入侵系统的攻击者总是被一个主要目的所驱使。比如炫耀技术,获取企业机密数据,破坏企业正常业务流程等。有时,在入侵后,攻击者的攻击行为从一个目的变成了另一个目的。比如它本来是在炫耀技术,但是进入系统后发现了一些重要的机密数据。在利益的驱使下,攻击者最终窃取了这些机密数据。
但攻击者入侵系统的目的不同,所以使用的攻击手段也会不同,造成的影响范围和损失也不尽相同。所以在处理不同的系统入侵事件时,要对症下药,不同类型的系统入侵要用不同的方法解决。只有这样,才能达到有的放矢的目的,达到最佳的治疗效果。
第一,以炫耀技术为目的的系统入侵恢复
一些攻击者入侵系统只是为了向同行或其他人炫耀他们高超的网络技术,或者试验一个系统漏洞。对于这种系统入侵,攻击者通常会在被入侵的系统中留下一些证据,证明自己已经成功入侵系统,有时还会在网上的某个论坛上公布自己的入侵结果。比如攻击者入侵了一个WEB服务器,他们会通过改变这个网站的主页信息来表明自己已经入侵了这个系统,或者安装一个后门,让被入侵的系统成为他的肉鸡,然后公开出售或者在一些论坛上发布,宣布自己已经入侵了某一个。也就是说,我们可以将这类系统入侵细分为以控制系统为目的的系统入侵和以修改服务内容为目的的系统入侵。
对于旨在修改服务内容的系统入侵活动,可以在不停机的情况下完成系统恢复。
1.应采用的处理方法
(1)建立被入侵系统当前完整的系统快照,或者只保存被修改部分的快照,以备日后分析取证。
(2)立即通过备份恢复被修改的网页。
(3)在Windows系统下,通过网络监控软件或“netstat -an”命令检查系统当前的网络连接。如果发现任何异常网络连接,应立即断开。然后通过查看系统进程、服务,分析系统和服务的日志文件,可以查看系统攻击者在系统中还做了哪些操作,从而进行相应的恢复。
(4)通过分析系统日志文件或漏洞检测工具,了解攻击者入侵系统所利用的漏洞。如果攻击者利用系统或网络应用的漏洞入侵系统,那么就要找到相应的系统或应用漏洞补丁来修复。如果目前没有针对这些漏洞的补丁,我们应该使用其他手段来暂时阻止再次利用这些漏洞的入侵活动。如果攻击者通过其他手段入侵系统,比如社会工程,而系统中没有新的漏洞,那么就不需要做这一步,但是需要了解和训练社会工程攻击的目标。
(5)修复系统或应用漏洞后,还应增加相应的防火墙规则,防止此类事件的再次发生。如果安装了IDS/IPS和防病毒软件,它们的功能库也应该升级。
(6)最后,使用系统或相应的应用程序检测软件对系统或服务进行彻底的漏洞检测,并确保其检测特征库在检测前是最新的。所有工作完成后,在接下来的时间里要指派专人对系统进行实时监控,确保系统不会再次受到此类入侵事件的攻击。
如果攻击者攻击系统是为了控制系统成为肉鸡,那么他们就会在系统中安装相应的后门程序,以便长期控制系统。同时,为了防止被系统用户或管理员发现,攻击者会想尽一切办法将自己的操作痕迹隐藏在系统和自己安装的后门中。
因此,我们只能通过检查系统进程、网络连接状态和端口使用情况来了解系统是否已经被攻击者控制。如果确定系统已经成为攻击者的肉鸡,那么入侵恢复应该通过以下方式进行:
(1)立即分析系统被入侵的具体时间,当前影响的范围和严重程度,然后构建被入侵系统的快照,保存当前的破坏状态,以供以后分析和取证。
(2)使用网络连接监控软件或端口监控软件检测系统当前的网络连接和端口使用情况。如果发现任何非法网络连接,立即将其全部断开,并在防火墙中为该IP或端口添加禁用规则。
(3)通过Windows任务管理器检查是否有非法进程或服务运行,发现非法进程立即结束。但是,一些通过特殊处理的后门进程不会出现在Windows任务管理器中。这时候我们就可以利用Icesword等工具找到这些隐藏的进程、服务和加载的内核模块,然后完成它们的任务。
但有时我们无法通过这些方法终止一些后门程序的进程,只能暂停业务,转到安全模式运行。如果在安全模式下无法完成这些后门流程,只能备份业务数据,将系统恢复到安全时间段,再恢复业务数据。
这样,就会造成业务中断。所以处理速度要尽可能快,减少业务中断带来的影响和损失。有时,我们还应该检查系统服务中是否存在非法注册的后门服务。这可以通过打开控制面板-管理工具中的服务来检查,所有发现的非法服务将被禁用。
