GB∕ T 40652-2021 信息安全技術(shù) 惡意軟件事件預(yù)防和處理指南（正式版）

ICS35.030GB/T40652—2021惡意軟件事件預(yù)防和處理指南國家市場監(jiān)督管理總局國家標準化管理委員會GB/T40652—2021 I 25規(guī)劃和準備 3 35.2事件響應(yīng)小組 35.3基本預(yù)防措施 45.4安全意識教育 5 55.6惡意軟件防范 6 8 86.2惡意軟件事件發(fā)現(xiàn) 8 8.2惡意軟件事件響應(yīng)計劃 8.3惡意軟件事件遏制 8.4識別被感染主機 8.5惡意軟件的根除 8.6惡意軟件事件溯源 8.7系統(tǒng)恢復(fù) 9經(jīng)驗總結(jié) 附錄A(資料性)惡意軟件事件處理場景 附錄B(資料性)遏制惡意軟件常用技術(shù) IGB/T40652—2021本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。1GB/T40652—2021信息安全技術(shù)惡意軟件事件預(yù)防和處理指南本文件在GB/T20985.1—2017和GB/T20985.2—2020的基礎(chǔ)之上，針對惡意軟件事件的預(yù)防和處理過程給出了進一步指南。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。備指南20985.1—2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理20985.2—2020信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃和準25069信息安全技術(shù)術(shù)語GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.13.23.3防病毒軟件antivirussoftware3.4在計算機程序中插入破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能自我復(fù)制的一組計算機指令或程序代碼。2注：信息可能包括最頻繁訪問的網(wǎng)站或密碼之類的更敏感信息的事項。Rootkit惡意軟件rootkitm防火墻或路由器的配置項，除了明確允許通過的網(wǎng)絡(luò)數(shù)據(jù)外，在默認情況下拒絕其他所有網(wǎng)絡(luò)注：IRT通常被稱為CERT(計算機應(yīng)急響應(yīng)小組)和CSIRT(計算機安全事件響應(yīng)小組)。BIOS:基本輸入輸出系統(tǒng)(BasicInput/OutputHTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)IoT:物聯(lián)網(wǎng)(InternetofThings)IPS:入侵防御系統(tǒng)(Intrusion3GB/T40652—20215規(guī)劃和準備5.1概述GB/T20985.1—2017的5.2和GB/T20985.2—2020的第4章～第11章的指南適用。并且，以下在GB/T20985.1—2017中5.2的c)、d)和GB/T20985.2—2020的第7章基礎(chǔ)上給出如下進一步指南。組建事件響應(yīng)小組時應(yīng)綜合考慮以下內(nèi)容。參照事件處理流程對安全事件響應(yīng)小組成員分配不同的角色。經(jīng)常對小組成員進行安全培訓(xùn)，保證小組成員能及時準確地對惡意軟件事件做出反應(yīng)及進行處理。惡意軟件事件處理人員宜掌握以下技能。a)了解已知的典型惡意軟件感染和傳播的主要特征。c)有一名以上事件處理人員熟練使用計算機取證工具。事件的威脅或影響，以及恢復(fù)信息系統(tǒng)正常工作做出對應(yīng)的決策。惡意軟件事件的常見場景見附錄A。e)有一名以上具備高級語言編程能力的維護人員。c)外包服務(wù)商平時給予定期或不定期安全檢查；d)外包服務(wù)商了解各項業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資突發(fā)安全事件造成的影響進行評估，并在事件發(fā)生后提出快速有效的恢復(fù)信息系統(tǒng)運行的方法；f)外包服務(wù)商提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶的安全意識，便于相關(guān)責(zé)任人明確自4GB/T40652—2021安全事件響應(yīng)小組成員宜配備必要的工具和資源，具體如表1所示。