深层防毒指南:快速和有效的响应恶意软件事件[一]

    还有一个重要的问题值得一提。由于使用了多种不同的负载，使得恶意软件攻击的复杂性不断增强，因此任何一种用于从系统中删除恶意软件的单一进程都已不再广泛适用。每个不同的恶意软件攻击都可能需要单独的补救措施。然而，这并非意味着定义一个用于标识攻击、控制攻击的传播以及从攻击恢复的过程（应保持一致性）就不重要。

    从高级角度而言，恶意软件突发恢复过程的步骤包括：

    1. 感染确认
    2. 事件响应
    3. 恶意软件分析
    4. 系统恢复
    5. 恢复后的步骤
 
    步骤 1：感染确认

    快速确定系统是否已受到感染对于组织将感染的影响程度降至最低至关重要。通过快速确认感染并标识它的可疑特征，可以降低感染的传播速度，并减小它对用户的不利影响。

    有很多不同类型的计算机故障可能被误认为是病毒行为。当用户通过电话或电子邮件表示"我认为我的系统已感染病毒"时，支持人员首先必须确定这种行为是否有可能由某种类型的恶意代码所导致。以下列表提供了一些用户可能将其报告为"类似病毒"行为的典型症状的示例：

    • "我曾经打开一封电子邮件附件，当时未出现异常情况；而现在我的计算机却行为异常。"
 
    • "我从联系人那里收到电子邮件答复，询问我为何向他们发送 .exe、.zip 或其他附件，而实际上我却从未发送过类似文件。"
 
    • "我的防病毒软件已经停止工作，且计算机总是自动关机！"
 
    • "我的程序工作异常，它们的速度都非常慢！"
 
    • "我的文档;文件夹中出现了大量以前未曾见过的文件。"
 
    • "我的某些文件无法打开或已经消失！" 

    用户的观察和反馈很关键，因为他们有可能第一个注意到异常活动。随着恶意软件突发速度的不断增加，最初感染与有效防御可用性之间的时间长度也变得越来越重要。由于大部分感染将在该阶段发生，因此组织能否快速标识并确认感染对于将突发的传播范围和它可能造成的损害降至最低程度至关重要。

    以下部分概述了一系列使您能够更快速地确认异常行为究竟是否是恶意软件攻击或突发的步骤。

    如果新型恶意软件感染系统，则该系统的用户将第一个注意到异常行为。在新恶意软件的发布时间与更新防病毒扫描应用程序以检测和应对该恶意软件的时间之间通常存在延迟。尽早提供警告系统的最佳方法是让用户了解如何识别可能的恶意软件攻击信号，并为他们提供快速通信链接以便尽快报告这些恶意软件攻击。

    感染报告
    在接到用户电话或生成有关可能的新恶意软件攻击的警报后，定义一个用于尽快确定警告是否与新攻击有关的过程对于技术支持通常很有好处。以下流程图显示了该过程中的主要步骤：

    图4.1 恶意软件感染报告过程

    异常活动报告
    以下问题应用于确定导致发出警报的异常活动是否可能是新恶意软件攻击。本指南假设这些问题应由组织中的 IT 技术支持的成员向非技术用户提出。

    收集基本信息
    最初的问题应旨在得到可以帮助尽快确定警报本质以及它是否有可能是新恶意软件攻击的回答。可以使用以下示例问题作为该过程的起点；应对其进行修改，以满足组织的需要。：