(4)在搜索后门进程和服务时,应该记录下所有找到的进程和服务的名称,然后在系统注册表和系统分区中搜索这些文件,并删除所有与这个后门相关的数据。您还应该删除开始菜单-所有程序-开始菜单项中的所有内容。
(5)分析系统日志,找出攻击者通过什么方式入侵系统,在系统中做了什么样的操作。然后更正攻击者在系统中所做的所有更改。如果他通过利用系统或应用程序漏洞入侵系统,他应该找到相应的漏洞补丁来修复这个漏洞。
如果目前没有针对该漏洞的相关补丁,我们应该使用其他安全措施,比如通过防火墙阻断部分IP地址的网络连接,暂时阻止通过这些漏洞的入侵攻击,并时刻关注该漏洞的最新状态,出现相关补丁时应立即进行修改。修补系统和应用程序可以由相应的软件自动完成。
(6)完成系统修复工作后,还应使用漏洞检测工具对系统和应用程序进行全面的漏洞检测,确保不存在系统或应用程序漏洞。还要手动检查系统中是否添加了新的用户账号,攻击者是否修改了相应的安装设置,比如修改防火墙过滤规则、IDS/IPS的检测灵敏度、启用攻击者禁用的服务和安全软件等。
2.进一步保证入侵恢复的结果。
(1)、修改系统管理员或其他用户的帐户名和登录密码;
(2)修改数据库或其他应用程序的管理员和用户的帐户名和登录密码;
(3)检查防火墙规则;
(4)如果系统中安装了杀毒软件和IDS/IPS,分别更新其病毒库和攻击特征库;
(5)重置用户权限;
(6)重置文件的访问控制规则;
(7)重置数据库的访问控制规则;
(8)修改系统中所有与网络操作相关的账户的名称和登录密码。
当我们完成上面显示的所有系统恢复和修复任务时,我们可以对系统和服务进行完整备份,并将新的完整备份与旧的完整备份分开保存。
这里需要注意的是,对于以控制系统为目的的入侵活动,攻击者会想尽办法对用户隐藏自己。除了修改或删除系统和防火墙生成的与他操作相关的日志文件,老练的黑客还会通过一些软件修改他们创建和修改的文件的基本属性信息,包括文件的最后访问时间和修改时间,防止用户通过查看文件属性得知系统已经被入侵。因此,在检查系统文件是否被修改时,应使用RootKit Revealer等软件检查文件完整性。
二。以获取或破坏系统中的机密数据为目的的系统入侵恢复
现在,企业IT资源中最有价值的,当然是存在于这些设备中的各种机密数据。目前大多数攻击者以获取企业机密数据为目的入侵相应系统,从而通过出售这些窃取的机密数据获取非法利益。
如果企业的机密数据是以文件的形式直接存储在系统中某个分区的文件夹中,并且这些文件夹没有经过加密或其他安全手段的保护,那么攻击者在入侵系统后就很容易得到这些机密数据。然而,目前相当一部分中小企业仍在使用这种没有安全防范措施的文件存储方式,为攻击者提供了极大的便利。
然而,目前大多数中小企业都将数据保存在专门的存储设备上。此外,这些用于存储机密数据的存储设备通常使用硬件防火墙来进行进一步的安全防范。因此,当攻击者入侵系统时,要想获取这些存储设备中的机密数据,就必须对这些设备进行进一步的入侵攻击,或者使用网络嗅探器获取内部局域网中传输的机密数据。
对于一些中小企业来说,机密数据可以说是一种生命,比如客户档案、生产计划、新产品研究档案、新产品图库等。如果这些数据泄露给竞争对手,可能会造成被入侵企业的破产。挽救以获取和破坏系统中机密数据为目的的系统入侵活动的最好方法是在数据库被攻破之前阻止入侵的进一步发展,以最大限度地减少入侵造成的数据损失。
想象一下,如果当我们发现系统被入侵时,所有的机密数据已经被完全泄露或删除了。即使我们通过备份恢复了被删除的数据,但机密数据泄露造成的损失仍然没有减少。因此,我们必须及时发现这种方式的系统入侵,只有在攻击者获得或删除机密数据之前,我们的恢复工作才有意义。
当然,无论机密数据是否丢失,系统被入侵后,恢复工作还是要做的。对于以获取或销毁机密数据为目的的系统入侵活动,我们仍然可以将这类入侵活动细分为两类:尚未获取或销毁机密数据的入侵活动和已经获取或销毁机密数据的入侵活动,根据入侵活动已经达到的阶段。