表1惡意軟件事件處理工具和資源工具/資源說明惡意軟件事件處理人員的通訊方式聯(lián)絡(luò)信息組織內(nèi)部和外部小組成員的聯(lián)絡(luò)信息(例如，電話號碼、郵件地址、手機號碼等),以及防病毒軟件提供商和其他事件響應(yīng)小組的聯(lián)絡(luò)信息等在線設(shè)備提供給組織內(nèi)其他小組的即時更新信息、升級信息等互聯(lián)網(wǎng)連接替補方案遭遇嚴重惡意軟件事件以致網(wǎng)絡(luò)無法連接時，需要使用其他方法來尋找有關(guān)新威脅的信息、下載補丁和實時更新分析惡意軟件事件的軟件和硬件工具便攜式計算機用于分析惡意代碼樣本、主機日志及網(wǎng)絡(luò)流量數(shù)據(jù)備用服務(wù)器、網(wǎng)絡(luò)設(shè)備用來在獨立環(huán)境中測試惡意軟件；如果安全事件響應(yīng)小組無法確定額外設(shè)備的代價，可以考慮使用測試實驗室中的設(shè)備，或者使用操作系統(tǒng)仿真軟件建立虛擬實驗室存儲設(shè)備用來保存和傳輸惡意軟件樣本的存儲設(shè)備，如USB盤、光盤等分析工具分別用來抓取數(shù)據(jù)包和分析網(wǎng)絡(luò)流量的包嗅探器和協(xié)議分析儀；最新的未被感染的操作系統(tǒng)和分析工具；用來檢測可能存在惡意軟件感染的軟件(例如，防病毒軟件、惡意軟件專殺工具、系統(tǒng)管理軟件、網(wǎng)絡(luò)取證工具)惡意軟件事件分析資源端口列表包括常用端口和已知木馬和后門端口號相關(guān)文檔包含操作系統(tǒng)、應(yīng)用程序、協(xié)議、反病毒和入侵檢測標記等信息的文檔關(guān)鍵資源目錄關(guān)鍵資源的圖標和目錄，如網(wǎng)站、電子郵件和文件傳輸服務(wù)器基線網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序活動的預(yù)期基線惡意軟件事件處理軟件工具軟件包括操作系統(tǒng)啟動盤、操作系統(tǒng)安裝盤、應(yīng)用程序安裝盤等安全補丁操作系統(tǒng)和應(yīng)用程序供應(yīng)商提供的安全補丁鏡像軟件操作系統(tǒng)、應(yīng)用程序、存儲在輔助存儲設(shè)備中的備份鏡像5.3基本預(yù)防措施在GB/T20985.1—2017的5.2c)和GB/T20985.2—2020的6.4a)基礎(chǔ)上給出如下進一步指南。制定基本預(yù)防措施時應(yīng)綜合考慮以下內(nèi)容：a)限制用戶使用管理員級別的特權(quán)；b)及時升級操作系統(tǒng)和應(yīng)用程序的版本，并及時下載、安裝補丁修復(fù)相關(guān)漏洞；c)指明哪種類型的系統(tǒng)(例如文件服務(wù)器、電子郵件服務(wù)器、代理服務(wù)器)和應(yīng)用程序(例如電子郵件客戶端、瀏覽器)需要哪些對應(yīng)類型的安全預(yù)防軟件(如防病毒軟件、惡意軟件專殺工具),同時為配置和維護軟件列出相關(guān)要求(比如軟件更新頻率、系統(tǒng)掃描范圍);5GB/T40652—2021d)通過組織安全管理部門的批準，方可訪問其他網(wǎng)絡(luò)(包括互聯(lián)網(wǎng));f)對終端設(shè)備設(shè)置BIOS口令；在GB/T20985.1—2017的5.2g)和GB/T20985.2—2020的第10章基礎(chǔ)上給出如下進一步指南。安全意識教育相關(guān)內(nèi)容如下：a)不宜打開未知來源的電子郵件或者電子郵件附件，不通過電子郵件發(fā)送或接收可執(zhí)行文件；b)不宜使用與業(yè)務(wù)不相關(guān)的軟件；c)不宜點擊可疑的瀏覽器彈出式窗口；d)不宜點擊可疑的網(wǎng)絡(luò)地址鏈接；e)不宜訪問可能含有惡意內(nèi)容的網(wǎng)站；f)不宜打開可能與惡意軟件相關(guān)聯(lián)的文件；h)不宜使用管理員級別的賬戶進行常規(guī)操作；i)不宜下載或執(zhí)行來自不可信任(如陌生網(wǎng)站)來源的應(yīng)用程序；j)不宜通過電子郵件回復(fù)金融或個人信息，組織不宜通過電子郵件要求得到這些信息；1)如果收到可疑的附件(如陌生人發(fā)送的郵件),宜通過電話等方式聯(lián)系發(fā)送者確認附件的真m)不宜回復(fù)任何陌生的或無法確認的電子郵件；物特征識別等技術(shù)手段對賬戶信息進行加密保護；o)不宜在互聯(lián)網(wǎng)上隨意登錄組織內(nèi)部的郵箱，宜對垃圾郵件進行及時過濾或清理。5.5脆弱性防范在GB/T20985.1—2017的5.2f)和GB/T20985.2—2020的6.4a)基礎(chǔ)上給出如下進一步指南。進行脆弱性防范時應(yīng)綜合考慮以下內(nèi)容。補丁管理宜做到以下幾點：a)從官方渠道獲取補??；b)評估補丁對系統(tǒng)的影響，在安全隔離的環(huán)境(對其他設(shè)施或系統(tǒng)不造成影響的環(huán)境)測試補丁，并記錄補丁的評估和決策過程；性緩解技術(shù)或安全防御技術(shù)來預(yù)防惡意軟件事件的發(fā)生；d)測試補丁的可利用性時，滿足補丁對組織中每一個易受攻擊的系統(tǒng)都有效，特別是遠程系統(tǒng)(例如遠程辦公系統(tǒng)等)。6GB/T40652—2021使用最小特權(quán)原則宜做到以下幾點：a)對組織內(nèi)的信息系統(tǒng)優(yōu)先利用最小特權(quán)原則；求的最低權(quán)限。