2022年恶意软件攻击防范与应急指导手册 .pdf

1 恶意软件攻击防范与应急指导手册现如今，恶意软件已成为一个严重的网络问题。正所谓，哪里有网络，哪里就有恶意软件。 恶意软件的出现像挥之不去的阴魂，严重阻碍了网络社会的的正常发展。但是，既然它出现了，我们就应该采取更加积极主动的态度去应对。所谓知己知彼， 百战不殆。以下我们将详细介绍恶意软件的种类以及相关的防范技术。一. 什么是恶意软件恶意软件是一种秘密植入用户系统借以盗取用户机密信息，破坏用户软件和操作系统 或 是造成其它危害的一种网络程序。对于绝大多数系统来说，恶意软件已经成为了最大的外部威胁， 给企业和个人都带来了巨大的损失。仅以恶意软件中的间谍软件为例，间谍软件侵犯了用户的隐私，这已经成为企业用户关注的焦点。尽管间谍软件的出现已有时日， 但是近几年使用间谍软件侵入系统监视用户行为变得更加猖獗。企业还面临一些与恶意软件相关的非恶意软件威胁。其中司空见惯的就是网络钓鱼， 就是使用基于计算机的欺骗方法套出用户的敏感信息。还有就是病毒欺骗，就是对新的恶意软件威胁发出错误的警报。二. 恶意软件分类一般认为，恶意软件包括病毒，蠕虫，木马，恶意的移动代码，以及这些的结合体，也叫做混合 攻击。恶意软件还包括攻击者工具，譬如说，后门程序，rookits，键盘记录器，跟踪的 cookie 记录。本篇讨论的内容包括，恶意软件怎么样进入和感染系统及其传播; 怎么样工作 ; 针对的目标 ; 怎么样影响系统。2.1 病毒病毒能够实现自我复制， 并且感染其它文件， 程序和计算机。 每一种病毒都有感染机制 ; 譬如，有的病毒可以直接插入主机或是数据文件。病毒的威力可大可小，有些可能只是小恶作剧， 还有可能是相当恶意的攻击。绝大多数的病毒都有诱发机制， 也就是诱发其威力的原因， 一般需要用户的互动方能实现。目前有两 种重要的病毒，一是可编译病毒( compiled virus) ，主要通过操作系统实现 ;二是演绎性病毒 (interpreted virus)，主要通过应用程序实现。2.1.1 可编译病毒可编译病毒的源代码可以经由编译器程序转换为操作系统可以直接运行的程序格式。可编译病毒包括以下三种： 文件感染器 ( file infector)这种病毒一般将其附加在可执行程序中，譬如 word，电子表格和电脑游戏。一旦病毒感染程序，就直接影响系统中的其它程序，还有使用系统作为共享的感染程序。Jerusalem 和 Cascade就是两种最出名的文件感染病毒名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 37 页 - - - - - - - - - 2 引导区 (boot sector ) 引导区病毒一般感染硬盘驱动的MBR 或是硬驱和移动媒介的引导区。引导区，顾名思义就是存储信息的硬盘或是磁盘的开始部分。MBR 是磁盘上比较独特的区 域，因为电脑的基本输出 / 输入系统 ( BIOS ) 可以加载启动程序的地方就在此。 一旦电脑启动的时候， 如果硬驱中有感染的磁盘， 病毒就自动执行。引导区病毒隐藏性很强，成功率高，破坏性强。其表现就是启动的时候出现错误信息或是启动不稳定。Form，Michelangelo和 Stoned 是很典型的引导区病毒。 混合体 (Multipartite)混合体病毒使用多种感染方式，典型的是感染文件和引导区。相应地，混合体病毒有上述两种病毒的特征。典型例子：Flip 和Invader 除了感染文件之外， 可编译病毒还可以躲藏在感染系统的内存中，这样每次执行新的程序的时候就可以感染新的程序。在上述三种病毒中， 启动区域病毒最有可能存在于内存中。 相比那些非存在于内存中的病毒而言，这种病毒危害性更大，更加频繁。2.1.2 演绎性病毒与可编译病毒有操作系统执行不同的是，这种病毒的源代码只能由特定程序来实现。这种病毒以其简单易操作深受欢迎。即使一个不是太熟练的黑客也可以借此编写和修正代码， 感染计算机。 这种病毒的变体很多， 最主要的两种是宏病毒(macro virus )和脚本病毒 (scripting virus) 宏病毒是这种病毒中最流行最成功的。病毒一般附加到word，电子表格等，并且使用这些程序的宏编译语言来执行病毒。它们利用的正是很多流行软件的宏编译语言功能， 譬如说，微软的办公软件。 