们不能对每个病毒感染报告都反应过度。而采用基本的风险管理策略，就可以避免条件反射似的无章法的应对行动。如果你是IT团队中的新人，能做的也就是为那些决策制定者提供以上那些信息。

      处理被感染的电脑，本来就不是一个微不足道的任务。作为一个安全管理新手，当有公司同事报告电脑被病毒感染时，你所要做的不仅仅是清理病毒和恢复电脑正常，还要收集有关的感染信息作为未来公司制定安全防护策略的原始依据。