a)卸載/禁用與業(yè)務(wù)無關(guān)的服務(wù)或端口，如445端口等；b)刪除不安全的文件共享；c)刪除或者更改操作系統(tǒng)和應(yīng)用程序的默認用戶名和密碼；d)使用網(wǎng)絡(luò)服務(wù)之前對使用者進行身份驗證；在GB/T20985.1—2017的5.2f)和GB/T20985.2—2020的6.4a)基礎(chǔ)上給出如下進一步指南。進行惡意軟件防范措施時應(yīng)綜合考慮以下內(nèi)容。組織部署和管理安全軟件時宜考慮以下要點。b)正確配置防病毒軟件，確保防病毒軟件可以持續(xù)有效地檢測和阻止惡意軟件攻擊。c)對統(tǒng)一集中管理的計算機，由安全管理員定期監(jiān)測防病毒軟件的運行情況。管理員通常負責(zé)d)安全管理員進行定期檢查，確保系統(tǒng)配置正確并正在使用最新的防病毒軟件。e)部署集中管理的防病毒軟件時，組織確保網(wǎng)絡(luò)和服務(wù)器可以滿足日常更新和峰值更新時的需求。是使用與組織中大多數(shù)服務(wù)器和工作站相同的操作系統(tǒng)。g)為提高預(yù)防惡意軟件的能力，在關(guān)鍵系統(tǒng)(例如電子郵件服務(wù)器)中使用多種防病毒產(chǎn)品。i)對用戶進行安全知識培訓(xùn)，出現(xiàn)重大威脅時本地系統(tǒng)管理員和遠程用戶可有效配合執(zhí)行操作。1)用戶在使用防病毒軟件時宜根據(jù)系統(tǒng)提示或安全管理員的要求及時升級軟件、更新病毒特征庫等。7GB/T40652—2021a)掃描系統(tǒng)的關(guān)鍵組件，例如啟動文件和引導(dǎo)記錄等；b)自動對外部存儲設(shè)備(如移動硬盤、USB盤等)和電子郵件附件進行掃描；c)實時檢查系統(tǒng)中的可疑活動，例如掃描所有電子郵件附件防止已知病毒通過電子郵件傳播；d)監(jiān)測常見的應(yīng)用程序，例如瀏覽器、文件傳輸程序以及即時通訊軟件的行為；e)防病毒軟件能監(jiān)測可能被用于感染系統(tǒng)和向其他系統(tǒng)傳播惡意軟件的應(yīng)用程序的活動；f)定期掃描所有硬盤驅(qū)動器，以便確認系統(tǒng)是否受感染；支持選擇性地掃描其他存儲設(shè)備，可以按需求對外部存儲設(shè)備執(zhí)行手動掃描；h)清理注冊表、惡意鎖定主頁等被惡意軟件修改的啟動選項；i)隔離可疑對象；j)定時自動更新病毒庫；k)監(jiān)測在系統(tǒng)啟動時自動加載的進程和程序。5.6.4惡意軟件專殺工具惡意軟件專殺工具宜具備以下功能：a)對特定的惡意軟件目標，能夠快速識別和定位，緩解惡意軟件影響，從系統(tǒng)中根除惡意軟件；b)定期掃描文件，內(nèi)存和配置文件等，檢測可能存在的特定惡意軟件；c)針對某些傳播速度快、容易多次感染的惡意軟件(例如USB盤病毒、勒索病毒等)提供免疫d)針對某些對操作系統(tǒng)功能造成破壞(例如映像劫持、安全模式禁用、任務(wù)管理器禁用、注冊表管e)針對某些感染文件造成文件損壞的惡意軟件，提供修復(fù)文件功能。終端安全軟件能限制主機出入網(wǎng)絡(luò)的活動，既能阻止主機受感染又能阻止主機向外傳播惡意軟件。配置終端安全軟件時宜做到以下幾點：a)為預(yù)防惡意軟件事件，基于主機的防火墻對流入的數(shù)據(jù)采用默認拒絕規(guī)則，推薦組織結(jié)合實際情況對流出的數(shù)據(jù)采用默認拒絕規(guī)則；b)開啟阻止網(wǎng)頁瀏覽器彈出窗口、抑制服務(wù)器緩存文件(Cookies)以及識別網(wǎng)頁和電子郵件中的潛在信息泄漏等功能；c)正確配置終端安全軟件，能實時更新最新的病毒特征庫和軟件模塊；d)為預(yù)防網(wǎng)絡(luò)蠕蟲和其他威脅，可以通過終端安全軟件來保護可直接訪問網(wǎng)絡(luò)的系統(tǒng)。5.6.6應(yīng)用程序設(shè)置預(yù)防惡意軟件事件宜考慮的應(yīng)用程序設(shè)置如下：a)阻止打開和運行可疑電子郵件的附件中的文件；b)過濾可疑內(nèi)容，如過濾垃圾郵件和網(wǎng)站有害內(nèi)容；c)限制可疑內(nèi)容，如限制網(wǎng)頁瀏覽器的服務(wù)器緩存文件(Cookies);d)攔截網(wǎng)頁瀏覽器的彈出式窗口；e)防止自動啟動宏應(yīng)用，如辦公軟件中的軟件宏語言自動運行。8GB/T40652—2021組織宜在網(wǎng)絡(luò)區(qū)域邊界部署網(wǎng)絡(luò)防火墻或IDS、IPS。配置網(wǎng)絡(luò)防火墻或IPS時宜做到以下幾點：b)有效監(jiān)測出攻擊應(yīng)用程序(如電子郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器)的惡c)識別蠕蟲活動和其他形式的惡意軟件，以及像后門和電子郵件生成器這樣的攻擊；f)為降低蠕蟲的傳播速度，考慮對外部系絡(luò)制定限制措施；h)應(yīng)配置網(wǎng)絡(luò)地址轉(zhuǎn)換功能，將內(nèi)部網(wǎng)絡(luò)的私有地址映射成連接到互聯(lián)網(wǎng)中的一個或多個公共i)發(fā)生防病毒軟件和入侵防御系統(tǒng)不能監(jiān)測的重大惡意軟件事件時，更改防火墻規(guī)則以阻止基于網(wǎng)絡(luò)服務(wù)的惡意軟件擴散；j)阻止木馬等惡意軟件訪問外部主機IP地址。