概述

本白皮書提供了有關(guān)一般惡意軟件操作、IDS事件類型、要求、建議和參考的信息。

技術(shù)摘要

惡意軟件（惡意軟件）是旨在破壞系統(tǒng)運行、竊取數(shù)據(jù)或未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的代碼。常見的惡意軟件類型包括病毒、蠕蟲、木馬、僵尸網(wǎng)絡(luò)、勒索軟件、加密挖礦程序和遠(yuǎn)程管理工具(RAT)。系統(tǒng)上惡意軟件的常見流程如下：

1. 毫無戒心的用戶安裝、授權(quán)和/或運行易受攻擊的軟件，這些軟件允許惡意代碼下載有效負(fù)載，從而危害您的系統(tǒng)并用惡意軟件感染您的系統(tǒng)。

2. 一旦您的系統(tǒng)感染惡意軟件，它將與命令和控制基礎(chǔ)設(shè)施(c2)通信以接收指令。

3. 惡意軟件與其c2基礎(chǔ)設(shè)施建立通信后，攻擊者可以根據(jù)惡意軟件的類型和受影響系統(tǒng)的安全狀況執(zhí)行許多不同的操作。

常見的惡意軟件事件類型包括：

• 漏洞利用工具包(EK)–漏洞利用工具包是惡意工具包，用于識別和利用過時的軟件（Java、Flash、Silverlight），以傳播和下載其他惡意軟件。EK是自動化的，不需要用戶交互，但它們確實需要過時的軟件/瀏覽器。這些事件均未確診感染。
• 潛在的惡意下載–惡意下載是包含惡意代碼的文件或應(yīng)用程序，需要用戶在目標(biāo)應(yīng)用程序中打開或運行。惡意下載偽裝成合法軟件，依賴用戶交互來感染主機。這些事件均未確診感染。
• 命令和控制(c2)–命令和控制(c2)用于報告受感染主機的狀態(tài)、泄露數(shù)據(jù)以及向受感染系統(tǒng)發(fā)送命令。C2事件表明您網(wǎng)絡(luò)上的主機感染了惡意軟件。

要求

以下要求將減輕大多數(shù)惡意軟件感染和爆發(fā)的風(fēng)險。這些技術(shù)作為Microsoft Windows環(huán)境的一部分包含在內(nèi)，通常不會產(chǎn)生任何額外的許可費用。

• 授權(quán)軟件的安全策略：這是非常重要的一步，因為它允許信息技術(shù)團隊更有效地管理其系統(tǒng)和網(wǎng)絡(luò)，同時使網(wǎng)絡(luò)安全團隊能夠有效地響應(yīng)事件并向管理層報告。授權(quán)軟件是可以在您組織的信息技術(shù)資源上使用的任何軟件。
• 最小特權(quán)原則(POLP)：最小特權(quán)原則是一個應(yīng)作為網(wǎng)絡(luò)安全策略的一部分應(yīng)用的概念。POLP是限制用戶訪問其履行職責(zé)所需資源的做法。這個概念應(yīng)該應(yīng)用于這些用戶將訪問的組織資源的各個方面。在這種情況下，我們將重點關(guān)注兩個組件來有效保護用戶工作站。

應(yīng)用程序白名單：應(yīng)用程序白名單可防止未經(jīng)授權(quán)的軟件在托管系統(tǒng)上執(zhí)行。這可以很簡單，只需對系統(tǒng)進行基線設(shè)置并僅允許已安裝的內(nèi)容即可減少實施時間。還可以將常見目錄（例如c:\program files\）的應(yīng)用程序列入白名單。這需要適當(dāng)?shù)腤indows 10許可，但是，您也可以使用軟件限制策略(SRP)獲得類似的結(jié)果。

本地管理權(quán)限：這通常是計算機安全中被濫用的一個方面。常見的安全權(quán)限和用戶權(quán)限配置錯誤：

• 用戶賬戶被添加到多個系統(tǒng)的本地管理員組中。
• 本地管理員賬戶使用共享密碼。
• 服務(wù)賬戶被添加到本地管理員組并在工作站上分配用戶權(quán)限，而沒有適當(dāng)?shù)陌踩呗詠砉芾磉@些賬戶。
• 用戶賬戶控制已禁用。POLP概念應(yīng)重點關(guān)注最終用戶賬戶，因為這些賬戶擁有的權(quán)限允許系統(tǒng)感染惡意軟件是更常見的情況。

通過應(yīng)用程序白名單和將用戶賬戶權(quán)限限制為僅需要的安全組的組合，您可以最大限度地減少惡意軟件對系統(tǒng)的影響或完全防止感染。

• 實施POLP時需要考慮的一些注意事項：

使用SRP，您還需要允許系統(tǒng)庫運行，例如允許c:\windows\目錄。此外，您還需要允許系統(tǒng)上正在授權(quán)的應(yīng)用程序的目錄。

Office宏還需要配置Microsoft Office宏，以限制客戶端配置允許用戶在Microsoft Word等文檔中啟用和運行宏。這些文檔通常作為惡意垃圾郵件傳遞，并且可以使用反垃圾郵件設(shè)備或軟件更好地過濾掉。

