пятница, 5 августа 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера

Перевел еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера. Автор документа - Cédric Pernet. В документе кратко приведены основные моменты, которыми следует руководствоваться при поиске и удалении вредоносных программ на компьютерах с операционной системой MS Windows.

В документе определены 6 этапов обработки инцидентов, связанных с заражением вредоносной программой Windows-компьютера:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Обнаружение вредоносного ПО: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: очистка компьютера от вредоносной программы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.


1. Подготовка
  • Специалисту, проводящему расследование, должен быть предоставлен физический доступ к системе, в отношении которой есть подозрения о наличии на ней вредоносного ПО.
  • Хорошее знание картины обычной сетевой и локальной активности компьютера может оказать существенную помощь. Вам понадобится файл, содержащий информацию об обычном использовании сетевых портов, чтобы сравнить нормальное состояние с текущим состоянием.
  • Требуется хорошее знание используемых в компании сервисов и программного обеспечения. 
Примечание: Если в процессе расследования вам потребуется консультация, незамедлительно обращайтесь к экспертам по ОС Windows.

2. Обнаружение вредоносного ПО

Основные признаки вероятного наличия вредоносного ПО на компьютере

Перечисленные ниже признаки могут свидетельствовать о заражении системы вредоносной программой:
  • Антивирус сообщает о выявлении вредоносной программы, невозможности обновления базы антивирусных сигнатур, остановке своей работы. Невозможно запустить антивирус даже вручную.
  • Необычная активность жесткого диска: жесткий диск неожиданно начинает выполнять множество операций.
  • Необычно медленная работа компьютера: необходимость ожидания в ситуациях, которые раньше выполнялись без задержки, частые замедления работы компьютера.
  • Необычная сетевая активность: Интернет-соединение работает очень медленно при переходе по Интернет-сайтам.
  • Компьютер перезагружается без видимых причин.
  • Некоторые приложения неожиданно завершаются с сообщениями об ошибках.
  • При открытии Интернет-сайтов появляются всплывающие окна (иногда и независимо от использования Интернет-сайтов).
  • Ваш IP-адрес (если он статический) был добавлен в один или несколько черных списков (Internet Black Lists).
  • Люди жалуются на полученные от вас сообщения электронной почты или мгновенные сообщения (IM), которые вы не отправляли.
Ниже приведены действия, которые выполняются с помощью стандартных утилит Windows. Для этих целей можно также использовать утилиты Sysinternals.

Необычные учетные записи
  • Ищите необычные и неизвестные учетные записи в ОС, особенно в группе "Администраторы":
    C:\> lusrmgr.msc

Необычные файлы
  • Ищите на дисках компьютера необычно большие файлы, которые более чем на 10 MB превышают ожидаемый размер.
  • Ищите необычные файлы, недавно добавленные в системные папки, особенно в C:\WINDOWS\system32.
  • Ищите файлы, для которых установлен атрибут «Скрытый»:
    C:\> dir /S /A:H

Необычные записи в реестре
  • Ищите необычные программы, запускающиеся из системного реестра в ходе загрузки системы. Обратите особое внимание на разделы реестра:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Проверьте аналогичные разделы в ветви HKCU
Необычные процессы и сервисы
  • Проверьте список процессов, запущенных от имени “SYSTEM” или “ADMINISTRATOR” – нет ли среди них необычных или неизвестных процессов:
    C:\> taskmgr.exe
          (или tlisk, tasklist в зависимости от версии Windows)
  • Проверьте список установленных и запущенных сервисов – нет ли среди них необычных/неожиданных сервисов:
    C:\> services.msc
    C:\> net start

Примечание: требуются четкое понимание, какие сервисы действительно нужны для работы компьютера.

Необычная сетевая активность
  • Проверьте общие файловые ресурсы этого компьютера и убедитесь, что каждый из них действительно необходим в рамках обычной работы на компьютере:
    C:\> net view \\127.0.0.1
  • Проверьте открытые сеансы на компьютере:
    C:\> net session
  • Проверьте к каким общим файловым ресурсам других систем подключен компьютер:
    C:\> net use
  • Проверьте, нет ли подозрительных подключений Netbios:
    C:\> nbtstat –S
  • Ищите любую подозрительную активность на портах TCP/IP системы:
    C:\> netstat –na 5
          (-na 5 означает установку 5-ти секундного интервала обновления)
           Используйте флаг –o для Windows XP/2003, чтобы увидеть владельца для каждого процесса:
    C:\> netstat –nao 5
  • Используйте сниффер (Wireshark, tcpdump и т.п.) чтобы проверить наличие/отсутствие попыток установления необычных соединений с внешними системами или от внешних систем. Если никакой подозрительной активности не обнаружено, используйте сниффер в процессе работы с критичными веб-сайтами (сайты интернет-банкинга, например) и проверьте, не появляется ли при этом какая-либо посторонняя сетевая активность.
Примечание: Требуется хорошее знание обычной (допустимой) сетевой активности.