6發(fā)現(xiàn)和報告以下惡意軟件事件發(fā)現(xiàn)特定的指南適用。6.2惡意軟件事件發(fā)現(xiàn)在GB/T20985.1—2017的5.3c)基礎(chǔ)上給出如下進一步指南。提前發(fā)現(xiàn)惡意軟件事件的途徑a)惡意軟件預(yù)警公告。防病毒軟件提供商和其他安全相關(guān)組織發(fā)布的有關(guān)新的重大惡意軟件或威脅情報預(yù)警的公告。b)安全設(shè)備告警。惡意軟件的運行會導(dǎo)致防病毒軟件等安全設(shè)備產(chǎn)生相關(guān)告警，這些告警意味著可能會發(fā)生惡意軟件事件。針對常見惡意軟件，表2列出了惡意軟件事件最有可能的跡象。獲得管理員權(quán)限的惡意軟件的跡象沒有在表2中列出。跡象惡意軟件類型復(fù)合型病毒宏病毒網(wǎng)絡(luò)服務(wù)蠕蟲垃圾郵件蠕蟲特洛伊木馬惡意移動代碼后門按鍵記錄Rootkit惡意瀏覽器插件郵件生成器安全設(shè)備防病毒軟件告警√√√√√√√√√√√9GB/T40652—2021表2惡意軟件跡象(續(xù))跡象惡意軟件類型復(fù)合型病毒宏病毒網(wǎng)絡(luò)服務(wù)蠕蟲垃圾郵件蠕蟲特洛伊木馬惡意移動代碼后門按鍵記錄惡意瀏覽器插件郵件生成器安全設(shè)備專殺工具告警√√√防火墻或IPS告警√√√終端安全軟件告警√√可觀察到的主機活動系統(tǒng)無法啟動√√系統(tǒng)啟動時顯示錯誤信息√√系統(tǒng)不穩(wěn)定，并發(fā)生崩潰√√√√√程序啟動緩慢，運行緩慢，或無法運行√√√√√√系統(tǒng)啟動項出現(xiàn)未知進程√√√√非常規(guī)的端口開放√發(fā)送和接受的郵件數(shù)量突然增加√√√文字處理軟件、電子表格等模板更改√瀏覽器配置更改，如主頁更改或出現(xiàn)新的工具條√√文件刪除、崩潰或無法訪問√√√√屏幕出現(xiàn)異常圖案，如奇怪的消息、圖像、重疊或疊加消息框√√√√出現(xiàn)意外的對話框，請求允許運行程序√√觀察到的網(wǎng)絡(luò)活動網(wǎng)絡(luò)流量明顯增加√√√√脆弱服務(wù)(如打開windows共享)的端口掃描和失敗的連接嘗試√√主機和未知遠程系統(tǒng)存在網(wǎng)絡(luò)連接√√√√√√√√事件處理人員在確認惡意軟件事件時宜做到以下幾點。a)事件處理人員首先驗證事件源是否為惡意軟件。在事件源不能輕易確認的情況下，通常假設(shè)事件是由惡意軟件引起并采取對應(yīng)響應(yīng)措施，如果隨后確定不是惡意軟件引起可以更改處理措施。b)事件處理人員與網(wǎng)絡(luò)管理人員等合作，以便于確定數(shù)據(jù)來源。除了常規(guī)的數(shù)據(jù)來源，事件處理人員了解并熟練使用防火墻和路由器日志文件、郵件服務(wù)器和IPS的日志文件。c)在不產(chǎn)生額外威脅前提下，事件處理人員可以在一個被感染的正常系統(tǒng)或者一個惡意軟件測試系統(tǒng)中來研究惡意軟件的行為。d)分析人員準備一個移動存儲設(shè)備，存放最新的檢測工具(例如防病毒軟件、惡意軟件專殺工具)GB/T40652—2021意軟件數(shù)據(jù)庫中尋找這些特性，并以此確定具體是哪種惡意軟件?？梢詤⒖嫉膼阂廛浖匦?)被攻擊的服務(wù)和端口；2)被利用的漏洞；4)可能會受影響的操作系統(tǒng)、設(shè)備、應(yīng)用程序等；5)惡意軟件如何感染系統(tǒng)(例如通過漏洞、錯誤的配置);7)惡意軟件如何傳播以及如何遏制；8)如何從系統(tǒng)中清除該惡意軟件。f)當(dāng)新的安全威脅沒有出現(xiàn)在惡意軟件數(shù)據(jù)庫中時，事件處理人員參考其他信息來源以盡快做7評估和決策GB/T20985.1—2017的5.4和GB/T20985.2—2020的6.4c)中的指南適用。制定評估和決策措施時應(yīng)考慮其中內(nèi)容。8響應(yīng)GB/T20985.1—2017的5.5和GB/T20985.2—2020的6.4d)中的指南適用。并且，以下惡意軟定的指南適用。