處理惡意軟件爆發
主頁 > 
處理惡意軟件爆發
< 返回

處理惡意軟件爆發

由於攻擊者的動機是基於經濟掠奪,他們的攻擊形式也不只是騷擾或破壞活動而已。惡意軟件攻擊已經變得更複雜,甚至成為機構一項嚴重的隱憂。大規模惡意軟件攻擊, 經常是指惡意軟件爆發,會導致機構廣泛的損害與崩潰,這是需要很長的復原時間與努力。 因此採取適當的預防步驟是很重要的,例如裝設保護與偵測工具,以保衛機構不受到惡意軟件的攻擊。

然而,在資訊保安世界裡並沒有所謂的「防彈保護」。 機構發展功能強大的資訊保安事故處理程序尤其重要, 如此一來行政人員才更能夠以更具組織化,更方便及更有效的方式做足準備,好處理惡意軟件的爆發。

公司保安事故處理部份中所定義的,一個事故應變程序應該有三個階段:「規劃和準備」,「應變」及「事後跟進」。 本篇列舉「應變」及「事後跟進」階段的步驟,這對於完善處理惡意軟件爆發是很重要的。 關於「規劃和準備」階段更多的資訊,請參閱上述的「公司保安事故處理」部份。

「應變」階段包括下列五個步驟:

偵測與確認

確認惡意軟件爆發是否已經發生。

這個步驟的目標是要確定是否已經發生惡意軟件爆發。惡意軟件爆發的典型徵兆包含下列的一些或全部狀況:

用戶抱怨接達互聯網緩慢,系統資源減少,磁碟接達緩慢,或系統啟動緩慢;
主機入侵偵測系統( HIDS), 或抗惡意軟件偵測軟件產生一些警告;
網絡的使用明顯增加;
周邊路由器或防火牆已經記錄到一些違反接達進入;
偵測到來源於內部互聯網規約地址的對外簡單郵遞傳送規約 (SMTP)通訊激增;
偵測到大量的埠掃描以及連結失敗的企圖;
系統管理者注意到不尋常的典型網絡通訊流來源;
許多主機上的保安控制如抗惡意軟件與個人防火牆遭到關閉;
一般性的系統不穩定與失敗;

若發現上述的任何一項徵兆,資訊科技人員應該立即檢查並驗證所有可疑活動,以便確定爆發是否發生。一旦確認這是惡意軟件引致的違反保安事件,蒐集關於該惡意軟件的資訊是很重要的,因為這是遏制與杜絕程序所必需的。

若這種惡意軟件已經從抗惡意軟件偵測軟件的覆檢以及防火牆與路由器記錄檔檢查中得知存在一段時間,就可以從抗惡意軟件經銷商網站獲得該惡意軟件的資訊。下列問題能夠幫助辨別惡意軟件的特徵:

這是那一種類的惡意軟件(網絡蠕蟲、大量郵件蠕蟲、電腦病毒、或是特洛伊木馬等)?
這種惡意軟件如何散播(透過具漏洞的網絡服務攻擊?還是透過大量郵件?)?
如果惡意軟件透過攻擊具漏洞的網絡服務來散播,那什麼漏洞會遭到攻擊?處理該漏洞的修補程式是否已經公布?什麼服務或埠會遭到攻擊?
惡意軟件是否在受感染的系統上植入後門
如何從受影響的系統上移除惡意軟件?有任何可用的移除工具嗎?

執行初步評估

一旦一項爆發已經辨別出來,資訊科技人員應該評估爆發的範圍、損害及衝擊,以便做有效處理。

記錄所有採取的措施

資訊科技人員應該記錄所有處理爆發的採取措施以及任何反應的結果。這些記錄有助確認和評估事故,為檢控提供證據,並為及後的事故處理階段提供有用的資料。整個保安事故應變過程都應保留記錄。

升級處理

事故應變的第二階段是通知適當的人員,並根據既定的升級處理程序將事故提升到適當的級別。升級處理程序所提供的資訊應該要清楚,簡要,準確並符合事實。提供不準確的、誤導的或不完整的資訊可能會延誤應變程序或甚至可能使情況惡化。務必緊記,關於事故的資訊應該只在需要知道的基礎上被揭露。

遏制

惡意軟件事故應變的第三階段是遏制。下列事項是遏制階段所應該執行的活動:

