Table of Contents

安全事件处理建议

2020-02-19
2020-02-19
5 min read
IT
AsiaInfo
Hits

  技术部分第三节内容,即第二章《病毒与威胁基础》之任务 3《安全事件处理建议》

亚信安全反病毒定义

病毒名称定义

  不同反病毒厂商,对于恶意软件名称都有不同的定义

  此处以亚信安全对病毒名称定义举例:PE_SALITY.RL -O(类型 _ 名称 . 变种 - 母体)

工作机制

扫毒模块

  1. 扫描并检测含有恶意代码的文件,对其进行识别
  2. 对于被文件型病毒感染的可执行文件进行修复
  3. 组件
    1. 扫描引擎:VSAPI & TMFilter
    2. 病毒码:LPT$VPN.xxx
    3. 间谍软件病毒码:TMAPTN.xxx
    4. 网络病毒码:TMFxxxxx.PTN

损害清除服务(DCS)

  1. 场景:对一个正在编辑的 word 文档要执行删除操作的时候。文档会报该文件正在被使用,无法执行删除操作
  2. 对于正在运行/已经加载的病毒进行清除
  3. 终止进程
  4. 脱钩 DLL 文件
  5. 删除文件
  6. 恢复被病毒修改过的注册表内容,起到修复系统的作用
  7. 可视为通用专杀工具
  8. 组件
    1. 损害清除引擎(DCE):TSC.EXE
    2. 损害清除模板(DCT):TSC.PTN
    3. 间谍软件清除病毒码:TMADCE.PTN

反病毒常见问题

  • 病毒已经被检测出来,却提示处理失败
  • 无法清除,无法隔离
  • 有明显中毒现象,病毒未被查杀
  • 误查正常文件
  • 为什么会出现无法清除的病毒?(只能隔离)
    • 多数情况下可以通过清除措施处理恶意代码,修复正常文件
    • -O 母体类型,无法被清除,只能隔离
    • 非感染性病毒,本身就是恶意软件,无法被清除,只能隔离
  • 为什么会出现无法隔离/删除的病毒?
    • 当病毒感染系统后
      • 病毒进程已经被系统加载
      • 病毒 DLL 文件已经嵌入到正在运行的系统进程中
      • Windwos 自身的特性:对于已经加载的文件无法进行改动操作,从而导致病毒扫描引擎对检测到的文件无法操作
    • 已经加载的病毒不包含在损害清除模板(DCT)中

安全事件处理流程

已知病毒(能够检测,但无法被清除、隔离、删除)

  1. 在可能的情况下,拔除网线
  2. 收集病毒日志
  3. 确认病毒名称、路径和文件名
  4. 搜索病毒知识库,查找病毒的解决方法
  5. 根据方案,手动清理系统中的病毒
  6. 若找不到方案或方案无效可收集样本与系统信息由厂商协助处理

未知/可疑病毒(无法检测,但出现病毒现象,疑似出现病毒)

  1. 在可能的情况下,拔除网线
  2. 使用 ATTK(信息收集)工具收集系统关键信息提交给亚信安全
  3. 如有明显可疑文件,压缩加密提交给亚信安全
  4. 亚信安全反馈病毒解决方案

其他事件

  • 可执行文件恶意代码清除后,文件被破坏:提交感染前的文件和感染后的文件给厂商进行分析
  • 宏病毒清除后打开异常或被隔离:收集原时样本提交给厂商
  • 网络异常,怀疑 ARP 攻击:通过抓包,将抓包信息提交给厂商