8.2惡意軟件事件響應(yīng)計劃制定惡意軟件事件響應(yīng)計劃時宜考慮如下因素：b)全面評估惡意軟件事件的傳播范圍d)服務(wù)對象的業(yè)務(wù)和重點決策過程；e)服務(wù)對象的業(yè)務(wù)連續(xù)性；g)確定惡意軟件類型(例如病毒、蠕蟲和特洛伊木馬);h)確定惡意軟件的隱藏位置；遏制惡意軟件常用技術(shù)見附錄B,通過工具軟件遏制惡意軟件事件，宜結(jié)合以下措施：GB/T40652—2021b)掛起或結(jié)束未被授權(quán)的可疑的應(yīng)用程序或進程；c)關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；e)使用命令行管理工具或第三方工具停止所有開放的共享服務(wù)；蟲和后門等惡意軟件文件；h)通過防病毒軟件等自動檢測并遏制；i)通過配置實現(xiàn)拒絕接收具有某些特性的郵件或附件，阻斷惡意軟件通過郵件傳播；絡(luò)把被感染主機從網(wǎng)絡(luò)中斷開；常規(guī)識別被感染主機時宜結(jié)合以下工具或數(shù)據(jù)。c)攻擊特征收集路由器(例如Sinkhole路由器)數(shù)據(jù)，它記錄了所有的網(wǎng)絡(luò)流量。d)應(yīng)用程序服務(wù)器日志。如電子郵件和HTTP服務(wù)器等。e)網(wǎng)絡(luò)取證工具。如網(wǎng)絡(luò)取證分析工具和數(shù)據(jù)包嗅探器。主動識別惡意軟件宜使用如下方法。a)通過編寫本地腳本識別一些惡意軟件。b)自定義防火墻、IPS或IDS特征。制定一個自定義的防火墻、IPS或者IDS特征，可以有效檢c)包嗅探器。配置包嗅探器并尋找特定惡意軟件威脅對應(yīng)的數(shù)據(jù)包，可以有效識別被感染主機。d)漏洞評估軟件。用來識別主機漏洞的軟件也可以檢測一些已知的惡意軟件。e)主機掃描器。如果某個惡意軟件在被感染主機中安裝后門，這些后門程序在運行時會使用某手動識別惡意軟件宜考慮如下因素。GB/T40652—2021b)漏洞未修復(fù)可能會影響準確識別被感染主機，由于系統(tǒng)存在沒有修復(fù)的漏洞時，可能會再次c)一些惡意軟件會刪除其他惡意軟件的痕跡，這將導(dǎo)致部分或全部惡意軟件沒有被檢測到。d)在大規(guī)模惡意軟件事件發(fā)生時，利用準備階段的資產(chǎn)清單，識別被感染的主機，制定有效遏制e)沒有集中管理的環(huán)境下，借助網(wǎng)絡(luò)設(shè)備來定位被感染主機。當(dāng)懷疑主機被感染時，可將其從網(wǎng)絡(luò)中斷開，然后等待該用戶報告斷網(wǎng)。f)先處理確定被感染的主機，對不能確定是否感染的主機，采取事先商定的措施處理。g)向用戶提供惡意軟件相關(guān)信息和工具，如被感染的跡象、防病毒軟件、操作系統(tǒng)或應(yīng)用程序補h)無法識別被感染主機，不能徹底解決惡意軟件事件時，向安全服務(wù)公司尋求幫助。8.5惡意軟件的根除8.5.1典型根除措施根除惡意軟件宜考慮如下措施。b)恢復(fù)被黑客篡改的系統(tǒng)配置，刪除黑客創(chuàng)建的后門賬號。d)根除惡意軟件后，修復(fù)系統(tǒng)缺陷，關(guān)閉危險服務(wù)(如文件共享等)。e)如果惡意軟件無法徹底根除，則重新安裝操作系統(tǒng)、應(yīng)用程序、從已知安全備份中恢復(fù)數(shù)據(jù)。f)部分感染會在數(shù)天、數(shù)周、數(shù)月內(nèi)重復(fù)發(fā)生。事件處理人員需要周期性地進行識別工作，以繼續(xù)尋找被感染的系統(tǒng)，并確保根除工作的成功實施。g)應(yīng)急服務(wù)提供者使用可信的工具進行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具。h)根除后門等惡意軟件時，需要了解攻擊者入侵的方法，制定封堵策略，以防止被二次入侵感染。i)改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號和口令，并增加口令的安全級別。j)增強防護功能。復(fù)查所有防護措施的配置，比如安裝最新的防火墻和防病毒軟件，并及時更新，對未受保護或者保護不夠的系統(tǒng)增加新的防護措施。8.5.2Rootkit根除根除Rootkit時宜注意以下幾點：a)對感染Rootkit或者極有可能感染Rootkit的系統(tǒng)，通過重新安裝和配置操作系統(tǒng)及應(yīng)用程序?qū)崿F(xiàn)根除；b)一個或多個攻擊者得到系統(tǒng)管理員級別訪問權(quán)限，考慮可能感染Rootkit;c)任何人都可以通過一個后門得到非授權(quán)管理員級別訪問權(quán)限，利用蠕蟲或其他方式創(chuàng)建不安e)使用防病毒軟件、惡意軟件專殺工具完成根除工作后，系統(tǒng)不穩(wěn)定或者運行出現(xiàn)異常，按感染Rootkit進行處理。8.6惡意軟件事件溯源惡意軟件事件跟蹤溯源時宜注意以下幾點：GB/T40652—2021服務(wù)器作進一步的探測；軟件產(chǎn)生的攻擊痕跡；并進一步探測其攻擊源頭；9經(jīng)驗總結(jié)GB/T20985.1—2017的5.6和GB/T20985.2—2020的6.4e)、第12章中的指南適用。并且，以下惡意軟件特定的指南適用。給出相應(yīng)的安全建議。最后根據(jù)事件的處理過程總結(jié)經(jīng)驗。這類郵件就可以預(yù)防系統(tǒng)被再次感染。d)部署新的檢測系統(tǒng)或軟件。