• Windows Server Update Services (WSUS)：WSUS可用于向托管系統(tǒng)安裝關(guān)鍵安全更新。通過使用WSUS對工作站和服務(wù)器進行相應(yīng)分組以有效定位目標(biāo)系統(tǒng)，可以以最小的中斷來完成此操作。優(yōu)先系統(tǒng)將是最終用戶。

• 從版本3.0開始，WSUS包含本地發(fā)布API，首次允許開發(fā)人員編寫代碼以向WSUS發(fā)布自定義更新。

• https://localupdatepubl.sourceforge.io/

• 基于Windows主機的防火墻：Windows防火墻是由Microsoft創(chuàng)建并內(nèi)置于Windows中的安全應(yīng)用程序，旨在過濾進出Windows系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸，并阻止有害通信和/或啟動這些通信的程序。限制工作站到工作站的通信并啟用入站和出站流量的日志記錄非常重要。

建議

我們有以下建議：

• 建議調(diào)查受影響IP上的主機是否有受到損害的跡象并進行適當(dāng)修復(fù)。
• 建議將對Internet資源的訪問限制為僅授權(quán)主機，并將出站流量限制為僅授權(quán)Internet服務(wù)（例如HTTP/s和FTP）。
• 建議調(diào)查受影響的主機是否有過時的軟件，并在適當(dāng)?shù)臏y試后進行更新。

相關(guān)CIS子控制

• 2.1維護授權(quán)軟件清單——維護企業(yè)中任何業(yè)務(wù)系統(tǒng)上出于任何業(yè)務(wù)目的所需的所有授權(quán)軟件的最新列表。傳感器：軟件應(yīng)用程序清單。
• 2.2確保軟件受供應(yīng)商支持–確保僅將軟件供應(yīng)商當(dāng)前支持的軟件應(yīng)用程序或操作系統(tǒng)添加到組織的授權(quán)軟件清單中。不受支持的軟件應(yīng)在庫存系統(tǒng)中標(biāo)記為不受支持。（映射回WSUS）
• 2.7利用應(yīng)用程序白名單–對所有資產(chǎn)利用應(yīng)用程序白名單技術(shù)，以確保只有授權(quán)的軟件才能執(zhí)行，并且阻止所有未經(jīng)授權(quán)的軟件在資產(chǎn)上執(zhí)行。傳感器：軟件白名單系統(tǒng)。
• 3.4部署自動化操作系統(tǒng)補丁管理工具–部署自動化軟件更新工具，以確保操作系統(tǒng)運行軟件供應(yīng)商提供的最新安全更新。傳感器：補丁管理系統(tǒng)。
• 3.5部署自動化軟件補丁管理工具-部署自動化軟件更新工具，以確保所有系統(tǒng)上的第三方軟件都運行軟件供應(yīng)商提供的最新安全更新。傳感器：補丁管理系統(tǒng)。
• 4.1維護管理賬戶清單–使用自動化工具來清點所有管理賬戶，包括域和本地賬戶，以確保只有經(jīng)過授權(quán)的個人才具有提升的權(quán)限。傳感器：特權(quán)賬戶管理系統(tǒng)。
• 4.3確保使用專用管理賬戶–確保所有具有管理賬戶訪問權(quán)限的用戶使用專用或輔助賬戶進行高級活動。該賬戶只能用于管理活動，不得用于互聯(lián)網(wǎng)瀏覽、電子郵件或類似活動。（POLP）
• 4.4使用唯一密碼–在不支持多重身份驗證的情況下（例如本地管理員、root或服務(wù)賬戶），賬戶將使用該系統(tǒng)唯一的密碼。（POLP）
• 4.8管理組成員身份更改的日志和警報–將系統(tǒng)配置為在將賬戶添加到分配有管理權(quán)限的任何組或從任何組中刪除賬戶時發(fā)出日志條目和警報。（POLP）
• 7.1確保僅使用完全支持的瀏覽器和電子郵件客戶端–確保僅允許在組織中執(zhí)行完全支持的Web瀏覽器和電子郵件客戶端，最好僅使用供應(yīng)商提供的最新版本的瀏覽器和電子郵件客戶端。傳感器：軟件白名單系統(tǒng)
• 7.2禁用不必要或未經(jīng)授權(quán)的瀏覽器或電子郵件客戶端插件–卸載或禁用任何未經(jīng)授權(quán)的瀏覽器或電子郵件客戶端插件或附加應(yīng)用程序。傳感器：軟件白名單系統(tǒng)
• 9.4應(yīng)用基于主機的防火墻或端口過濾–在終端系統(tǒng)上應(yīng)用基于主機的防火墻或端口過濾工具，并使用默認(rèn)拒絕規(guī)則來丟棄除明確允許的服務(wù)和端口之外的所有流量。傳感器：基于主機的防火墻
• 16.8禁用任何未關(guān)聯(lián)的賬戶–禁用任何無法與業(yè)務(wù)流程或企業(yè)所有者關(guān)聯(lián)的賬戶。（POLP）
• 16.9禁用休眠賬戶–在一段不活動時間后自動禁用休眠賬戶。（POLP）