由于人们共享具有宏功能文档的增多，这种病毒也越来越流行。 一旦宏病毒感染发生， 就会感染程序的建立和打开文件夹模板程序。 一旦模板被感染， 所有藉由此模板建立和打开的文件都会被感染。Concept, Marker, 和 Melissa 就是很出名的宏病毒。脚本病毒与宏病毒类似。 最大区别在于， 宏病毒是以特定软件程序语言为基础，而而脚本病毒是以操作系统理解的语言编程，譬如说 Windows脚本主机功能就可以执行 VB脚本语言。典型的脚本病毒有First 和 Love Stages病毒。2.1.3 病毒模糊技术现在的病毒变得越来越复杂， 一般使用多种障眼法达到掩盖自己的目的。病毒越难查出，危害性就越大。下面介绍几种典型的病毒模糊技术。 自我加密和自我解密有一些病毒能够加密和解密他们的病毒代码，这样就可以躲避杀毒软件的直接检查。 使用加密的病毒可能会使用多层加密或是随机加密密钥，这样即使是病毒本身代码是一样的，看起来也有天壤之别。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 37 页 - - - - - - - - - 3 多态化 多态化是自我加密的形式多样化。一般来说，多态化实现默认加密设置的改变，解码也会随之改变。 在多态化病毒中， 病毒本身的内容没有改变，加密只改变其外在形式。 变形记 变形记的思路是改变病毒本身实质，而不是使用加密隐藏其实质。病毒的改变有几种方式，譬如，在源代码中加入不必的代码顺序，或是更改源代码的顺序。被替换的代码被重新编译，其执行的时候看起来似乎完全不同。 秘密病毒 (stealth)这种病毒使用多种技术隐藏病毒特征。 装甲 使用装甲的目的就是为了阻止杀毒软件或是专家分析病毒功能 隧道法 ( tunneling ) 这种病毒一般潜在操作系统的下层接受底层的操作系统请求。由于其位于杀毒软件之下， 借用操作系统就可以防止其被杀毒软件查出。杀毒软件厂商都下大力气防止病毒模糊技术。一些老式的模糊技术， 譬如自我加密，多态化，和秘密行动，杀毒软件都能有效地处理。 但是新的更加复杂的，譬如，变形技术，现在还很难查杀。2.2 蠕虫蠕虫能够实现自我复制的程序， 蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、 电子邮件以及优盘、移动硬盘等移动存储设备。蠕虫程序主要利用系统漏洞进行传播。它通过网络、电子邮件和其它的传播方式，象生物蠕虫一样从一台计算机传染到另一台计算机。因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。蠕虫侵入一台计算机后，首先获取其他计算机的IP 地址，然后将自身副本发送给这些计算机 . 蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。 虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。2.3 木马其名称来源于希腊神话， 木马是一种非自我复制程序， 但是实际上带有隐蔽的恶意动机。 一些木马使用恶意版本替代现有文件，譬如系统和程序中的可执行代码; 还有一些在现有文件中添加另外的程序重写文件。木马一般有以下三种模型： 执行正常系统的功能的同时，执行单独的， 不相关的恶意活动 ( 譬如，在执行游戏程序的时候收集程序密码) 执行正常系统功能的同时，修正其功能执行恶意活动，或是掩盖恶意活动名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 37 页 - - - - - - - - - 4 完全期待正常系统功能执行恶意程序功能木马很难被检测到。因为木马病毒在设计之初就掩盖了其在系统中的现形，并且执行了原程序的功能， 用户或是系统管理员很难察觉。 现在还有一些新的木马使用了模糊化技术躲避检测。现在，使用木马传播间谍软件越来越频繁。间谍软件一般与支持软件捆绑，譬如说一些点对点的文件共享软件; 一旦用户安装了这些貌似正常的软件， 间 谍软件亦随之安装。 木马病毒还会传播其它种类的攻击者工具到系统中，借此可以实现未经授权的访问或是使用感染的系统。这些工具要么是与木马捆绑， 要么是木 马替代系统文件之后再下载。木马会导致系统严重的技术问题。