Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера

Перевел еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера. Автор документа - Cédric Pernet. В документе кратко приведены основные моменты, которыми следует руководствоваться при поиске и удалении вредоносных программ на компьютерах с операционной системой MS Windows.

В документе определены 6 этапов обработки инцидентов, связанных с заражением вредоносной программой Windows-компьютера:

• Подготовка: обеспечение готовности к обработке инцидента
• Обнаружение вредоносного ПО: выявление инцидента
• Локализация и снижение воздействия: минимизация воздействия инцидента
• Исправление: очистка компьютера от вредоносной программы
• Восстановление: восстановление нормального состояния
• Заключительный этап: составление отчета и совершенствование процесса

Далее приведены краткие инструкции для каждого из этапов.

1. Подготовка

• Специалисту, проводящему расследование, должен быть предоставлен физический доступ к системе, в отношении которой есть подозрения о наличии на ней вредоносного ПО.
• Хорошее знание картины обычной сетевой и локальной активности компьютера может оказать существенную помощь. Вам понадобится файл, содержащий информацию об обычном использовании сетевых портов, чтобы сравнить нормальное состояние с текущим состоянием.
• Требуется хорошее знание используемых в компании сервисов и программного обеспечения. 

Примечание: Если в процессе расследования вам потребуется консультация, незамедлительно обращайтесь к экспертам по ОС Windows.

2. Обнаружение вредоносного ПО

Основные признаки вероятного наличия вредоносного ПО на компьютере

Перечисленные ниже признаки могут свидетельствовать о заражении системы вредоносной программой:

• Антивирус сообщает о выявлении вредоносной программы, невозможности обновления базы антивирусных сигнатур, остановке своей работы. Невозможно запустить антивирус даже вручную.
• Необычная активность жесткого диска: жесткий диск неожиданно начинает выполнять множество операций.
• Необычно медленная работа компьютера: необходимость ожидания в ситуациях, которые раньше выполнялись без задержки, частые замедления работы компьютера.
• Необычная сетевая активность: Интернет-соединение работает очень медленно при переходе по Интернет-сайтам.
• Компьютер перезагружается без видимых причин.
• Некоторые приложения неожиданно завершаются с сообщениями об ошибках.
• При открытии Интернет-сайтов появляются всплывающие окна (иногда и независимо от использования Интернет-сайтов).
• Ваш IP-адрес (если он статический) был добавлен в один или несколько черных списков (Internet Black Lists).
• Люди жалуются на полученные от вас сообщения электронной почты или мгновенные сообщения (IM), которые вы не отправляли.

Ниже приведены действия, которые выполняются с помощью стандартных утилит Windows. Для этих целей можно также использовать утилиты Sysinternals.

Необычные учетные записи

• Ищите необычные и неизвестные учетные записи в ОС, особенно в группе "Администраторы":

    C:\> lusrmgr.msc

Необычные файлы

• Ищите на дисках компьютера необычно большие файлы, которые более чем на 10 MB превышают ожидаемый размер.
• Ищите необычные файлы, недавно добавленные в системные папки, особенно в C:\WINDOWS\system32.
• Ищите файлы, для которых установлен атрибут «Скрытый»:

    C:\> dir /S /A:H

Необычные записи в реестре

• Ищите необычные программы, запускающиеся из системного реестра в ходе загрузки системы. Обратите особое внимание на разделы реестра:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

• Проверьте аналогичные разделы в ветви HKCU

Необычные процессы и сервисы

• Проверьте список процессов, запущенных от имени “SYSTEM” или “ADMINISTRATOR” – нет ли среди них необычных или неизвестных процессов:

    C:\> taskmgr.exe
          (или tlisk, tasklist в зависимости от версии Windows)

• Проверьте список установленных и запущенных сервисов – нет ли среди них необычных/неожиданных сервисов:

    C:\> services.msc
    C:\> net start

Примечание: требуются четкое понимание, какие сервисы действительно нужны для работы компьютера.

Необычная сетевая активность

• Проверьте общие файловые ресурсы этого компьютера и убедитесь, что каждый из них действительно необходим в рамках обычной работы на компьютере:

    C:\> net view \\127.0.0.1

• Проверьте открытые сеансы на компьютере:

    C:\> net session

• Проверьте к каким общим файловым ресурсам других систем подключен компьютер:

    C:\> net use

• Проверьте, нет ли подозрительных подключений Netbios:

    C:\> nbtstat –S

• Ищите любую подозрительную активность на портах TCP/IP системы:

    C:\> netstat –na 5
          (-na 5 означает установку 5-ти секундного интервала обновления)
           Используйте флаг –o для Windows XP/2003, чтобы увидеть владельца для каждого процесса:
    C:\> netstat –nao 5

• Используйте сниффер (Wireshark, tcpdump и т.п.) чтобы проверить наличие/отсутствие попыток установления необычных соединений с внешними системами или от внешних систем. Если никакой подозрительной активности не обнаружено, используйте сниффер в процессе работы с критичными веб-сайтами (сайты интернет-банкинга, например) и проверьте, не появляется ли при этом какая-либо посторонняя сетевая активность.

