駭客攻防與惡意程式威脅 回到資安Q&A
Q
企業內部病毒擴散時怎麼處理?
當企業內部開始發現內部有病毒擴散時,針對中毒的電腦如何隔離避免災情擴散?如何檢查受災狀況?是否推薦什麼樣的工具或方法能夠應急?可否推薦處理SOP?
提問時間: 04/18/2011
A
值班醫師回應

這個問題常有人問,也有很多廠商有各種不同的解答,許多讀者聽到都會倒背如流卻不一定是正確的觀念。首先須搞清楚病毒、蠕蟲、木馬的差異,這個請上網自行查詢。釐清你面對的病毒是無明顯自我意識的病毒蠕蟲還是人為製作的木馬程式,這兩種感染方式不同,威脅層度也不同。前者多利用系統漏洞來自我擴散,目的較為單純;後者可能利用郵件目標攻擊或入侵伺服器等高度駭客技術來滲透、擴散並植入內網主機,進而盜取重要資料,影響非常嚴重。這次將解釋前者。

病毒、蠕蟲利用主機漏洞的擴散,例如03年利用MS03-026 Dcom RPC漏洞擴散的Blaster worm,它走的是tcp port 135,04年利用MS04-011 LSASS漏洞擴散的Sasser worm,走的是tcp port 445。為什麼特別講port,因為04年八月微軟出Windows XP SP2,開始內建Windows個人防火牆,除非特別手動開啟,預設阻擋所有通訊埠,自從這個措施之後,便是敲響那些利用主機漏洞擴散的病毒蠕蟲的喪鐘,08年利用MS08-067 RPC漏洞擴散的病毒,走的是tcp port 445,這次的影響就比03年、04年造成的影響小的多,根據資料顯示,08年這次的災情多發生在內網,原因是許多企業內網因為愛用網芳或伺服器傳檔方便,以為身處內網便將Windows個人防火牆關閉,導致worm可以在內網進行擴散。

根據以上的歷史故事,讀者應該可以了解在現今這個年代若有任何廠商誇大電腦病毒、蠕蟲擴散的威力,或是資安通報某隻電腦病毒,你可先確認該病毒、蠕蟲進行擴散所使用的漏洞、傳播方式或通訊協定(通訊埠),你就可以針對既有環境與主機設定判定是否對你的環境造成影響。進一步可以利用佈署IPS設備、請廠商提供規則,或自己設定Snort規則 來檢查受災狀況。另外一個案例,06年開始出現USB worm,透過資安技術資料,讀者可以了解這是利用微軟Autorun.inf 自動執行機制來擴散的惡意行為,因此可以藉由關閉微軟Autorun機制、檢查USB儲存裝置來避免災情。

整體來說,面對病毒或蠕蟲,IT人員可依循下列步驟沉著面對:
1.釐清病毒/蠕蟲名稱
2.搜尋技術資料
3.確認感染模式
4.建立偵測機制
5.佈署規則或建立阻擋機制

再舉2個案例,很久以前的Email病毒利用感染主機其他人的通訊錄來寄發病毒主體,感染模式是SMTP郵件協定,防堵動作可以於郵件主機上進行。03年起,許多病毒蠕蟲利用P2P感染,感染者會將感染檔案(取名為SETUP.EXE)放置在本機P2P目錄或壓縮檔中分享於P2P網路中,這個就得靠宣導人員不可於企業內部使用P2P或去P2P下載程式。

世界上病毒蠕蟲種類變化何其多、漏洞也是每年不同,近幾年甚至SQL injection worm針對網站應用程式漏洞進行擴散,因此很難有一個完整的SOP或是工具可以涵蓋未來的所有變化,而其中最重要的是第2點,只要讀者能夠即時掌握正確的技術資料,將不再人云亦云,而可以自行面對與處理未來的病毒與蠕蟲威脅。
資安急診室醫師介紹
資安技術顧問
曾負責資安事件處理、電腦鑑識與資安技術顧問,具備10年資安事件處理與ISP級資安監控防護經驗,專長為網路安全相關技術
文章回應話題
發表者:林立 發表日期:12/28/2011
很期待有關木馬程式問題的意見。
發表者:藍允澤 發表日期:06/29/2011
我個人認為,如果面對的是未知的新病毒,當防毒廠商還無法辨識此病毒時,不太可能完全依據上述的步驟來處理,尤其是第一及第二個步驟。

因此,在這種情況下,如何在第一時間找出病毒的根源就會變得很重要。是誰可能中毒,哪一個程序是可疑的惡意程序,然後盡快找出可疑的惡意程序後送給防毒廠商分析,再盡可能的控制中毒的範圍。畢竟我們要的是盡快的降低對企業內部影響,恢復系統運作,透過現有的防毒機制處理還是最快也最安全的方法。

當然,要在短時間內找出可疑的惡意程式需要經驗加上一點點的運氣,但是只要能夠確實了解病毒的原理及運作方式,要找到未知病毒也不是一件很困難的事。若能加上上述步驟中的第三到第五個步驟,就能夠有效防止病毒的擴散。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字