如果原有的系統(tǒng)或軟件無法有效防御惡意軟件事件，則可以考慮更新對應(yīng)的檢測系統(tǒng)或軟件。e)重新配置惡意軟件的檢測系統(tǒng)或軟件。檢測系統(tǒng)或軟件可能需要按照不同方式重新配置。1)加快軟件和特征庫的更新速度；2)改進檢測的準確性(如更少的誤報和漏報);3)增加監(jiān)控的范圍(如監(jiān)控額外的傳輸機制監(jiān)控額外的文件和系統(tǒng)文件);4)根據(jù)檢測到的惡意軟件改變自動執(zhí)行活動。GB/T40652—2021(資料性)惡意軟件事件處理場景A.1概述惡意軟件引發(fā)的安全事件日漸增多，惡意軟件可導(dǎo)致組織的信息系統(tǒng)運行異常、數(shù)據(jù)丟失和隱私泄漏等安全問題，對信息系統(tǒng)安全造成嚴重威脅。惡意軟件事件處理的實踐是提高惡意軟件事件應(yīng)急處理能力和發(fā)現(xiàn)潛在問題的有效方式。在這些實踐活動中，惡意軟件事件響應(yīng)小組的成員將會了解惡意軟件事件的基本情況，在面對一些相關(guān)的問題時，小組將會討論出現(xiàn)的情況并給出最理想的解決方案。這樣做的目的是明確處理人員在現(xiàn)實中遇到同樣的問題時的處理方法，并且與推薦的策略進行比較，以查明其是否有缺點和不足。如下所列出的問題幾乎適用于所有惡意軟件事件處理情況，每種情況附有相對應(yīng)的問題，組織宜在應(yīng)急處理實踐中考慮這些問題。A.2場景所對應(yīng)的問題場景所對應(yīng)的問題如下：a)準備/預(yù)防：——為了防止這種情況的發(fā)生和減小它的影響，采取了什么措施?b)檢測和分析：——這種惡意事件有哪些前兆呢?如果有的話，組織能檢測到嗎?哪種前兆將促使組織采取預(yù)防措施?———組織能檢測到哪種前兆?哪種前兆將導(dǎo)致人們認為惡意軟件事件可能已經(jīng)發(fā)生了?-——應(yīng)急處理小組怎么樣分析和驗證這類事件?———事件響應(yīng)小組如何確立處理這類事件的優(yōu)先順序?——處理小組采取什么樣的策略來遏制這類事件?這種策略比其他策略好在哪里?——如果這類事件不進行遏制將出現(xiàn)什么情況?d)事后的工作：——哪些成員要參加這次的事件的經(jīng)驗教訓(xùn)會議?——為防止此類事件再次發(fā)生需要做什么?—-—為提高檢測此類事件的能力需要做什么?———除了事件響應(yīng)小組外，在組織內(nèi)還有什么團體或者個人將——小組將把事件報告給哪一外部參與方?每份報告什么時候出?每份報告將怎么做?——在處理此事件時小組使用什么工具和資源?——事件發(fā)生在不同日期和時間，處理的方式有何不同?——如果事件發(fā)生在不同物理地點，處理方式有何不同?GB/T40652—2021A.3.1案例1:蠕蟲和DDoS代理入侵dows漏洞，并且相關(guān)補丁已經(jīng)發(fā)布。蠕蟲通過兩種方式傳播：a)通過電子郵件將自身發(fā)送到能找到的受感染主機的所有地址；b)找尋打開文件共享的主機并發(fā)送自身到該主機。蠕蟲為它發(fā)送的每份副本生成不同的附件名；每個附件隨機生成文件名，蠕蟲也會從超過100個的電子郵件主題中去選擇并找尋類似數(shù)量的電子郵件主體。當(dāng)蠕蟲感染主機時，它會獲得管理權(quán)并嘗試使用文件傳輸協(xié)議從不同IP地址下載DDoS代理(提供代理的IP地址數(shù)量是未知的)。雖然防病毒軟件供應(yīng)商會很快發(fā)出對這種蠕蟲的告警，但在任何供應(yīng)商發(fā)布特征庫之前它下面是為此案例設(shè)置的附加問題：a)事件響應(yīng)小組如何識別所有受感染主機?b)在病毒特征庫發(fā)布之前組織如何去防止蠕蟲進入組織?c)在病毒特征庫發(fā)布之前組織如何去防止蠕蟲由受感染主機傳播?d)組織將會給所有易受攻擊的機器打補丁嗎?該怎么做?e)如果已經(jīng)受到DDoS攻擊的受感染主機在第二天早晨被配置去攻擊另一組織的網(wǎng)站，將怎樣去應(yīng)對這一事件的變化?f)事件響應(yīng)小組將怎樣讓用戶知道事件的狀態(tài)?如果因為蠕蟲而使電子郵件服務(wù)超負荷或者不能用該怎么辦?g)如果有的話，小組將使用什么其他措施去照看目前沒有連接到網(wǎng)絡(luò)的主機(比如旅途中的員A.3.2案例2:外部DDoS攻擊在一個星期日晚上，組織的網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測到大量ping包，并發(fā)出可疑外部DDoS告警。雖然事件處理人員不能確定這個告警是否正確，但他們確認此告警不和任何已知的誤報相匹配。因為DDoS活動使用欺騙性的源IP地址，所以確定組織內(nèi)哪一臺或者哪些主機在進行此項活動需要花費相活動仍在繼續(xù)。調(diào)查結(jié)果顯示，7臺服務(wù)器大概率生成DDoSa)小組將怎樣確認組織內(nèi)哪臺主機在產(chǎn)生此通訊量?