手动处理建议

  1. 在安全模式下操作

  2. 终止所有可疑进行和不必要的进程

  3. 关闭系统还原

  4. 显示所有隐藏文件

  5. 通过以下信息判断可疑文件

    1. 创建时间

    2. 按照日期排列文件,查看文件版本信息

    3. 可执行文件 .EXE、.COM、.SCR、.PIF

    4. DLL 文件和 OCX 文件

    5. LOG 文件 —— 有一些病毒会将 DLL 文件伪装成 LOG 后缀的文件,可疑直接双击打开查看其内容是否为文本。若为乱码,则可以。

    6. 可疑内容

    7. 路径

      %SystemRoot%\
%SystemRoot%\System32\
%SystemRoot%\System32\drivers\

  6. 判断关键位置内容是否被篡改

    1. hosts 文件
    2. 注册表启动项
    3. 可疑服务

常用工具介绍

ATTK

ATTK(Anti-Threat ToolKit)反病毒工具集

  下载 病毒查杀工具 或 系统信息收集工具

  1. 用管理员权限双击运行即可

不要关闭任何弹出的窗口,否则程序会自动退出

  1. 信息收集完成后,会自动弹出浏览器窗口和 C 盘根目录
  2. 联网状态下,网页上会生成 临时 ID 号, C 盘下会生成一个 以主机名开头的压缩文件,将 ID 号和压缩文件提供给厂商进行分析

WireShark

  下载地址

  1. 安装完成后,在 Start 下选择相应的网卡 → Capture → Start,开始抓包
  2. 抓包过程中:Ping 其他机器、尝试打开网页
  3. 收集一段时间后,点击 Stop,将数据包文件加密、压缩,发送给厂商来进一步分析

Rootkit Buster

  用于 MBR 问题的收集工具

  可以扫描隐藏在系统文件、注册表、进程和驱动中被劫持的服务

  还具备清除有害文件、隐藏注册表、执行程序等功能

  下载地址

  1. 使用管理员方式运行此工具,接受协议
  2. 勾选需要扫描的项目,开始扫描
  3. 扫描完成后,将桌面上生成的 TMRBLog 文件夹压缩加密发送给厂商来进一步分析

典型案例分析

Worm_downad

主要传播手段

  1. 漏洞:MS08-067
  2. 移动存储

显性特征

  • 阻止访问安全网站
  • 安全配置失效
  • 暴力猜解密码
  • 禁用 Windows 自动更新
  • 无法登陆系统
  • 隐藏文件
  • 445 端口的网络流量很高

解决方案

  1. 通过日志找到感染源
  2. 优先在源头计算机安装补丁(建议所有计算机打上补丁):下载地址
  3. 使用亚信安全产品或专杀工具查杀 WadKiller:下载地址
  4. 修改域账号密码为强密码

PE_SALITY

主要传播手段

  1. 漏洞:ms10-046
  2. 移动存储
  3. 网络共享
  4. 电子邮件

主要特征

  1. 终止安全相关软件和服务
  2. 禁用防火墙、任务管理器、注册表
  3. 阻止进入安全模式
  4. 共享目录及子文件夹存在 LNK 和 TMP 文件
  5. 存在恶意的 AUTORUN.INF

解决方案

  1. 通过日志找到感染源(或 -O 母体文件)
  2. 如果产品发生异常,使用 ATTK 先进行处理
  3. 关闭系统还原
  4. 安装漏洞补丁:下载地址
  5. 对计算机进行全盘扫描

勒索病毒

两种类型

  1. 传统勒索病毒
  2. 勒索蠕虫

主要特征

  1. 文档被加密锁定
  2. 弹出勒索信息

传统勒索软件

  主要传入手段

  1. 社工邮件(订单、银行账单)
  2. 带有宏病毒的 Word / Excel 附件

  特点:非常依赖人类交互

勒索蠕虫

  主要传入手段:MS17-010 漏洞及 Internet 传入

如何处理

  1. 对于被加密文件,请使用此解密工具进行解密:下载地址
  2. 收集信息:ATTK 日志及病毒日志

如何预防

  1. 增强员工安全意识
  2. 防御(以 OSCE 为例)
  3. 备份重要文档(3-2-1 规则):三个副本,两种不同格式保存,异地存储
#安全事件处理建议 #工具下载 #ATTK

Safé.Café

Next 反病毒技术发展