譬如说，替代正常系统可执行文件的木马可能会导致系统功能的不正常运行。与间谍软件相关的木马对系统的破坏性特别大，有可能会导致系统不能正常运行。木马及其安装的相关工具会消耗大量的系统资源，导致系统性能的严重下降。著名的木马病毒有SubSeven, Back Orifice和 Optix Pro.等等。2.4 恶意的移动代码移动代码可以在不需要用户指示的情况下实现远程系统在本地系统上的执行。这是编程方法现在很流行，编写的程序被广泛使用于操作系统和应用程序上，譬如说，网络浏览器和电子邮件应用程序。尽管移动代码本身不坏，但是黑客们却发现恶意的移动代码是攻击系统的有效工具，也是传播病毒， 蠕虫和密码的良 好机制。恶意移动代码与病毒和蠕虫很不同的地方在于它不感染文件或是自我复制。与利用利用系统漏洞不同的是， 它利用的是系统给于移动代码的默认优先权。编写恶意移动代码的受欢迎的语言包括Java, ActiveX, JavaScript, 和 VBScript.。其中最出名的恶意移动代码是使用Java 脚本的 Nimda 。2.5 混合攻击混合攻击使用多种感染或是攻击方式。著名的 Nimda蠕虫实际上就是很典型的混合攻击。它使用了四种分布方法： 电子邮件一旦用户打开了恶意的邮件附件，Nimda就会利用浏览器上的漏洞展现基于 HTML 语言的电子邮件。一旦感染了主机，Nimda就会寻找主机上的电邮地址然后发送恶意邮件。 Windows共享 Nimda 扫描网络服务器，寻找微软的网络信息服务(IIS )上的已知漏洞。 一旦发现有漏洞的服务器， 马上就会发送复件到这台服务器上感染服务器和文件。 网络客户端如果有漏洞的网络客户端访问了被Nimda感染的网络服务器，那么客户服务器也被感染了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 37 页 - - - - - - - - - 5 除了使用上述描述的方法之外， 混合攻击可以通过即时通讯和点对点文件共享软件传播。人们很多时候把混合攻击误认为蠕虫，因为它具有蠕虫的一些特征。实际上， Nimda具有病毒，蠕虫和恶意移动代码的特征。另外一个混合攻击的例子是 Bugbear，它既是海量邮件蠕虫也是网络服务蠕虫。由于混合攻击比单一恶意软件更加复杂，所以更难制造。混合攻击并非同时使用多种方式发动攻击，它们可以依次感染。 它越来越作为传播和安全木马的流行方式。2.6 跟踪 cookiesCookies 就是上网时留下的数据文件。Session cookies是对单一网站session 有效的临时 cookies 。长期 cookies 是未定义地存储在计算机上的cookies 以便在以后的访问中确认用户。长期 cookies 记录下了用户对于网站的喜好以便用户下次的访问。 这样长期 cookies 就可以更加有效地帮助网站服务客户了。但是，不幸的是，长期 cookies 会被滥用跟踪用户的网络浏览记录。譬如说，一家市场调查公司可能会在很多网站上发布广告，然后使用 cookie跟踪用户访问网站的情况，借此调查用户的行为特征。 这叫做跟踪 cookies 。 有跟踪 cookies搜集到的信息出售给第三方以便更加有效地发布广告。绝大多数的间谍软件检测和移动工具都可以寻找系统中的跟踪cookies 。另外一个获取用户私人信息的方法是网络bug 的使用。网络 bug 是存在于网页中 HTML 内容中的小图像。这个小图像除了搜集用户浏览HTML 的 信息之外，别无其它用途。一般用户看不到网络bug，因为它只有一个像素大小。正如跟踪cookies 一样，它也为市场调查机构广泛使用。他们可以收集用户 IP 地址或是网络浏览器类型，还可以访问跟踪cookies 。所有这些使得网络bug 可以被间谍软件利用构建用户的个人信息。2.7 攻击者工具作为恶意软件和其它系统威胁的一部分，各种各样的攻击者工具都可以发送到系统中。这些工具包括各式恶意软件， 会让攻击者未经授权访问或是使用被感染系统及其数据， 或是发动攻击。 一旦被其他恶意软件传播， 攻击者工具就会变成恶意软件的同伙。 譬如，一台感染蠕虫的系统会直接受蠕虫的指示访问特定的恶 意网站，下载工具，然后安装到系统中。下面介绍几种流行的攻击者工具：2.7.1 后门程序后门程序是对监听TCP或是 UDP 端 口命令恶意软件的统称。