其他哪一小組可以協(xié)助事件響應(yīng)小組?b)在確認產(chǎn)生此通訊量的服務(wù)器后，小組將怎樣推斷出是否服務(wù)器受到惡意軟件感染?A.3.3案例3:遠程辦公安全入侵檢測軟件也記錄了一些探測與掃描。入侵檢測分析師斷定這些內(nèi)部IP屬于這個組織的VPN服定了發(fā)動攻擊的外部IP地址，被授權(quán)的用戶ID和相應(yīng)的用戶名。a)假設(shè)該用戶的個人電腦已經(jīng)被下載的游戲中包含的木馬所感染。這將怎樣影響事件的處GB/T40652—2021b)假設(shè)該用戶的個人電腦已經(jīng)被一個網(wǎng)絡(luò)服務(wù)蠕蟲所感染。這將怎樣影響事件的處理呢?A.3.4案例4:應(yīng)用程序崩潰過程中反復(fù)崩潰。接下來，更多其他用戶也反映了類似的問題。大部分的用戶屬于同一組或相關(guān)的組。下面是此案例的附加問題：a)什么惡意軟件導(dǎo)致了電子表格應(yīng)用程序的崩潰?b)為了確定崩潰是惡意軟件引起的需要采取哪些步驟?A.3.5案例5:惡意移動代碼下面是此案例的附加問題：a)事件響應(yīng)小組如何確定什么漏洞或配置導(dǎo)致這種惡意代碼感染系統(tǒng)?b)事件響應(yīng)小組如何確定這些惡意移動代碼來自哪些網(wǎng)站?A.3.6案例6:混合惡意軟件攻擊是通過使用即時消息來傳播的。從安全管理員的初步報告來看，攻擊似乎是由蠕蟲引起的。然而后來的報告表明這種攻擊也涉及Web服務(wù)器和Web客戶端。即時通訊和基于網(wǎng)絡(luò)的攻擊看起來與蠕蟲有下面是此案例的附加問題：a)由于惡意軟件更像是一個混合型的攻擊，那么與處理蠕蟲不同，需要采取什么樣的響應(yīng)措施呢?b)組織首先控制哪種攻擊向量呢?為什么?A.3.7案例7:物聯(lián)網(wǎng)惡意軟件攻擊某互聯(lián)網(wǎng)公司安全研究團隊發(fā)現(xiàn)攻擊者利用惡意軟件VPNFilter感染了全球54個國家的超過50萬臺設(shè)備，品牌包括占據(jù)全球通信設(shè)備市場份額排名前幾位的多家知名企業(yè)。攻擊者通過被感染的下面是此案例的附加問題：A.3.8案例8:通過云計算平臺傳播勒索軟件客戶不經(jīng)意通過云計算平臺傳播了勒索軟件，招聘人員通過電子郵件接收到的簡歷文件感染了勒GB/T40652—2021索病毒，但該文件隨后被轉(zhuǎn)移到自動與云計算平臺同步的文件夾，該文件通過云轉(zhuǎn)發(fā)到組織內(nèi)其他用戶。在該簡歷文件被用戶打開后，勒索軟件會執(zhí)行并加密每個設(shè)備或系統(tǒng)。它不只是感染最初的用戶，還會快速蔓延到其他連接到云同步服務(wù)的用戶和終端。導(dǎo)致用戶的大量主機、服務(wù)器被加密、業(yè)務(wù)系統(tǒng)癱瘓。下面是此案例的附加問題：a)遇到類似事件，事件響應(yīng)小組應(yīng)采取什么措施?b)如何阻止惡意軟件進入云服務(wù)?c)如何阻止惡意軟件在云計算平臺內(nèi)無限制地傳播而進入云服務(wù)?A.3.9案例9:勒索軟件的處理2018年2月，某三甲醫(yī)院遭遇勒索病毒攻擊，全院所有的醫(yī)療系統(tǒng)均無法正常使用，正常就醫(yī)秩序受到嚴重影響；同年8月，某半導(dǎo)體制造公司的三處重要生產(chǎn)基地，均因勒索病毒入侵導(dǎo)致生產(chǎn)停擺。此案例的附加問題為：當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)無法訪問、生產(chǎn)線停產(chǎn)等現(xiàn)象時，是否能100%確定是服務(wù)器感染了勒索病毒?GB/T40652—2021(資料性)本附錄總結(jié)了各種能有效遏制惡意軟件事件的常用技術(shù)，提供了每種技術(shù)在應(yīng)對不同類型惡意軟件和攻擊工具時的效果。為了便于描述，表B.1將各種環(huán)境分為兩大類(可控環(huán)境和不可控環(huán)境),將各種威脅分為兩大類(簡單和復(fù)雜)。a)可控環(huán)境。指一個或多個關(guān)鍵群體可以控制整個組織內(nèi)的服務(wù)器和工作站的操作系統(tǒng)以及應(yīng)組織內(nèi)部能夠保持一個持續(xù)的安全態(tài)勢。b)不可控環(huán)境。指系統(tǒng)所有者和用戶只能控制各自的系統(tǒng)，通常使用的是管理員權(quán)限。盡管系c)簡單威脅。簡單威脅只擁有幾個簡單的特征。例如，某個大規(guī)模郵件蠕蟲只是使用固定的主題并且附件名只有三個固定的名稱，那么這個蠕蟲就是一個簡單的威脅。如果一個后門只使d)復(fù)雜威脅。復(fù)雜威脅可能有成百上千種特征；有些復(fù)雜的威脅甚至?xí)S即產(chǎn)生一些特征。例如，某大規(guī)模郵件蠕蟲使用50個主題和50個文件名，并隨機產(chǎn)生發(fā)送者地址、郵件內(nèi)容和附載。比起簡單威脅，復(fù)雜威脅通常更難遏制。