時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
我曾經(jīng)遇到過(guò)這樣一件事,當(dāng)我連接到局域網(wǎng)并訪問(wèn)一些網(wǎng)站時(shí),其中的一個(gè)網(wǎng)站,屬于網(wǎng)絡(luò)日志聚合類服務(wù),精選了大量活躍日志中的評(píng)論集,我隨意地點(diǎn)擊評(píng)論進(jìn)行查看。就在我停下來(lái)回應(yīng)敲門這一短短時(shí)間中,一個(gè)惡意軟件已經(jīng)開始控制我的Windows筆記本電腦了。
這就是為什么這篇文章關(guān)注的重點(diǎn)是Windows的原因了。這些原則也適用于類似的非Windows平臺(tái),但在細(xì)節(jié)方面會(huì)有所不同。
恐慌過(guò)后的工作
出于本能,我立即拔掉了網(wǎng)線(采用迷你接口的有線連接)。接下來(lái),惡意軟件的癥狀就開始出現(xiàn)了,我非常希望能盡快訪問(wèn)到剛才無(wú)法進(jìn)入的搜索引擎。為什么呢?因?yàn)?,?duì)于惡意軟件來(lái)說(shuō),攻擊已經(jīng)開始了,甚至有可能已經(jīng)完成了,并隱藏到系統(tǒng)里的某處了。
對(duì)于進(jìn)行清晰的思考來(lái)說(shuō),惡意軟件通過(guò)活動(dòng)進(jìn)程進(jìn)行傳播的時(shí)間并不是非常有利的選擇,但在這種情況下,你必須在第一時(shí)間進(jìn)行有效處理。在感染早期采取正確的處理措施,可以為后面的修復(fù)工作節(jié)省大量時(shí)間。對(duì)于專門的惡意軟件處理人員來(lái)說(shuō),這些步驟屬于常識(shí),但對(duì)于典型中小型企業(yè)網(wǎng)絡(luò)的管理員來(lái)說(shuō),網(wǎng)絡(luò)安全僅僅屬于眾多工作中的一項(xiàng)。
建議的處理方式
對(duì)于此類問(wèn)題,安全軟件供應(yīng)商們給出了什么樣的建議?他們提供了一類稱之為"終端保護(hù)"的軟件,有幾家甚至認(rèn)識(shí)到這里存在的商業(yè)機(jī)會(huì):舉例來(lái)說(shuō),基石公司的聯(lián)系頁(yè)面就使用了"911緊急響應(yīng)"的抬頭。他們還提供了一系列的免費(fèi)工具。在適用于Windows系統(tǒng)的反惡意軟件工具包還可以包含Sysinternals的PsTools工具套件,你可以從微軟技術(shù)網(wǎng)絡(luò)上免費(fèi)下載(盡管作者馬克·魯西諾維奇指出:由于這些工具也被某些病毒使用,這樣做的后果可能會(huì)觸發(fā)防病毒警告)。采用Sysinternals Handle和進(jìn)程瀏覽器可以給處理過(guò)程帶來(lái)很大的幫助。
開始反擊
我記得就在幾分鐘前,還可以利用HTC Touch 2手機(jī)上的瀏覽器來(lái)查找感染來(lái)源,計(jì)劃處理方案。在浪費(fèi)了一些時(shí)間瀏覽過(guò)幾個(gè)沒有什么幫助的頁(yè)面后,我確定了惡意軟件的具體種類,在間諜軟件超級(jí)防護(hù)網(wǎng)站上找到了關(guān)于怎樣解決該問(wèn)題詳細(xì)清晰的說(shuō)明,并且發(fā)現(xiàn)了一個(gè)由MalwareBytes提供的非常優(yōu)秀的企業(yè)級(jí)反病軟件安裝包。
在成功地清除掉惡意軟件后,我去參加了當(dāng)天的會(huì)議。我提醒自己,對(duì)于零日攻擊來(lái)說(shuō),處理過(guò)程并不是那么簡(jiǎn)單的。如果多臺(tái)工作站或者一兩臺(tái)服務(wù)器在工作的時(shí)間受到攻擊,采用更加系統(tǒng)規(guī)范的處理模式是非常有必要的。在經(jīng)過(guò)更復(fù)雜的風(fēng)險(xiǎn)分析后,我發(fā)現(xiàn),建立一支經(jīng)過(guò)培訓(xùn)可以充分有效地執(zhí)行感染處理措施的應(yīng)急處理隊(duì)伍是非常有必要的。并且認(rèn)識(shí)到,對(duì)于企業(yè)來(lái)說(shuō),無(wú)線網(wǎng)絡(luò)電話是一項(xiàng)非常重要的資產(chǎn)。關(guān)鍵命令甚至二進(jìn)制文件都可以通過(guò)短信或移動(dòng)Skype之類的方式進(jìn)行傳播。
