概述

本白皮書提供了有關一般惡意軟件操作、IDS事件類型、要求、建議和參考的信息。

技術摘要

惡意軟件（惡意軟件）是旨在破壞系統運行、竊取數據或未經授權訪問網絡的代碼。常見的惡意軟件類型包括病毒、蠕蟲、木馬、僵尸網絡、勒索軟件、加密挖礦程序和遠程管理工具(RAT)。系統上惡意軟件的常見流程如下：

1. 毫無戒心的用戶安裝、授權和/或運行易受攻擊的軟件，這些軟件允許惡意代碼下載有效負載，從而危害您的系統并用惡意軟件感染您的系統。

2. 一旦您的系統感染惡意軟件，它將與命令和控制基礎設施(c2)通信以接收指令。

3. 惡意軟件與其c2基礎設施建立通信后，攻擊者可以根據惡意軟件的類型和受影響系統的安全狀況執行許多不同的操作。

常見的惡意軟件事件類型包括：

• 漏洞利用工具包(EK)–漏洞利用工具包是惡意工具包，用于識別和利用過時的軟件（Java、Flash、Silverlight），以傳播和下載其他惡意軟件。EK是自動化的，不需要用戶交互，但它們確實需要過時的軟件/瀏覽器。這些事件均未確診感染。
• 潛在的惡意下載–惡意下載是包含惡意代碼的文件或應用程序，需要用戶在目標應用程序中打開或運行。惡意下載偽裝成合法軟件，依賴用戶交互來感染主機。這些事件均未確診感染。
• 命令和控制(c2)–命令和控制(c2)用于報告受感染主機的狀態、泄露數據以及向受感染系統發送命令。C2事件表明您網絡上的主機感染了惡意軟件。

要求

以下要求將減輕大多數惡意軟件感染和爆發的風險。這些技術作為Microsoft Windows環境的一部分包含在內，通常不會產生任何額外的許可費用。

• 授權軟件的安全策略：這是非常重要的一步，因為它允許信息技術團隊更有效地管理其系統和網絡，同時使網絡安全團隊能夠有效地響應事件并向管理層報告。授權軟件是可以在您組織的信息技術資源上使用的任何軟件。
• 最小特權原則(POLP)：最小特權原則是一個應作為網絡安全策略的一部分應用的概念。POLP是限制用戶訪問其履行職責所需資源的做法。這個概念應該應用于這些用戶將訪問的組織資源的各個方面。在這種情況下，我們將重點關注兩個組件來有效保護用戶工作站。

應用程序白名單：應用程序白名單可防止未經授權的軟件在托管系統上執行。這可以很簡單，只需對系統進行基線設置并僅允許已安裝的內容即可減少實施時間。還可以將常見目錄（例如c:\program files\）的應用程序列入白名單。這需要適當的Windows 10許可，但是，您也可以使用軟件限制策略(SRP)獲得類似的結果。

本地管理權限：這通常是計算機安全中被濫用的一個方面。常見的安全權限和用戶權限配置錯誤：

• 用戶賬戶被添加到多個系統的本地管理員組中。
• 本地管理員賬戶使用共享密碼。
• 服務賬戶被添加到本地管理員組并在工作站上分配用戶權限，而沒有適當的安全策略來管理這些賬戶。
• 用戶賬戶控制已禁用。POLP概念應重點關注最終用戶賬戶，因為這些賬戶擁有的權限允許系統感染惡意軟件是更常見的情況。

通過應用程序白名單和將用戶賬戶權限限制為僅需要的安全組的組合，您可以最大限度地減少惡意軟件對系統的影響或完全防止感染。

• 實施POLP時需要考慮的一些注意事項：

使用SRP，您還需要允許系統庫運行，例如允許c:\windows\目錄。此外，您還需要允許系統上正在授權的應用程序的目錄。

Office宏還需要配置Microsoft Office宏，以限制客戶端配置允許用戶在Microsoft Word等文檔中啟用和運行宏。這些文檔通常作為惡意垃圾郵件傳遞，并且可以使用反垃圾郵件設備或軟件更好地過濾掉。