Примечание: Требуется хорошее знание обычной (допустимой) сетевой активности.

Необычные автоматические задания

• Посмотрите список назначенных заданий (scheduled tasks) – нет ли в нем необычных элементов: 

    C:\> at
    C:\> schtasks (на Windows 2003/XP) 

• Также проверьте пользовательские папки Автозапуска:

    C:\Documents and Settings\user\Start Menu\Programs\Startup
    C:\WinNT\Profiles\user\Start Menu\Programs\Startup

Необычные записи в журнале регистрации событий

• Просмотрите лог-файлы – нет ли в них необычных записей:

    C:\> eventvwr.msc

• Ищите события, похожие на следующие:

   “Event log service was stopped”
   “Windows File Protection is not active”
   “The protected System file <имя> was not restored to its original”
   “Telnet Service has started successfully”

• Просмотрите лог-файлы межсетевого экрана (если он используется) на предмет наличия в нем записей о подозрительной активности. 

Также вы можете воспользоваться антивирусной программой с обновленными антивирусными базами для выявления вредоносного ПО на компьютере, но имейте в виду, что это может привести к уничтожению доказательств.

Следует понимать, что даже в случае, если после выполнения всех перечисленных действий не было обнаружено ничего необычного, это еще не значит, что система не заражена. Работающий в системе руткит, например, может заставить все используемые вами средства выдавать «хорошие» результаты, скрывая таким образом свое присутствие. Если система по-прежнему ведет себя подозрительно, дальнейшие исследования следует проводить на выключенной системе. Идеальным вариантом является создание побитовой копии системного жесткого диска зараженного компьютера и проведение анализа копии с использованием криминалистических инструментов, таких как EnCase или X-Ways.

3. Локализация и снижение воздействия

Физически отключите зараженный компьютер от сети, чтобы предотвратить заражение других компьютеров, а также чтобы остановить вероятные несанкционированные действия злоумышленника на зараженном компьютере (вредоносное ПО может, например, выполнять рассылку спама, использовать ваш компьютер для проведения DDoS-атак, хранения на нем нелегальных файлов и т.п.).

Отправьте подозрительные файлы во все антивирусные компании, с которыми работает ваша компания, чтобы определить, действительно ли они являются вредоносными программами. Лучше всего перед отправкой таких файлов заархивировать их в zip-архив с паролем.

4. Исправление

Перезагрузите компьютер с помощью загрузочного диска (live CD) и скопируйте резервную копию всех важных данных на внешнее хранилище. При необходимости, для выполнения этой операции можно обратиться в службу технической поддержки компании.

Удалите с компьютера вредоносные программы и соответствующие им записи в реестре

• Воспользуйтесь рекомендациями по удалению обнаруженной вредоносной программы. Обычно такие рекомендации можно найти на веб-сайтах антивирусных компаний.
• Выполните антивирусное сканирование онлайн.
• Запустите загрузочный диск на основе Bart PE, содержащий средства для удаления вредоносных программ (такие диски могут быть загружены с сайтов антивирусных компаний), либо специальный антивирусный загрузочный диск.

5. Восстановление

Если это возможно, переустановите ОС и приложения, восстановите пользовательские данные из доверенной резервной копии.

Если полностью переустановить ОС и ПО на компьютере невозможно:

• Восстановите файлы, которые были повреждены вредоносной программой, особенно системные файлы.
• Перезапустите компьютер после завершения его очистки, проверьте, что теперь система «здорова», проведите полное сканирование системы антивирусной программой, включая содержимое всех жестких дисков и оперативной памяти.

6. Заключительный этап

Отчет

Следует написать отчет по инциденту и предоставить его всем заинтересованным лицам. В нем должно быть описано следующее:

• Первоначальное обнаружение
• Предпринятые действия с указанием времени
• Что прошло удачно
• Что пошло не так
• Стоимость инцидента

Продумайте, какие действия нужно предпринять для улучшения процесса выявления вредоносного ПО в Windows, исходя из полученного опыта.