這次會(huì)議是以一場(chǎng)基于聯(lián)邦緊急事務(wù)管理局標(biāo)準(zhǔn)的桌面緊急響應(yīng)演習(xí)而結(jié)束的。
桌面系統(tǒng)惡意軟件應(yīng)急處理七要訣
1、充分了解存在的風(fēng)險(xiǎn)
遵循應(yīng)急處理業(yè)的希波克拉底誓言:不要增加損害。換句話說(shuō),就是不要讓情況變得更糟。對(duì)惡意軟件進(jìn)行分析評(píng)估,判斷它是需要被立即刪除,還是關(guān)閉機(jī)器,在受到控制的環(huán)境里進(jìn)行處理。充分考慮到數(shù)據(jù)面臨的風(fēng)險(xiǎn)和設(shè)備的實(shí)際需求,從中找到最佳的處理措施。
2、隨身攜帶支持網(wǎng)絡(luò)功能的智能手機(jī)
對(duì)數(shù)據(jù)項(xiàng)目進(jìn)行投入。作到可以熟練地使用移動(dòng)瀏覽器,掌握其大部分功能。將書簽信息保存起來(lái)。大部分手機(jī)都可以支持保存了額外應(yīng)急軟件的閃存卡。
3、隨身攜帶大容量(USB接口16GB容量)的記憶棒
至少攜帶一個(gè)大容量的USB存儲(chǔ)設(shè)備,將最經(jīng)常使用的安全工具保存在上面,更好的方法是利用Slax之類的Linux小型發(fā)行版本建立包含安全工具的完全可引導(dǎo)操作系統(tǒng)。
4、對(duì)攻擊進(jìn)行更廣泛的檢查
確定惡意軟件針對(duì)你運(yùn)氣不好的筆記本計(jì)算機(jī)進(jìn)行的是普通攻擊,還是僅僅屬于佯攻:可以利用通常的補(bǔ)救措施來(lái)進(jìn)行處理,比讓最初的攻擊獲得成功更需要得到重視。
5、進(jìn)行災(zāi)難恢復(fù)演習(xí)
即使在本次攻擊中,你有幸避免遇到數(shù)據(jù)丟失的后果,了解進(jìn)行災(zāi)難恢復(fù)時(shí)可以采取的處理措施,依然是非常有必要的。并且,它們需要經(jīng)常進(jìn)行更新。
6、經(jīng)常更新書簽
在網(wǎng)絡(luò)安全類網(wǎng)站上經(jīng)常包含了一些發(fā)人深省的經(jīng)驗(yàn),對(duì)于應(yīng)急處理來(lái)說(shuō),它們非常有價(jià)值。因此,應(yīng)該經(jīng)常更新手機(jī)上的書簽。
7、及時(shí)進(jìn)行事后總結(jié)并記錄進(jìn)書面文件
在軍事領(lǐng)域,它被稱為"事后總結(jié)"或者AAR。在清理完惡意軟件消除了帶來(lái)的損害后,你應(yīng)該利用工具對(duì)整起事件進(jìn)行分析總結(jié),并建立容易訪問(wèn)的書面文件。將整個(gè)事件的詳細(xì)過(guò)程記錄下來(lái)。以確保首席執(zhí)行官在到國(guó)會(huì)小組委員會(huì)作證前,不會(huì)遇到相同的困擾。
關(guān)鍵詞標(biāo)簽:Windows桌面系統(tǒng)惡意軟
相關(guān)閱讀
熱門文章 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法 注冊(cè)表被修改的原因及解決辦法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key
人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活) 解決alexa.exe自動(dòng)彈出網(wǎng)頁(yè)病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解決方案 木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定幾萬(wàn)種木馬----→ 注冊(cè)表權(quán)限設(shè)置