绝大多数的后门程序包括客户端和服务器两部分。客户端在攻击者的远程计算机上，服务器端位于感染的系统上。一旦客户端和服务器之间连接上，远程攻击者就会实现对感染计算机一定程度上的控制。 即使最不济的后门程序也会允许攻击者执行一定名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 37 页 - - - - - - - - - 6 的系统命令，譬如文件传输，获取密码，或是执行模糊命令。后门程序也有一些功能，如下： 僵尸 最主流的僵尸就是DDoS 攻击代理。攻击者可以使用远程命令控制大量计算机对同一目标发动攻击。著名的DDoS 攻击代理有 Trinoo 和 Tribe Flood Network. 。 远程管理员工具 (RAT) 从字面意义上说， RAT会使攻击者得到其想要的访问权限。绝大多数的RAT 都可以让攻击者访问系统功能和数据。包括监视系统屏幕上出现的任何东西，或是远程控制系统设备，譬如摄像头，麦克风等。著名的 RAT包括 Back Orifice和 Netbus 等。2.7.2 键盘记录器键盘记录器用来监视和记录键盘的使用记录。键盘记录器记下输入到系统中的信息，诸如电子邮件内容， 用户名和密码， 或是金融信息。 有一些键盘记录器需要攻击者从系统中找寻数据， 还有一些会自动将数据通过电子邮件等发送到系统中。 KeySnatch, Spyster, 和 KeyLogger Pro 都是常用的键盘记录器。2.7.3 RookitsRookit 是指一些安装到系统中的文件，采取恶意的和偷偷摸摸的方式替代系统的正常功能。在一些操作系统 中，譬如 Unix 和 Linux 中，rookits修正或是代替数以百计的文件。在其它操作系统中，譬如Windows中，rookit修正或替代文件或是仅仅存在于内存中，或是修正操作系统内置系统请求的使用。许多经 rookit修改过的文件都会隐藏rookit的存在，这样就使得rookit的探测变得异常困难。譬如说， rookit经常用来安装其它形式的攻击工具，后门程序或是键盘记录器等。一些rookit包括 LRK5, Knark, Adore, 和 Hacker Defender( 黑客防御者 ). 2.7.4 网络浏览器插件网络浏览器帮助用户浏览网络上的内容。攻击者常常借用插件传播间谍软件。一旦安装到浏览器中， 这些插件就会监视浏览器的所有所有记录，譬如网页浏览记录，然后将其报告给第三方。 因为插件是在浏览器打开的时候自动加载的，这就提供了监视系统网络活动的简单的方法。有一些恶意的网络插件是间谍软件拨 号器，它们使用调制调解线在未经用户允许的情况下拨打电话号码。一般说来，拨打的号码都是高收费电话或是紧急电话。2.7.5 电子邮件生成器恶意软件可以通过电子邮件生成程序传播到系统中，这样在用户不知情的情况下就会发生大量的邮件到其它的系统中。攻击者一般使用电子邮件生成器发生恶意软件，间谍软件或是垃圾邮件或是其它内容到收件人清单。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 37 页 - - - - - - - - - 7 2.7.6 攻击者工具包攻击者使用包含多种工具和脚本的工具包探测和攻击系统。一旦系统受到恶意软件或是其它方式的攻击， 攻击者就会在系统中下载和安装工具包。然后工具包就会借此对这一系统或是其它系统发动攻击。在攻击者工具包中常见的程序： 信息包探测器信息包探测器用来监视网络流量和获取信息包。信息包探测器一般可以嗅探到所有的信息包或是包含某一特征的信息包(TCP端口，或是特定 IP 地址)。绝大多数的信息包嗅探器也是协议分析器，也就是说它们可以重新配置来自于各个信息包的流量，然后解密使用各种各样协议的通讯。 端口扫描器端口扫描器远程扫描系统中开放的端口。以此帮助黑客找到潜在的攻击目标。 漏洞扫描器漏洞扫描器用来寻找本地或是远程系统上的漏洞。以此帮助黑客成功对系统发动攻击。 密码破解器使用密码破解器破解操作系统和应用程序密码。绝大多数的破解工具都尝试猜测密码或是试遍可能的密码。找出加密密码的时间长短不一，取决于加密手段或是密码本身的复杂程度。 远程登录程序攻击者常常使用 SSH( Secure Shell安全外壳 )和telnet(用于远程联接服务的标准协议或者实现此协议的软件) 远程登录其它系统。