• Windows Server Update Services (WSUS)：WSUS可用于向托管系統安裝關鍵安全更新。通過使用WSUS對工作站和服務器進行相應分組以有效定位目標系統，可以以最小的中斷來完成此操作。優先系統將是最終用戶。

• 從版本3.0開始，WSUS包含本地發布API，首次允許開發人員編寫代碼以向WSUS發布自定義更新。

• https://localupdatepubl.sourceforge.io/

• 基于Windows主機的防火墻：Windows防火墻是由Microsoft創建并內置于Windows中的安全應用程序，旨在過濾進出Windows系統的網絡數據傳輸，并阻止有害通信和/或啟動這些通信的程序。限制工作站到工作站的通信并啟用入站和出站流量的日志記錄非常重要。

建議

我們有以下建議：

• 建議調查受影響IP上的主機是否有受到損害的跡象并進行適當修復。
• 建議將對Internet資源的訪問限制為僅授權主機，并將出站流量限制為僅授權Internet服務（例如HTTP/s和FTP）。
• 建議調查受影響的主機是否有過時的軟件，并在適當的測試后進行更新。

相關CIS子控制

• 2.1維護授權軟件清單——維護企業中任何業務系統上出于任何業務目的所需的所有授權軟件的最新列表。傳感器：軟件應用程序清單。
• 2.2確保軟件受供應商支持–確保僅將軟件供應商當前支持的軟件應用程序或操作系統添加到組織的授權軟件清單中。不受支持的軟件應在庫存系統中標記為不受支持。（映射回WSUS）
• 2.7利用應用程序白名單–對所有資產利用應用程序白名單技術，以確保只有授權的軟件才能執行，并且阻止所有未經授權的軟件在資產上執行。傳感器：軟件白名單系統。
• 3.4部署自動化操作系統補丁管理工具–部署自動化軟件更新工具，以確保操作系統運行軟件供應商提供的最新安全更新。傳感器：補丁管理系統。
• 3.5部署自動化軟件補丁管理工具-部署自動化軟件更新工具，以確保所有系統上的第三方軟件都運行軟件供應商提供的最新安全更新。傳感器：補丁管理系統。
• 4.1維護管理賬戶清單–使用自動化工具來清點所有管理賬戶，包括域和本地賬戶，以確保只有經過授權的個人才具有提升的權限。傳感器：特權賬戶管理系統。
• 4.3確保使用專用管理賬戶–確保所有具有管理賬戶訪問權限的用戶使用專用或輔助賬戶進行高級活動。該賬戶只能用于管理活動，不得用于互聯網瀏覽、電子郵件或類似活動。（POLP）
• 4.4使用唯一密碼–在不支持多重身份驗證的情況下（例如本地管理員、root或服務賬戶），賬戶將使用該系統唯一的密碼。（POLP）
• 4.8管理組成員身份更改的日志和警報–將系統配置為在將賬戶添加到分配有管理權限的任何組或從任何組中刪除賬戶時發出日志條目和警報。（POLP）
• 7.1確保僅使用完全支持的瀏覽器和電子郵件客戶端–確保僅允許在組織中執行完全支持的Web瀏覽器和電子郵件客戶端，最好僅使用供應商提供的最新版本的瀏覽器和電子郵件客戶端。傳感器：軟件白名單系統
• 7.2禁用不必要或未經授權的瀏覽器或電子郵件客戶端插件–卸載或禁用任何未經授權的瀏覽器或電子郵件客戶端插件或附加應用程序。傳感器：軟件白名單系統
• 9.4應用基于主機的防火墻或端口過濾–在終端系統上應用基于主機的防火墻或端口過濾工具，并使用默認拒絕規則來丟棄除明確允許的服務和端口之外的所有流量。傳感器：基于主機的防火墻
• 16.8禁用任何未關聯的賬戶–禁用任何無法與業務流程或企業所有者關聯的賬戶。（POLP）
• 16.9禁用休眠賬戶–在一段不活動時間后自動禁用休眠賬戶。（POLP）