推薦桌面系統惡意軟體應急處理七大要訣
幾個月前,我前往奧蘭多參加了一次會議。這個時間,按照奧蘭多的標準來看,天氣非常寒冷;由於處在經濟衰退的時期,當地對旅遊業的依賴程度也比較凸顯,這就是相當好客。這次會議的內容非常有建設性,我收到了大量名片和需要檢視的網站。第二天,在離開賓館參加會議的前一個小時,我連線到區域網上並訪問一些網站。其中的一個網站,屬於網路日誌聚合類服務,精選了大量活躍日誌中的評論集,我隨意地點選評論進行檢視。就在我停下來回應敲門這一短短時間中,一個惡意軟體已經開始控制我的Windows膝上型電腦了。
這就是為什麼這篇文章關注的重點是Windows的原因了。這些原則也適用於類似的非Windows平臺,但在細節方面會有所不同。
步驟/方法
恐慌過後的工作
出於本能,我立即拔掉了網線(採用迷你介面的有線連線)。接下來,惡意軟體的症狀就開始出現了,我非常希望能儘快訪問到剛才無法進入的搜尋引擎。為什麼呢?因為,對於惡意軟體來說,攻擊已經開始了,甚至有可能已經完成了,並隱藏到系統裡的某處了。
對於進行清晰的思考來說,惡意軟體通過活動程序進行傳播的時間並不是非常有利的選擇,但在這種情況下,你必須在第一時間進行有效處理。在感染早期採取正確的處理措施,可以為後面的修復工作節省大量時間。對於專門的惡意軟體處理人員來說,這些步驟屬於常識,但對於典型中小型企業網路的管理員來說,網路安全僅僅屬於眾多工作中的一項。
建議的處理方式
對於此類問題,安全軟體供應商們給出了什麼樣的建議?他們提供了一類稱之為“終端保護”的軟體,有幾家甚至認識到這裡存在的商業機會:舉例來說,基石公司的聯絡頁面就使用了“911緊急響應”的擡頭。他們還提供了一系列的免費工具。在適用於Windows系統的反惡意軟體工具包還可以包含Sysinternals的PsTools工具套件,你可以從微軟技術網路上免費下載(儘管作者馬克·魯西諾維奇指出:由於這些工具也被某些病毒使用,這樣做的後果可能會觸發防病毒警告,)。採用Sysinternals Handle和程序瀏覽器可以給處理過程帶來很大的幫助。
開始反擊
我記得就在幾分鐘前,還可以利用HTC Touch 2手機上的瀏覽器來查詢感染來源,計劃處理方案。在浪費了一些時間瀏覽過幾個沒有什麼幫助的頁面後,我確定了惡意軟體的具體種類,在間諜軟體超級防護網站上找到了關於怎樣解決該問題詳細清晰的說明,並且發現了一個由MalwareBytes提供的非常優秀的企業級反病軟體安裝包。
在成功地清除掉惡意軟體後,我去參加了當天的會議。我提醒自己,對於零日攻擊來說,處理過程並不是那麼簡單的。如果多臺工作站或者一兩臺伺服器在工作的時間受到攻擊,採用更加系統規範的處理模式是非常有必要的。在經過更復雜的風險分析後,我發現,建立一支經過培訓可以充分有效地執行感染處理措施的應急處理隊伍是非常有必要的。並且認識到,對於企業來說,無線網路電話是一項非常重要的資產。關鍵命令甚至二進位制檔案都可以通過簡訊或移動Skype之類的方式進行傳播。
這次會議是以一場基於聯邦緊急事務管理局標準的桌面緊急響應演習而結束的。
桌面系統惡意軟體應急處理七要訣
#1充分了解存在的風險
遵循應急處理業的希波克拉底誓言:不要增加損害。換句話說,就是不要讓情況變得更糟。對惡意軟體進行分析評估,判斷它是需要被立即刪除,還是關閉機器,在受到控制的環境裡進行處理。充分考慮到資料面臨的風險和裝置的實際需求,從中找到最佳的處理措施。
#2隨身攜帶支援網路功能的智慧手機
對資料專案進行投入。作到可以熟練地使用移動瀏覽器,掌握其大部分功能。將書籤資訊儲存起來。大部分手機都可以支援儲存了額外應急軟體的快閃記憶體卡。
#3隨身攜帶大容量(USB介面16GB容量)的記憶棒
至少攜帶一個大容量的USB儲存裝置,將最經常使用的安全工具儲存在上面,更好的方法是利用Slax之類的Linux小型發行版本建立包含安全工具的完全可引導作業系統。
#4對攻擊進行更廣泛的檢查
確定惡意軟體針對你運氣不好的筆記本計算機進行的是普通攻擊,還是僅僅屬於佯攻:可以利用通常的補救措施來進行處理,比讓最初的攻擊獲得成功更需要得到重視。
#5進行災難恢復演習
即使在本次攻擊中,你有幸避免遇到資料丟失的後果,瞭解進行災難恢復時可以採取的處理措施,依然是非常有必要的。並且,它們需要經常進行更新。
#6經常更新書籤
在網路安全類網站上經常包含了一些發人深省的經驗,對於應急處理來說,它們非常有價值。因此,應該經常更新手機上的書籤。
#7及時進行事後總結並記錄進書面檔案
在軍事領域,它被稱為“事後總結”或者AAR。在清理完惡意軟體消除了帶來的損害後,你應該利用工具對整起事件進行分析總結,並建立容易訪問的書面檔案。將整個事件的詳細過程記錄下來。以確保執行長在到國會小組委員會作證前,不會遇到相同的困擾。作者:ZDNet安全頻道