確認受感染系統
清楚確認受感染系統總是遏制的第一步驟。不幸地,基於目前資訊科技環境的動態特性,這也是非常複雜的程序。下列的建議可以在管理環境中協助確認受感染的系統:
使用最新惡意軟件定義檔以及更新過的抗惡意軟件偵測與修復引擎,在所有系統上執行完整的惡意軟件掃描。 因為沒有任何單一抗惡意軟件偵測工具能夠涵蓋所有種類的惡意軟件,所以需要使用一種或以上的抗惡意軟件掃描工具,以確保能夠偵測到所有的惡意軟件;
複查所有路由器與防火牆的記錄檔;
提供如何確認感染的指引給用戶;
配置 IPS或 IDS以辨認與感染相關的活動;
執行封包追蹤 (packet sniffing),以尋找符合惡意軟件特徵的網絡通訊。
遏制爆發
遏制爆發可以有好幾種方式進行;以下是一般常見策略:
使用自動化工具
像抗惡意軟件偵測工具, IDS與 IPS等自動化工具可以遏制惡意軟件的散播。 倘使現存的抗惡意軟件保護系統無法偵測到惡意軟件,甚至應用最新定義檔也無效時, 就應該尋找抗惡意軟件供應商的支援, 以建立可以涵蓋惡意軟件的新定義檔。
中斷網絡連接
立刻切斷受感染系統與整個網絡的連接,可以有效遏制惡意軟件爆發。 可以透過在網絡裝置上加上接達控制,或實體地切斷網絡導線中斷網絡的連接。 某些情況下,為了遏制惡意軟件散播到機構的其他區域,暫時將網絡段從主幹網絡上切斷是必要的。 無論如何,遏制策略將一定會影響該網絡與其他未受感染系統的作業。
停用服務
惡意軟件會透過網絡服務,如可分享的網絡磁碟等來散播。 暫時性地堵截或甚至關閉被惡意軟件利用的網絡服務可協助遏制事故。
消除漏洞
惡意軟件會透過攻擊具漏洞的網絡服務而散播。 比方像安裝保安修補程式在具漏洞的系統上,來處理甚至已遭惡意軟件盤剝的漏洞,消除繁殖的管道, 進而遏制惡意軟件的散播。此外,某些如可分享網絡磁碟喪失接達控制等錯誤配置,也會被惡意軟件利用。 矯正任何的錯誤配置可以遏制惡意軟件的散播。
用戶的參與
像在一個小型遠端分部辦公室或非管理辦公室環境中,可處理爆發的技術支援人員是有限的, 用戶參與的效果在這個時候對於遏制程序就十分顯著。 當系統確定遭到感染時,應提供用戶如何確認感染以及該採取什麼步驟的清楚指示, 例如在受感染系統上執行抗惡意軟件移除工具。
保存所有已採取行動的記錄
在這個階段保存所有已採取行動的記錄是很重要的,因為某些遏制步驟需要對網絡基建與系統的配置或設定作暫時性修改。 這些修改在事故之後需要移除。

最重要,是要瞭解停止了惡意軟件的進一步感染並不代表防止了受感染系統被進一步的損害。 例如,停用網絡連接可以遏制感染,然而,惡意軟件仍可刪除受感染系統上的檔案。 因此,要盡快地或與遏制程序同步進行完整的杜絕程序。

杜絕

杜絕惡意軟件爆發應從所有受感染的系統與媒體上移除惡意軟件,並且矯正感染的結果。 在執行杜絕程序之前,建議先蒐集所有必要資訊,包括可能必須在刪除程序裡刪除或重設所有的記錄檔, 然而這對於事後跟進調查是有幫助的。

杜絕的基本方法,一般是使用抗惡意軟件掃描軟件以及移除工具。 然而,在某些情況下,重新安裝受感染系統是必要的。 例如,當惡意軟件已在受感染系統上植入後門時,為了復原系統的完整性,重新安裝所有受感染的系統會是最值得信賴的行動。 系統重建一般包括下列幾個行動:

從可信賴來源重新安裝系統,如系統安裝片或可信賴且乾淨的系統像;
確保新安裝的系統安全,如檢查並確保最新惡意軟件定義檔以及更新的抗惡意軟件偵測與修復引擎,加上必要的保安修補程式,應用於每一台機器上;
從未受染的備份媒體上復原資料。
復原

這個階段的主要目的是將系統復原至正常運作狀態。很多時候,「杜絕」及「復原」階段都是不能分割,因為受感染的系統的功能及其資料已在「杜絕」階段中被恢復。 除了復原受感染系統,移除所有暫時性的遏制措施,例如被暫時中斷的網絡接連,是復原程序中另一個主要部分。

在移除遏制措施前,其中的一項重要工作是進行生產前保安評估,以確已沒有系統受到感染,並確定感染的根源已被刪除。

在恢復系統操作前,應事先通知所有相關人士。在受控制的情況下,資訊科技人員應該按照需求的緩急次序逐步恢復功能/服務,例如可優先恢復最重要的服務或以大多數人為對象的服務。 復原中止服務之後,其中的一項重要工作是檢驗復原操作是否成功,系統是否已恢復正常操作。 另外還可以實施額外的監視措施,以觀察相關網絡區段有否任何可疑的活動。

「事後跟進」階段

受感染的系統恢復正常操作並不代表惡意軟件爆發處理程序的結束。 採取必要的跟進行動十分重要。 跟進行動包括評估事故所造成的破壞、系統改良以防止再度發生事故、保安政策和程序更新及為日後的檢控進行個案調查。這個階段的行動包括下列事項:

檢驗現存惡意軟件保護程序與機制的有效性,包括了惡意軟件定義檔分佈與偵測修復引擎的更新,定期規律的惡意軟件掃描等的中央控制與管理。
在需要時更新相關政策,指引與程序。
執行經檢驗政策 / 指引 / 程序後所引進新的保安措施,以保護系統對抗未來的攻擊。
提醒用戶遵循保安最佳作業實務,如不可從未知 / 可疑的電子郵件來源開啟郵件,養成需要時就更新保安修補程式與惡意軟件定義的習慣等等。