Необычные автоматические задания
  • Посмотрите список назначенных заданий (scheduled tasks) – нет ли в нем необычных элементов: 
    C:\> at
    C:\> schtasks (на Windows 2003/XP) 
  • Также проверьте пользовательские папки Автозапуска:
    C:\Documents and Settings\user\Start Menu\Programs\Startup
    C:\WinNT\Profiles\user\Start Menu\Programs\Startup

Необычные записи в журнале регистрации событий
  • Просмотрите лог-файлы – нет ли в них необычных записей:
    C:\> eventvwr.msc
  • Ищите события, похожие на следующие:
   “Event log service was stopped”
   “Windows File Protection is not active”
   “The protected System file <имя> was not restored to its original”
   “Telnet Service has started successfully”
  • Просмотрите лог-файлы межсетевого экрана (если он используется) на предмет наличия в нем записей о подозрительной активности. 
Также вы можете воспользоваться антивирусной программой с обновленными антивирусными базами для выявления вредоносного ПО на компьютере, но имейте в виду, что это может привести к уничтожению доказательств.

Следует понимать, что даже в случае, если после выполнения всех перечисленных действий не было обнаружено ничего необычного, это еще не значит, что система не заражена. Работающий в системе руткит, например, может заставить все используемые вами средства выдавать «хорошие» результаты, скрывая таким образом свое присутствие. Если система по-прежнему ведет себя подозрительно, дальнейшие исследования следует проводить на выключенной системе. Идеальным вариантом является создание побитовой копии системного жесткого диска зараженного компьютера и проведение анализа копии с использованием криминалистических инструментов, таких как EnCase или X-Ways.

3. Локализация и снижение воздействия

Физически отключите зараженный компьютер от сети, чтобы предотвратить заражение других компьютеров, а также чтобы остановить вероятные несанкционированные действия злоумышленника на зараженном компьютере (вредоносное ПО может, например, выполнять рассылку спама, использовать ваш компьютер для проведения DDoS-атак, хранения на нем нелегальных файлов и т.п.).

Отправьте подозрительные файлы во все антивирусные компании, с которыми работает ваша компания, чтобы определить, действительно ли они являются вредоносными программами. Лучше всего перед отправкой таких файлов заархивировать их в zip-архив с паролем.

4. Исправление

Перезагрузите компьютер с помощью загрузочного диска (live CD) и скопируйте резервную копию всех важных данных на внешнее хранилище. При необходимости, для выполнения этой операции можно обратиться в службу технической поддержки компании.

Удалите с компьютера вредоносные программы и соответствующие им записи в реестре
  • Воспользуйтесь рекомендациями по удалению обнаруженной вредоносной программы. Обычно такие рекомендации можно найти на веб-сайтах антивирусных компаний.
  • Выполните антивирусное сканирование онлайн.
  • Запустите загрузочный диск на основе Bart PE, содержащий средства для удаления вредоносных программ (такие диски могут быть загружены с сайтов антивирусных компаний), либо специальный антивирусный загрузочный диск.

5. Восстановление

Если это возможно, переустановите ОС и приложения, восстановите пользовательские данные из доверенной резервной копии.

Если полностью переустановить ОС и ПО на компьютере невозможно:
  • Восстановите файлы, которые были повреждены вредоносной программой, особенно системные файлы.
  • Перезапустите компьютер после завершения его очистки, проверьте, что теперь система «здорова», проведите полное сканирование системы антивирусной программой, включая содержимое всех жестких дисков и оперативной памяти.
6. Заключительный этап

Отчет

Следует написать отчет по инциденту и предоставить его всем заинтересованным лицам. В нем должно быть описано следующее:
  • Первоначальное обнаружение
  • Предпринятые действия с указанием времени
  • Что прошло удачно
  • Что пошло не так
  • Стоимость инцидента
Продумайте, какие действия нужно предпринять для улучшения процесса выявления вредоносного ПО в Windows, исходя из полученного опыта.

2 комментария:

Анонимный комментирует...

Ну найти и удалить это стандартные операции... а вот провести аудит последствий, найти источник заражения, - этого к сожалению не нашел ?
Статья уровня системного администратора на предприятии

eagle комментирует...

- Использование утилиты Process Monitor для выявления и анализа вредоносного кода. http://blog.zeltser.com/post/9451096125/process-monitor-filters-for-malware-analysis