黑色海岸线论坛 - Powered by Discuz! Board

标题: 如何判断你的用户是否真的被黑客攻击 [打印本页]

作者: Jesse 时间: 2005-6-8 19:04 标题: 如何判断你的用户是否真的被黑客攻击

如果你在机构里实施终端用户支持，你多半会熟悉当用户的电脑不能启动或发生问题时，它们会不分青红皂白的说“我想我被黑了！”。其中有一些情况确实如此，需要立即响应，但另外一些只是用户反应过度的小毛病。为了帮助你在用户真正被黑时辨别和寻找故障，请查看下面的篇章。我们将请三位Windows安全专家介绍有关终端用户问题分析和可能采取何种行动的知识，随后，你可以到我们的论坛阅读别人碰到问题后的解决办法，也可以分享你自己的想法。

用户的问题

“我是一个拥有超过500台运行Windows 2000和Windows XP操作系统的终端用户的IT管理员，我们的一个用户经历的问题是：她的Internet连接不明不白的突然断线，当她重启计算机后，每一项工作看起来都在正常运行，和平时没有什么两样，但片刻之后，她的Internet连接就再度断掉。有趣的是，她注意到在她不能访问E-mail时，她的AOL即时聊天服务仍然能够正常运行。我们已经运行netstat命令，注意到在她的机器中存在许多不明的开放连接，使用着某些确定的端口。这个特殊的用户使用的是笔记本电脑，她经常在家中进行工作，因此我们不能确认所有的更新已经安装。难道她的电脑被黑了？”

专家的意见

对于此类问题，可以采取四个步骤进行解决。

第一阶段：分析
根据用户给出的信息，判断用户的电脑是否被黑。

第二阶段：立即响应
如果某台工作站被黑，那么在24小时之内，你要进行怎样的工作才能够防止进一步的破坏？

第三阶段：恢复
在关键性的24小时过去之后，你要怎么做才能够挽回Windos操作系统，让它恢复到原来的状况下工作。

第四阶段：预防
怎样才能够避免在未来被黑？

下面，我们将具体介绍这四个步骤，也就是将专家们各自的处理方法综合起来。

关于专家

Lawrence Abrams：美国纽约州纽约市ISP的CTO，也是BleepingComputer.com网站的创始人和拥有者，这个网站致力于向人们传授清除恶意软件的基本概念。

Kevin Beaver：CISSP，Principle Logic, LLC，《Hacking For Dummies》（_8_xs_ap_i1_xgl14/104-1282594-2443933?v=glance&s=books&n=507846">http://www.amazon.com/exec/obidos/tg/detail/-/076455784X/qid=1078194566/ref=sr_8_xs_ap_i1_xgl14/104-1282594-2443933?v=glance&s=books&n=507846）的作者，《Hacking Wireless Networks For Dummies》（http://www.dummies.com/WileyCDA/）的共同作者，也是Windows安全的Windows安全威胁专家。

Tony Bradley：CISSP-ISSAP，MCSE2k，MCSA，A+，About.com Guide for Internet/Network Security的编辑，并且是Essential Computer Security公司的创建者。

你被黑了：第一阶段――分析

Lawrence Abrams：在发现和分析阶段，第一件要做的事情是冻结笔记本电脑，以使感染不被扩散，并且数据和证据不致被破坏和丢失。在事件中，笔记本是法庭上需要的必要的证据，在分析它硬盘上的任何数据之前，你必须采取正确的步骤。

首先立即拔掉网线，并切断电脑的电源（不要使用系统内置的关机，而是直接切断）。然后，使用字节对字节的拷贝工具，比如EnCase（http://www.guidancesoftware.com/），FTK Imager（http://www.accessdata.com/ftkuser/imager.htm），WinHex（http://www.x-ways.net/winhex/index-m.html）或者可以在Helix Linux CD（http://www.e-fense.com/helix/index2.html）上找到的图形界面的dd gui，将硬盘上的数据从被感染的笔记本电脑镜像到备用笔记本电脑上。现在，你拥有了法庭上承认的笔记本电脑拷贝，将原始的笔记本电脑锁定，直到你需要在法庭上出具证据时才能再启动它。

