处理恶意软件的网络技术

几年前，在一个项目，因为一个有针对性的恶意软件攻击，我研究了10000多台电脑参与了僵尸网络，这些计算机的主要问题是，安全措施极其薄弱，如漏洞测试不足，过度依赖传统的杀毒软件。同时还发现之间安全组通信中断，桌面支持团队，IT管理员，和其他的利益相关者。这是非常致命的。
肉鸡和他们的指令控制（CC）服务器分为先进的恶意软件。当我们学习了更多关于这些先进的恶意软件的复杂性和问题的复杂性和广泛性，它是明确的，僵尸网络的清洁并不是一件简单的事情。不幸的是，当一个企业遇到这个问题，管理员可不简单要关闭系统并重新安装镜子避免。
正如我以前遇到过的，肉鸡感染可能是IT专业人员处理过的最烦人的事情之一，但它对你现有的工作没有什么大的影响。
下面是注意如何处理这些恶意软件感染和删除肉鸡作为企业IT管理员的五个关键步骤。
1。文件
如果你想管理它的风险，你需要一个完整的事件响应过程。行动计划的缺乏可以说是有效的安全响应的最大障碍。立即开始减少恶意攻击的潜在影响的积极措施。如果你想让你的组织有能力处理僵尸网络劫持，不同的终端，一个好的计划的网络接入，数据管理和未知用户定义。
2。诊断
俗话说，治愈的一半是诊断，所以，感染点在哪里，这是一个64000美元的恶意软件问题。
通过加密和快速变化被称为DNS手段攻击；Fast-flux服务网络；许多典型的僵尸网络和CC码是传统安全控制雷达在采用这种方式。这就是为什么僵尸网络检测困难没有合适的工具，但如果你能找到一个恶意软件发起的主持人，一定要加强调查和试图控制的范围。提示：Windows客户端更容易被感染，但也可能是你的Windows服务器。
微软使用Sysinternals工具是一个好的开始。我们需要特别小心，要注意任何密码，进入了一个可疑的机器，以及其他系统访问这里。网络分析工具如wireshark，另外还可以提供额外的观点看网络水平的情况什么。这种更高层的视图将有利于管理员。
此外，你可能最终需要从厂商像Damballa和FireEye的有效跟踪恶意软件的感染和清除肉鸡更先进的技术。
三.限制
如果您对恶意软件的感染有足够的了解，您可以使用一些紧急网络访问控制列表或防火墙规则来防止恶意软件进入或传出网络流量，直到清理完毕为止。
您还可以使用白名单方法，加上本地策略或组策略作为打击恶意软件感染的基本工具。我们可以使用Bit9的主动安全控制策略，为争取一个高层次的工具。
4。间隙
只需简单的杀毒扫描就不可能删除肉鸡，你甚至无法检测恶意软件的异常行为，即使可以检测到，恶意代码也常常与操作系统/注册表交织在一起，以至于主流杀毒软件不知道如何处理。
你能做的最好的办法是运行多个反恶意软件工具，尤其是工具像Webroot公司Malwarebytes，这是比较熟悉的更先进的威胁。你可能也不得不重新安装操作系统。
此外，重新安装操作系统。
另外，注意数据丢失的风险。在我所处理的项目中，几乎没有任何内部安全评估，也不是工作站上敏感信息的备份副本。
5。补丁更新
恶意软件感染的最大的敌人就是用户不定期更新java，Adobe公司，以及相关的第三方软件。其次，Windows XP即将退役。
问题是更新企业系统可以消除威胁，至少可以防止恶意软件的传播，所以现在你需要开始考虑第三方软件的补丁管理，这样你就可以为真正的问题做好准备。
当这一切都不奏效，你只能寻求专家的帮助。僵尸网络是很难对付的。因为我发现在我的项目中，和其他事件的其他信息，僵尸网络就像人体的癌症，即使是一点点的僵尸网络的信息，它是可能遇到的第二波感染。急救响应措施，让专业人士定期处理可疑的功能将允许组织在IT安全保护过程。
在终端的恶意软件清除的风险最小化的一个方面。威胁信息（知道要寻找什么，并有足够的信息来支持决策）是至关重要的。这是回到一个基本的管理原则：了解你的网络。虽然听起来有点无聊，但当你真的知道是什么；正常你会做出正确判断的异常活动。
如果你没有一个工具或过程中得到的信息，从今天开始，到终端的控制，你需要有良好的网络分析工具和事件监控工具来对抗僵尸网络。我最喜欢的是喜欢的一句话：敌人，百战不殆；。
恶意软件的问题并没有随着时间的推移出现任何改善的迹象，所以对于桌面和网络管理员来说，他们需要提高他们的技能，成长为威胁分析师、数据科学家和事件响应者，即使这些领域还没有影响他们的工作，总有一天，他们肯定会被使用。