表B.1提供的是在可控環(huán)境中處理簡單威脅的表B.1不同環(huán)境下遏制技術(shù)的效果對比技術(shù)簡單威脅，可控環(huán)境不可控環(huán)境下的顯著差異復(fù)雜威脅的顯著差異安全工具區(qū)域邊界防病毒設(shè)備能夠非常有效地阻止所有企圖通過網(wǎng)絡(luò)監(jiān)控點(例如網(wǎng)絡(luò)防火墻)的已知類型惡意軟件；能有效阻止一些未知惡意軟件防病毒軟件能非常有效地阻止企圖感染主因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件惡意軟件專殺工具(通常基于主機)能非常有效地阻止企圖感染主機(例如，個人電腦、服務(wù)器)的已知特定類型惡意軟件；能有效阻止一些未知類型惡意軟件因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件網(wǎng)絡(luò)入侵防御系統(tǒng)能有效阻止大部分企圖通過網(wǎng)絡(luò)監(jiān)控點(例如IPS)的已知類型蠕蟲；某些情況下，可以有效阻止未知蠕蟲；能有效識別和阻止使用后門檢測準確率很低，如果威脅具有隨機特征，通常無法有效檢測表B.1不同環(huán)境下遏制技術(shù)的效果對比(續(xù))技術(shù)簡單威脅，可控環(huán)境不可控環(huán)境下的顯著差異復(fù)雜威脅的顯著差異終端安全軟件有時能有效阻止企圖攻擊主機出企圖更改關(guān)鍵系統(tǒng)文件的惡意軟件主機可能使用過期、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件；如果軟件配置錯誤，也會降低檢測的準確性檢測準確率很低基于網(wǎng)絡(luò)的垃圾郵件過濾能夠非常有效地阻止利用郵件傳播的已知惡意軟件檢測準確率很低，如果威脅具有隨機特征，通常無法有效檢測基于主機的垃圾郵件過濾能夠非常有效地阻止利用郵件傳播的已知惡意軟件效率不高，因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件檢測準確率很低，如果威脅具有隨機特征，通常無法有效檢測基于網(wǎng)絡(luò)的Web內(nèi)容過濾能有效阻止基于Web的已知惡意軟件通常效率較低，因為檢測準確率很低基于主機的Web內(nèi)容過濾能有效阻止基于Web的已知惡意軟件效率不高，因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件通常效率較低，因為檢測準確率很低網(wǎng)絡(luò)配置更改網(wǎng)絡(luò)防火墻可以阻止通過固定端口傳播的蠕蟲進入或離開網(wǎng)絡(luò)；可以有效阻止對服務(wù)和主機的訪問，能有效預(yù)防非授權(quán)主機產(chǎn)生的郵件離開組織的網(wǎng)絡(luò)，能有效阻止主機訪問惡意軟件產(chǎn)生的攻擊者IP地址，同時阻止攻擊者IP地址對該網(wǎng)絡(luò)的訪問如果需要阻止的攻擊者IP地址太多，效率可能會受影響終端安全軟件能非常有效地預(yù)防網(wǎng)絡(luò)服務(wù)蠕器);能有效預(yù)防被感染主機產(chǎn)郵件生成器)效率不高，因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件互聯(lián)網(wǎng)邊界路由器可以有效預(yù)防利用網(wǎng)絡(luò)服務(wù)傳播的蠕蟲進入組織的網(wǎng)絡(luò)；能有效阻止主機訪問惡意軟件(例錄器、惡意瀏覽器插件)產(chǎn)生的攻擊者IP地址，同時阻止攻擊者IP地址對該網(wǎng)絡(luò)的訪問如果需要阻止的攻擊者IP地址太多，效率可能會受影響表B.1不同環(huán)境下遏制技術(shù)的效果對比(續(xù))技術(shù)簡單威脅，可控環(huán)境不可控環(huán)境下的顯著差異復(fù)雜威脅的顯著差異內(nèi)部路由器可以有效預(yù)防利用網(wǎng)絡(luò)服務(wù)的止訪問主機惡意軟件產(chǎn)生的攻擊者IP地址，同時阻止攻擊者IP地址對該網(wǎng)絡(luò)的訪問；能有效阻止被感染主機產(chǎn)生的郵件發(fā)送活動如果需要阻止的攻擊者IP地址太多，效率可能會受影響主機配置更改主機加固(包括安裝補能有效阻止利用主機漏洞或不安全設(shè)置的惡意軟件產(chǎn)生的額外感染打補丁或沒有適當(dāng)加固郵件服務(wù)器設(shè)置(例如阻止郵件附件)能有效阻止基于郵件的惡意軟件使用組織的郵件服務(wù)通常無法檢測組織服務(wù)器上其他服務(wù)的設(shè)置有時可以有效阻止網(wǎng)絡(luò)服務(wù)蠕蟲通常無法檢測應(yīng)用程序客戶端設(shè)置(例如，限制郵件客戶端和瀏覽器中的移動代碼執(zhí)行)能有效阻止特定的惡意軟件某些設(shè)置(例如，手動更改設(shè)置，運行分發(fā)的工具或腳本)技術(shù)惡意軟件類型復(fù)合型病毒宏病毒網(wǎng)絡(luò)服務(wù)蠕蟲大規(guī)模郵件蠕蟲木馬惡意移動代碼后門按鍵記錄器Rootkit惡意瀏覽器插件郵件生成器安全工具區(qū)域邊界防病毒設(shè)備HHHHHHH