    • 报告的日期和时间？
 
    • 导致进行报告的异常活动是什么？
 
    • 在异常活动之前发生了什么活动？

    • 最近是否访问过"正常"的日常访问以外的任何 Web 站点？
 
    • 该系统最近是否位于组织网络的外部（例如，位于机场、家庭网络、Wi-Fi 热点或宾馆中）？
 
    • 您在屏幕上是否看到过任何异常弹出窗口或广告？ 
 
    • 当前正在运行哪些异常或意外进程？
 
    • 计算机是工作站还是服务器？它使用哪种操作系统？它应用了哪些安全更新？
 
    • 它所连接的计算机或任何设备是否包含关键任务数据？
 
    • 用户是否使用具有管理员特权的帐户登录？
 
    • 用户是否使用强密码或口令？
 
    • 该系统以前是否遭到过恶意软件攻击？ 

    最后一个问题很重要，这是因为先前的攻击通常会产生漏洞，无论这些漏洞是否已被修复，都可能导致随后的攻击。如果对该问题回答"是"，则考虑提出以下附加问题：

    • 上一次攻击发生的时间?
 
    • 谁处理的该攻击，以及攻击编号是多少（如果可能）？
 
    • 能否提供有关当时所采取的措施的信息？ 

    评估该数据
    收集对这些问题的回答后，技术支持人员应对照以下问题组评估收集的数据，以帮助确定恶意软件攻击是否可能是报告的原因：

    • 报告是否可能是系统的合法新特征或更新特征的结果？
 
    • 它能否由授权用户（而非黑客/入侵者）的活动得到解释？
 
    • 它能否由已知的系统活动得到解释？
 
    • 它能否由对程序或系统的授权更改得到解释？ 

    最后，应检查外部防病毒源（在本指南第 3 章"深层病毒防护"的"主动的内部通信"部分中标识），以确定该报告是否符合某些现有病毒或蠕虫警报。

    收集详细信息
    此时，可以确定新恶意软件攻击是否是问题的可能原因。如果不是，则可能需要更高级别的技术信息，且技术支持人员可能需要以物理方式访问（如果可能，远程控制）可疑系统。可以使用以下示例技术问题收集更详细的信息，并明确地确定系统是否已受到黑客或恶意代码的攻击：

    • 设备本身或在其前面是否启用了防火墙？如果启用，哪些端口已向 Internet 开放？
 
    • 如果应用程序出现故障，则立即联系应用程序供应商以确定根本原因（例如，当前的 Microsoft 应用程序提供可用于发送故障报告的错误报告工具）。
 
    • 该系统是否存在已经发布，但尚未安装的安全更新？
 
    • 系统拥有哪种类型的密码策略？最小密码长度是多少？密码复杂性的要求是什么？
 
    • 是否存在下列新的或可疑的情况：

    • 本地计算机上是否存在任何新的或可疑的帐户？
 
    • 管理员组中是否存在新的或可疑的帐户？
     
    • 服务管理控制台中是否列出了新的或可疑的服务？
 
    • 事件日志中是否存在新的或可疑的事件？ 
 
    • 是否存在由 Netstat 实用程序报告的指向外部 IP 地址或可疑 IP 地址的网络连接？

    异常活动响应
    收集最初信息并将其用于确定警报的本质后，支持人员应可以确定所发生的是假警报、恶作剧还是真正的恶意软件攻击。

    创建假恶意软件报告要比开发病毒或蠕虫容易得多，它可以确保创建许多假恶意软件警报。这些恶作剧以及它们所生成的调用和警告将浪费大量时间和金钱。恶作剧还会给用户带来麻烦，并通常使他们对报告可能攻击的作用产生质疑。应注意以下事项以确保正确地处理警报。

    • 假警报。如果报告是假警报，则应记录呼叫信息。定期检查该信息可能有助于确定是否需要额外的用户培训。
 
    • 恶作剧。跟踪和记录假恶意软件警报以及真正的恶意软件活动很重要，因为它们仍是攻击实例 — 只是它们并不使用恶意代码。将有关假恶意软件警报以及真正恶意软件威胁的信息报告给用户应为组织的常规防病毒通信的一部分。该信息将帮助用户事先识别恶作剧，从而减少工作效率的降低程度。
 
    • 已知的感染。如果系统受到感染，支持人员应采取措施，以确定感染是否是可以使用现有的防病毒应