我曾經(jīng)遇到過這樣一件事,當(dāng)我連接到局域網(wǎng)并訪問一些網(wǎng)站時���,其中的一個網(wǎng)站,屬于網(wǎng)絡(luò)日志聚合類服務(wù)���,精選了大量活躍日志中的評論集,我隨意地點擊評論進行查看。就在我停下來回應(yīng)敲門這一短短時間中�����,一個惡意軟件已經(jīng)開始控制我的Windows筆記本電腦了。
這就是為什么這篇文章關(guān)注的重點是Windows的原因了��。這些原則也適用于類似的非Windows平臺,但在細(xì)節(jié)方面會有所不同�����。
恐慌過后的工作
出于本能���,我立即拔掉了網(wǎng)線(采用迷你接口的有線連接)。接下來�����,惡意軟件的癥狀就開始出現(xiàn)了,我非常希望能盡快訪問到剛才無法進入的搜索引擎����。為什么呢����?因為�����,對于惡意軟件來說,攻擊已經(jīng)開始了,甚至有可能已經(jīng)完成了���,并隱藏到系統(tǒng)里的某處了�。
對于進行清晰的思考來說�����,惡意軟件通過活動進程進行傳播的時間并不是非常有利的選擇���,但在這種情況下���,你必須在第一時間進行有效處理�����。在感染早期采取正確的處理措施���,可以為后面的修復(fù)工作節(jié)省大量時間�。對于專門的惡意軟件處理人員來說,這些步驟屬于常識�,但對于典型中小型企業(yè)網(wǎng)絡(luò)的管理員來說�����,網(wǎng)絡(luò)安全僅僅屬于眾多工作中的一項。
建議的處理方式
對于此類問題�����,安全軟件供應(yīng)商們給出了什么樣的建議�����?他們提供了一類稱之為"終端保護"的軟件,有幾家甚至認(rèn)識到這里存在的商業(yè)機會:舉例來說�,基石公司的聯(lián)系頁面就使用了"911緊急響應(yīng)"的抬頭。他們還提供了一系列的免費工具��。在適用于Windows系統(tǒng)的反惡意軟件工具包還可以包含Sysinternals的PsTools工具套件��,你可以從微軟技術(shù)網(wǎng)絡(luò)上免費下載(盡管作者馬克·魯西諾維奇指出:由于這些工具也被某些病毒使用����,這樣做的后果可能會觸發(fā)防病毒警告)�����。采用Sysinternals Handle和進程瀏覽器可以給處理過程帶來很大的幫助���。
開始反擊
我記得就在幾分鐘前�����,還可以利用HTC Touch 2手機上的瀏覽器來查找感染來源����,計劃處理方案���。在浪費了一些時間瀏覽過幾個沒有什么幫助的頁面后�����,我確定了惡意軟件的具體種類,在間諜軟件超級防護網(wǎng)站上找到了關(guān)于怎樣解決該問題詳細(xì)清晰的說明��,并且發(fā)現(xiàn)了一個由MalwareBytes提供的非常優(yōu)秀的企業(yè)級反病軟件安裝包���。
在成功地清除掉惡意軟件后,我去參加了當(dāng)天的會議��。我提醒自己��,對于零日攻擊來說�,處理過程并不是那么簡單的。如果多臺工作站或者一兩臺服務(wù)器在工作的時間受到攻擊�,采用更加系統(tǒng)規(guī)范的處理模式是非常有必要的���。在經(jīng)過更復(fù)雜的風(fēng)險分析后,我發(fā)現(xiàn)����,建立一支經(jīng)過培訓(xùn)可以充分有效地執(zhí)行感染處理措施的應(yīng)急處理隊伍是非常有必要的�����。并且認(rèn)識到�����,對于企業(yè)來說���,無線網(wǎng)絡(luò)電話是一項非常重要的資產(chǎn)�。關(guān)鍵命令甚至二進制文件都可以通過短信或移動Skype之類的方式進行傳播。
這次會議是以一場基于聯(lián)邦緊急事務(wù)管理局標(biāo)準(zhǔn)的桌面緊急響應(yīng)演習(xí)而結(jié)束的���。
桌面系統(tǒng)惡意軟件應(yīng)急處理七要訣
1�、充分了解存在的風(fēng)險
遵循應(yīng)急處理業(yè)的希波克拉底誓言:不要增加損害�。換句話說,就是不要讓情況變得更糟�。對惡意軟件進行分析評估�,判斷它是需要被立即刪除,還是關(guān)閉機器�����,在受到控制的環(huán)境里進行處理���。充分考慮到數(shù)據(jù)面臨的風(fēng)險和設(shè)備的實際需求����,從中找到最佳的處理措施���。
2���、隨身攜帶支持網(wǎng)絡(luò)功能的智能手機
對數(shù)據(jù)項目進行投入。作到可以熟練地使用移動瀏覽器����,掌握其大部分功能����。將書簽信息保存起來。大部分手機都可以支持保存了額外應(yīng)急軟件的閃存卡�����。
3����、隨身攜帶大容量(USB接口16GB容量)的記憶棒
至少攜帶一個大容量的USB存儲設(shè)備�,將最經(jīng)常使用的安全工具保存在上面�����,更好的方法是利用Slax之類的Linux小型發(fā)行版本建立包含安全工具的完全可引導(dǎo)操作系統(tǒng)���。
4���、對攻擊進行更廣泛的檢查
確定惡意軟件針對你運氣不好的筆記本計算機進行的是普通攻擊�����,還是僅僅屬于佯攻:可以利用通常的補救措施來進行處理�,比讓最初的攻擊獲得成功更需要得到重視。
5�����、進行災(zāi)難恢復(fù)演習(xí)
即使在本次攻擊中�����,你有幸避免遇到數(shù)據(jù)丟失的后果,了解進行災(zāi)難恢復(fù)時可以采取的處理措施,依然是非常有必要的����。并且��,它們需要經(jīng)常進行更新���。
6、經(jīng)常更新書簽
在網(wǎng)絡(luò)安全類網(wǎng)站上經(jīng)常包含了一些發(fā)人深省的經(jīng)驗,對于應(yīng)急處理來說��,它們非常有價值。因此�����,應(yīng)該經(jīng)常更新手機上的書簽��。
7�、及時進行事后總結(jié)并記錄進書面文件
在軍事領(lǐng)域��,它被稱為"事后總結(jié)"或者AAR��。在清理完惡意軟件消除了帶來的損害后����,你應(yīng)該利用工具對整起事件進行分析總結(jié),并建立容易訪問的書面文件�����。將整個事件的詳細(xì)過程記錄下來����。以確保首席執(zhí)行官在到國會小組委員會作證前����,不會遇到相同的困擾���。
關(guān)鍵詞標(biāo)簽:Windows桌面系統(tǒng)惡意軟