一旦数据被转移到备用笔记本电脑，下一步就是辨认感染的工作。在所描述的问题场景中，我所做的第一步是下载从Foundstone 下载Fport（http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm），并且再从http://www.spywareinfo.com/~merijn/下载HijackThis，然后在电脑上运行获得大概的情况。Fport将给出哪个程序打开了哪个IP端口，HijackThis则将告诉你有哪些程序在随着Windows启动而运行。然后使用Netstat（http://www.analogx.com/contents/download/network/nsl.htm），你能够看到这台计算机正在尝试连接网络上的其它机器，并感染它们。

Kevin Beaver：这个用户的电脑很又可能被黑或者感染了某种类型的恶意软件。

Tony Bradley：在所描述的问题中，描述了一些可疑的活动，但是在场景中只提供了一部分的信息，这很难判断此活动是恶意攻击还是只是一些小问题。

你被黑了：第二阶段――立即响应

Lawrence Abrams：使用在分析阶段找到的信息，你应该巩固企业_blank">防火墙的规则，禁止被感染机器可能访问的那些端口，将网络分为不同的部分，或者与外部网络隔离。

由于AIM（AOL即时聊天工具）还能够运行，因此病毒很可能会将自己插入聊天信息中，并希望能够借助此信息传播，当收到消息的人点击其中的连接时，他们就可能中毒了。为减轻这种危险，你需要马上在网络中封掉5190端口（AIM使用的端口）。并且马上发一封邮件给所有人，让他们关闭即时聊天软件也是合情合理的，而相对孤立的网络部分，没有被感染的风险。

如果他们被SDBot/RBot（_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci211699,00.html）或者其它的恶意后门软件感染，你应该立即封禁出站端口6666和6667，除去从外部IRC服务器可能执行的命令。

使用_blank">防火墙日志，你应该能够确定这些机器是否符合你的过滤要求，并且为清除其中的巨大威胁做好准备。粗略的使用类似Fport之类的程序扫描对每台电脑都是必要的，它对发现感染非常有用，不过这看起来是一个枯燥的令人畏缩的任务，但它必须执行。

Kevin Beaver：在这个阶段，你应该按照你们公司的突发事件反应计划进行工作，并按照它包含的每一个步骤详细执行，最终消灭恶意攻击，并从灾难中恢复。突发事件响应团队然后应该确定是否需要求助外部人员，或者在未来进行此项操作。

对――严重的情况是――你们公司并不存在一个突发事件应急计划。这样的话，你应该做的第一件事情不是恐慌，忙的团团转的将每一台机器都关闭。如果用户的工作站上包含有关键的信息（比如，个人的、机密的或其它敏感信息），你至少需要将它的网络连接断开，以最小化带来的损失。

如果有可能招来外频顾问或者法律实施进行正式的调查，你所做的就只是简单的将计算机的电源线拔掉（不要使用系统内置的关机，而是直接切断电源），这是最好的操作过程。这样做的话，没有内存、临时文件或交换文件被篡改（虽然它们可能在这种暴力关机中被损坏），然后使用工具镜像整个磁盘，以便能够进行调查。

Tony Bradley：我所做的第一件事情是确认防病毒软件现在是否正在运行。我还需要运行Microsoft Baseline Security Analyzer (MBSA，_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者类似的工具检查所有需要的补丁是否已经安装。

当连接断线时，使用ping命令ping Internet网关的地址和主DNS服务器的地址，能够帮助我们确定机器是否仍然能够与它们通信。很又可能是DNS服务器出现或者这台机器到DNS服务器的连接出现了问题。
你被黑了：第三阶段――恢复

Lawrence Abrams：使用补丁管理工具和人工干预，确认所有的计算机已经安装了防病毒软件、间谍软件清除软件和最新的Windows Update。每一台电脑不仅需要用防病毒软件武装起来，还需要安装至少两种反间谍程序。