攻击者可以利用这些程序实现很多目的，譬如控制受到威胁的系统， 在系统之间传输数据。 攻击 攻击者常常使用各种各样的工具或是脚本对本地或是远程系统进行攻击。攻击者想要达到各种各样的目的，包括危害系统或是发动DoS攻击。实际上，攻击者工具包中的攻击工具作用两面的，关键是使用它们的人。 譬如， 信息包嗅探器和协议分析器经常为网络管理员所用寻找网络通讯问题，也 可以为攻击者所用窃听私人通讯。 上网管理人员可以利用密码破解器测试系统密码的强度。还有些工具内置到操作系统中作为诊断或是管理工具。因此，上述工具的 出现并不一定意味着风险的发生。2.8 非恶意软件威胁主要讨论两种形式的与恶意软件相关的非恶意软件风险。第一是网络钓鱼;第二是病毒欺骗2.8.1 网络钓鱼网络钓鱼指的是利用欺骗性的基于计算机的方式引诱个人透露敏感的个人信息。为了执行网络钓鱼攻击， 攻击者首先需要建立一个与知名企业类似的网站或是假冒知名企业的邮件，譬如网上购物网站，信用卡发行机关或是金融机构。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 37 页 - - - - - - - - - 8 这些假冒的网站和邮件就是为了欺骗用户透露个人数据，特别是金融信息。譬如，网 络钓鱼者搜寻网上银行的用户名和密码，还有银行账号。网络钓鱼助长了很多犯罪行为， 包括身份盗取和欺骗。 在用户系统上安装恶意软件。常见的安装恶意软件的网络钓鱼包括假冒的广告促销和网络上的弹出窗口。 用户一不小心点击了这些东西的话， 估计键盘记录器就已经安装的到系统了。这些都会令用户受伤。2.8.2 病毒欺骗正如其字面意思所指， 病毒欺骗就是错误的病毒警告。 这些错误的病毒一般被描述成破坏性极大， 并且需要马上采取保护措施。 大多数使用电子邮件发送的病毒警报都是骗人的。 病毒欺骗影响时间时间长， 因为收到邮件的用户都会转发给别人提高警惕。 尽管病毒欺骗很少造成破坏， 但是有一些病毒欺骗知道用户修改 操作系统设置或是删除正常文件导致安全和操作问题。病毒欺骗还会消耗企业的精力，因为很多员工收到这类邮件之后会向技术部门报告，寻求技术支持或是提醒他们。很出名的病毒欺骗是Good Times(好日子 ) 2.9 总结恶意软件已然成为绝大多数系统最大的外部威胁，给企业和个人带来了巨大的损失。要小心防范。在第三部分中，我们将详细介绍。三. 恶意软件事件防范恶意软件防范的四个组成部分是政策，警惕性，漏洞处置和威胁处理。 确保处置风险的政策是执行防范控制的基础。建立和管理用户对于恶意软件的警惕计划，对于那些直接与恶意软件打交道的IT 人员加强警惕性培训，这些都是减少人为失误的重要因素。 在漏洞处置上花费时间是减少攻击的重要因素。部署威胁处置技术和工具， 譬如说杀毒软件和防火墙， 能够成功地阻止对系统和网络的攻击。一旦规划了恶意软件防范方法， 企业就应该做到对当前和将来一段时间的攻击因素做到心中有数。 他们应该知道系统的控制性能， 因为这与防范方法的有效性有很大的相关性。 除此之外， 企业还应该组合当前的防范措施，譬如杀毒软件部署和补丁管理，融入到恶意软件的防范措施中。尽管如此，企业应该意识到，不 管在恶意软件的防范上付出多少努力，最终还是会发生状况。正所谓百密终有一疏。3.1 安全政策企业需要有相应的政策防范恶意软件事件。这些政策应该作为额外的恶意软件防范措施的基础 (警惕性，漏洞处置和风险处置)。如果企业不能在安全政策中清晰地表述恶意软件防范需要考虑的事项，那么要想实现恶意软件防范的连贯性和有效性就是空谈。 恶意软件防范相关的政策要有较大的灵活性以便减少修改名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 37 页 - - - - - - - - - 9 的 必要，但是同时在关键措施上也要足够详细。尽管一些企业有单独的恶意软件相关的政策， 但是很多是包含在其它措施之中的，因此现行的安全政策有些可以借用相关的内容。恶意软件防范也要把远程工作地员工纳入到考虑范围。一般的恶意软件防范政策考虑的因素包括如下几个方面： 邮件附件包括压缩文件在打开之前进行杀毒扫描 禁止使用电子邮件收发某些文 禁止使用不必要的软件， 譬如说那些经常传播恶意软件的应用程序( 即时通讯软件，桌面搜索引擎，点对点的文件共享软件) ，禁止使用公司已经提供的服务之外的相似软件，譬如说电子邮件功能。 