Kevin Beaver：如果没有进行正式的调查，那么此时关心的主要事情是将机器重新接入网络时，确保它是干净的。这些可能包括使用知名的恢复工具进行恢复，或者在脱离网络的情况下，启动此台计算机，然后运行不同的工具，比如反间谍软件、反病毒软件、Rootkit检测/清除工具、TCP/UDP端口映射工具、具有应用程序防护的个人_blank">防火墙软件等，来确认它是干净的。

同时，更改任何可能存储于本地系统的密码（Windows的、AIM的，等等）。一旦机器被清理干净，在将它放回网络之前，你就能够在它上面安装一个网络分析工具（这方面商业软件Sniffer――http://www.networkgeneral.com/或EtherPeek――http://www.wildpackets.com/更适合，也更容易使用）。

下一步要做的是开始抓包，或者至少监控协议和连接，以确认没有令人怀疑的或恶意的东西继续出现在网络中。

Tony Bradley：假设在电脑和网关以及主DNS服务器之间的ping正常，我将对外部的Web站点进行tracert，以确定到底通信在哪里发生了问题。假设所使用的系统为Windows操作系统，我将检查事件、系统和安全日志，以找到相关的信息和可疑活动的证据。显然，使用Netstat扫描发现的端口直接调查。我将使用Google搜索那些可疑的端口号，以辨认是否有使用这些特殊端口的知名的特洛伊木马、后门程序或其它的恶意程序。

你的反应，包括初始反应和长期反应，以来与你所在公司的策略和你自己的能力。许多功能的策略只是简单的重新格式化或重新镜像一台机器，这看起来是一种折中的办法，这样做实际上保证了将问题移除――至少短期内能够移除。

如果需要进行更为渗入的法庭调查，则此台机器必须进行隔离，并且要将它的磁盘创建一个镜像。但是，做到这些需要考虑人力、设置和时间资源，你找到的结果与花费在找它们的投资上的对比，可能并不值得。

你被黑了：第四阶段――预防

Lawrence Abrams：一定要使用补丁管理系统保证电脑补丁的及时性和最新性。而不定管理系统允许登录到网络上的远程用户获得最新的补丁，并在它们的计算机上安装。

另外，还需要购买内容过滤设备，比如_blank">防火墙。这类设备允许你过滤安全威胁、垃圾邮件和那些知名的带有恶意程序的Web站点，它们还会在某台机器执行端口扫描或其它不正常行为时，向你发出警告。

每夜或每周进行反病毒和反间谍扫描也一定要安排在时间表内。间谍软件和病毒已经成为可交换的具有相等威胁的两个不受人喜欢的东西。为已知的端口创建_blank">防火墙存取规则在你的网络上特别有用，比如为Internet多线交谈（Internet Relay Chat，_gci214040,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci214040,00.html）创建规则。这将允许你在机器受到感染后，通过检查_blank">防火墙日志，快速找到可能出现问题的点。

Kevin Beaver：一些实用措施将能够巩固每一个用户工作站的安全，这些措施包括组策略，当用户接入网络时实用集中的补丁管理，实施一个安全策略，培训用户在远程工作时如何打上他们应该打的补丁（不是一个好选择，但总好过什么都不做）。同样，你肯定想安装反间谍软件、反病毒软件和带有应用程序防护的_blank">防火墙软件，譬如BlackICE（_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0">http://www.digitalriver.com/dr/v2/ec_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0）、Zone Alarm（http://www.zonelabs.com/store/content/home.jsp）等等。这些组合化的措施将给你一个相对健壮的环境，是一种很不错的解决方案。

Tony Bradley：在预防未来的问题方面，你可以采取一个广泛的主动的方案，这也以来于你最终想解决的问题到底是什么。

建立策略和使用工具，确保远程和移动用户能够接收到他们的病毒更新，以及他们需要的补丁程序。基于主机的入侵预防系统和个人_blank">防火墙软件同样能够帮助这些用户远离未来的攻击。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)