限制用户的管理员权限，这样防止用户通过使用管理员权限传播恶意软件 操作系统 和应用程序的实时更新和下载补丁 限制移动媒介的使用，软盘，CD ，USB 接口闪存的使用 对症下药。不同的系统 ( 文件服务器，电子油价服务器，代理服务器，主机，PDA )使用不同的防范软件 ( 杀毒软件， 间谍软件检测和移除工具)。保证软件的实时更新。 使用企业允许的和安全机制访问外部网络 防火墙设置的修改需要通过正式的程序 限制移动设备在信任网络上的使用3.2 警惕性一个行之有效的警惕性计划规定了用户使用企业IT 系统和信息的行为规范。相应地，警惕性计划应该包括对恶意软件事件防范的指导，这可以减少恶意软件事件的频度和危害性。企业中的所有用户都应该知晓恶意软件入侵，感染，和在系统中传播的渠道 ; 恶意软件造成的风险 ; 恶意软件按防范技术的短板; 用户在 恶意软件防范中的重要性。警惕性教育要考虑不同系统环境的不同特征，譬如说那些出差的员工。 除此之外，警惕性教育计划还应该渗透上面讨论的安全政策中的一些政策。以下列举数例考虑的因素： 不要随意下载可疑的邮件附件 不要点击可疑的网站漂浮图表 不要点击可能包含恶意内容的网站连接名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 37 页 - - - - - - - - - 10 不要要打开 .bat,.com ,.exe,.pif,.vbs,等后缀名的文件，因为它们常常与恶意软件相关 不要禁止附加的安全控制机制 不要在例行的系统操作中使用管理员账号 不要下载或执行来自于非信任网站上的程序总之，企业应该保证用户了解恶意软件处理的政策和程序，包括怎么样确认系统已被感染， 怎么样报告可疑的感染， 用户在风险处理中可以做些什么(升 级杀毒软件，扫描系统中的恶意软件) 。用户应该知道在发生风险之后怎么样通过可信任的渠道报告。 用户还要知道一些简单的处置风险方法，譬如断开受感染系统 的网络，阻止某些邮件附件作为警惕性教育的一部分，企业要教育用户明了犯罪分子常用的欺骗伎俩。还有一些常用的应对网络钓鱼攻击的建议： 不要回复询问金融信息和个人信息的邮件。企业最好也不要使用电子邮件询问这些信息， 因为电子邮件很可能会被未经授权的第三方监视。你可以电询企业的电话或是访问其官方网站。千万不要使用电子邮件中提供的联系信息。 不要在电子邮件中回复密码， PIN(个人身份号码 ) 码或是其他代码。 一定要访问企业的官方网站。 不要打开可疑的电子邮件附件。如果收到这样的附件，与发件人联系确认。 不要回复任何可疑的邮件。直接将其移到黑名单中。尽管用户警惕性教育会减少恶意软件事件发生的频度和危害性，但是其作用与漏洞的技术控制和风险处置相比还是很小的。企业不能仅仅借此来防范恶意软件，它只能作为技术手段的一种补充。不管怎么说，企业IT 人员都应该对恶意软件防范有一些基本的常识，对其它员工的教育应该让他们知道其责任以及在恶意软件按防范中做些什么。除此之外，企业 IT 管理人员需要检查新的安全威胁，评估可能造成的风险，采取防范措施。3.3 漏洞处置一般来说，恶意软件 攻击操 作系统，服务和应用程序的套路就是利用其漏洞。于是乎，漏洞的处理就成为了恶意软件事故防范中关键的一环，特别是新的漏洞发现之后的恶意软件，甚至在漏洞广为人知之前就发生了恶意软件事故。通过采取综合的防控措施可以有效地处理漏洞，譬如说，升级软件按， 或是重新配置软件 (禁止有漏洞的服务等等 ) 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 37 页 - - - - - - - - - 11 由于当前漏洞处置面临的一些挑战，包括处理不断发现的新漏洞， 企业应该有记录在案的处理风险的政策， 流程，以及建立新的漏洞管理程序。 还有需要不断评估漏洞以便确定风险处理的优先顺序。企业要通过各种渠道搜集关于新的漏洞和主要恶意软件的信息， 譬如说事故响应小组， 安全厂商的公告， 以及杀毒软件 厂商的恶意软件咨询。企业还需要建立评估新的漏洞和威胁的机制，藉此确定恰当的处置方法，把信息分布到不同的部门。 企业还需要跟踪风险处置的进程。企业在风险处置中应该使用多层放防御策略，因为单一的防范措施很难应对绝大多数的漏洞。后面我们将详细讨论三种常用的漏洞处置办法漏洞管理，最少权限和其它的主机加强方法。除了漏洞处置之外， 企业还需要执行威胁处置行动，主要是防止恶意软件有利用漏洞的可能性。杀毒软件等一些安全工具在恶意软件未达到目标之前除之。 威胁处置对于不利用漏洞的恶意软件事件处置很重要，譬如说引诱用户运行恶意文件。 威胁处置对于企业在面临新的安全威胁的情形下 也是很重要的，而企业却没有可行的漏洞处置方案。譬如说，对于新的漏洞还没有补丁出现。以下我们将详解：3.3.1 补丁管理对于处理 操作系统 和 应用程序中已知漏洞的最常见的方法就是系统。一般说来，补丁包括以下几步，评估补丁的紧急性，测试补丁，在小范围之内实验补丁，记录补丁评估和决策过程。现在来说，对于补丁时效性的要求是一大挑战目前从漏洞的发布到出现漏洞攻击软件的时间已从数月减少到数星期，甚至是一天。由于补丁的测试通常需要花费数周的时间，这就意味着不可能马上就大范围部署补丁。 在有些情况下， 使用其它的漏洞处置或是威胁处理技术比使用补丁更加安全。除此之外，即使补丁经过测试完全可行，我们也不敢保证所有的计算机安装了补丁， 特别是远程系统上。 尽管如此， 使用补丁依然是减少恶意软件风险最有效的方法。 恶意软件事件频发的一个原因就是没有及时安装补丁。补丁管理也是事故处置的关键。3.3.2 最少权限最少权限的准则就是按需分配， 各取所需。管理权限的分配应该视需要而定。为什么说最少权限在防止恶意软件事件中很有效呢? 因为恶意软件常常需要管理员权限成功地利用漏洞。 一旦恶意软件事件真的发生， 先前的拥有最少权限的程序造成的损失也是最少的。最少权限管理可以在服务器，网络设备，以及用户的台式机和笔记本上使用。但是，最少权限会消耗掉大量系统资源; 譬如说，用户在未经管理员允许的情况下，能安装操作系统升级。3.3.3 其它主机加强措施除了使用补丁和最少权限原则之外， 企业还需要使用其他一些主机加强措施减少恶意软件事件发生的可能性。 禁止或是移除可能导致漏洞的不需要的网络服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 37 页 - - - - - - - - - 12 减少不安全的文件共享，文件共享很容易导致蠕虫的传播 删除或是更山操作系统等默认的用户名和密码，恶意软件可以借此获得未经授权的访问 访问网络需要获得授权 禁止脚本自动运行企业还要考虑使用操作系统和程序配置指导帮助管理员持久和有效地保护主机的安全。 配置指导一般包括推荐配置提高默认安全层级。或是手把手教你保护系统安全的指导。 企业需要有规律地进行风险评估找出系统中未处置的安全风险，然后加以处理。 即使系统上所有的已知漏洞都得到了处理，周期性的风险处理仍 然是必要的，因为在平时的不恰当的系统管理和操作活动中会破坏一些安全措施。譬如说，在安装补丁的时候， 可能会一不小心删掉其他补丁或是更改安全设置。3.4 威胁处置我们主要讨论几种常见的处置恶意软件风险的安全工具：杀毒软件，间谍软件探测和删除工具，入侵防御系统(IPS) ，防火墙和路由器。对于每一种软件，我们会介绍其典型功能， 针对的恶意软件， 检测和处理恶意软件的方法。以及关于这些软件的推荐，指导，软件的缺点。3.4.1 杀毒软件杀毒软件是最常见的对付恶意软件的方法。对于经常被恶意软件光顾的系统来说，杀毒软件显然是必备的。 杀毒软件有很多种， 大多数的杀毒软件都提供以下功能： 扫描关键系统区 域，诸如启动文件和启动记录 实时监视系统活动检查可疑行为，典型的就是扫描电子邮件附件中的已知病毒，杀毒软件实时扫描文件的下载， 打开和执行，这被称作“访问时扫描”。 监控常见程序行为，譬如说电子邮件客户端，浏览器，文件传输程序，即时通讯软件。杀毒软件还会监视那些可能被利用的高风险软件。 扫描文件中的已知病毒。 杀毒软件周期性地扫描硬盘寻找被感染的文件。必要的情况下还可以人工扫描，这被称作“定制扫描”。 确认常见的恶意软件病毒，蠕虫，木马，恶意的移动代码和混合 攻击，以及键盘记录器和后门程序等黑客工具包。绝大多数的杀毒软件都新增了检测间谍软件的功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 37 页 - - - - - - - - - 13 防止文件的感染，指的是在一个文件夹中删除恶意软件，或是隔离恶意软件。隔离感染文件是常用的方法， 但是有一些感染的文件不能被隔离。这时候，就只能直接删除感染文件了以下从 3.4.1.1到 3.4.1.4主要介绍杀毒软件配置， 管理等方面的一些内容，以及杀毒软件的缺陷。3.4.1.1 杀毒软件检测的准确性杀毒软件主要是依据已知的恶意软件特征寻找恶意软件。这些特征叫做特征库。对于寻找已知的恶意软件和确认已知病毒变体，特征库非常有效的。 主要的杀毒软件厂商一般都会在数小时之内分析新的病毒的特征，然后编写特征，测试，最后发布病毒特征。由于特征库依据的是已知的威胁，对于全新的恶意软件很难确认。 为了解决这一问题，杀毒软件厂商使用了启发式杀毒技术， 这种技术就是通过检查大量文件特征寻找恶意软件活动。 常见的启发式杀毒技术包括， 寻找文件中的可疑代码顺序和或是模拟文件行为寻找异常现象(譬如，在虚拟环境中执行文件，然后监视 其行为 ) 。不幸的是，启发式杀毒经常误判，这叫做“假阳性”。由于假阳性会给企业带来很大的不便， 所以绝大多数的杀毒软件产品将启发式杀毒设为中等或是 低。采用这种方式确实减少了假阳性的发生，但同时也增加了忽略恶意软件的可能性。 这被称作“假阴性”。 不管使用什么样的启发式杀毒技术，杀毒软件探测新威胁的准确率不可能太高，但是病毒库实时升级后，检测已知恶意软件的成功率还是很高的。 所以，杀毒软件应该升级到最新的病毒库以便提高准确率。3.4.1.2 杀毒软件配置和管理鉴于杀毒软件对于恶意软件防范的重要性，权威机构强烈建议所有的系统上都要使用杀毒软件。 在安装 操作系统 之后，应该立马配置杀毒软件并且升级到最新的病毒库。 然后使用杀毒软件扫描系统找出潜在的威胁。为了保证系统的持续安全，应该管理好杀毒软件以便持续有效地检测和阻止恶意软件。在一个管理良好的环境中， 企业应该使用中央管理杀毒软件。一般来说， 在这种环境下，个人不允许阻止和删除杀毒软件， 也不允许更改关键设置。 杀毒 软件管理员要定期检查杀毒软件， 确保用户使用杀毒软件以及其更新。这些信息也可以从中央管理杀毒软件上获取，企业可以使用系统扫描， 网络登录时的系统检测，和其它方法搜集信息。 执行上述建议有助于企业建立一个部署完善，行之有效的杀毒软件。在一个管理不够严密的网络环境中， 特别是在那些用户拥有个人系统管理权限的企业中，杀毒软件的管理就不那么连贯了。 当面临这种情况的时候， 企业 就需要逐渐向管理严格的网路环境中转变。特别是要加强警惕性教育。 企业要定期发送信息提醒本地系统管理员和用户升级病毒库; 提醒用户升级软件的重要性;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 37 页 - - - - - - - - - 14 发 布升级系统指导书 ; 出现新的威胁时，提醒本地系统管理人员升级杀毒软件;企业要鼓励系统管理员和员工经常升级病毒库，下载更新使用中央管理杀毒软件的企业应该确保其执行有充分的冗余满足峰值。譬如说， 企业应该有多台杀毒软件服务器管理杀毒软件客户端软件和分布更新。如 果可能的话，使用多台无关的操作系统平台为杀毒软件服务，以此来减少单一攻击针对杀毒软件服务器造成的全局性伤害。企业使用的杀毒软件操作系统平台与其他 服务器操作平台最好是不一样。如果某个漏洞影响了绝大多数的服务器，以及杀毒软件服务器，那么很可能导致杀毒软件服务器的崩盘。另外一个加强恶意软件防范的方法就是在关键系统，譬如电子邮件服务器上，使用多种杀毒软件产品。 例如，有的杀毒软件厂商发布病毒库的时间比其它厂商早 ; 还有一种可能性就是如果使用的一款杀毒软件产品本身有漏洞的话，替代的杀毒软件可以继续提供有效的保护。由于在同一系统中同时使用多款杀毒软件， 可能会导致产品之间的冲突，要想同时使用多款产品，它们应该安装在不同的系统中。 譬如说，杀毒软件可以在内外两个邮件服务器上使用。这样可以更加有效地探测新的威胁，但是同时也会增加培训管理费，以及额外的软硬件花费。3.4.1.3 杀毒软件的缺陷尽管杀毒软件是防范恶意软件必须的工具，但是这并不意味着杀毒软件可以防止所有的恶意软件。 正如前面所讨论的那样， 杀毒软件在查杀未知恶意软件的表现不尽人意。一旦发现新