|
對于應(yīng)付企業(yè)每日所面臨的各種信息安全威脅來說����,能夠很好的控制企業(yè)網(wǎng)絡(luò)每日流進流出的數(shù)據(jù),是很關(guān)鍵的一步�����。過濾流出企業(yè)的數(shù)據(jù)�,可以有效防止惡意軟件將重要信息泄漏出去或聯(lián)系攻擊方服務(wù)器,比如可以阻止僵尸電腦聯(lián)系服務(wù)器下載病毒的企圖����。本文將向大家介紹Windows下的幾個免費小工具,可以幫助網(wǎng)絡(luò)管理員確認被防火墻攔截的流出數(shù)據(jù)是否存在潛在的安全威脅��。
監(jiān)測潛在威脅
要控制流出企業(yè)的數(shù)據(jù)流���,你必須定期檢查防火墻或路由器的日志文件����,因為這些日志會顯示出任何不正常的數(shù)據(jù)流或惡意的數(shù)據(jù)傳播模式。不正常的輸出數(shù)據(jù)活動可能表現(xiàn)為定期嘗試連接某個遠程地址的某個特殊端口��,或者某個主機定期嘗試連接某個內(nèi)部服務(wù)器�����,而該主機的用戶通常情況是不需要訪問該服務(wù)器的�。下面我們就舉個例子來具體分析一下,假設(shè)公司里有個Windows主機總是通過UDP端口12000嘗試連接一個IP地址位于俄羅斯的主機����。
一旦你確定了公司內(nèi)這個主機的位置(并且通過殺軟對該主機進行了全面掃描),我們就可以使用netstat命令來檢查該主機的網(wǎng)絡(luò)連接狀態(tài)��。使用netstat加上-?參數(shù)可以查看該命令所有可以使用的功能參數(shù)和相應(yīng)的介紹���。下面就是netstat的相關(guān)功能參數(shù)����,可能會在你的調(diào)查工作中用到:
需要注意的是���,雖然使用-b參數(shù)可以列出發(fā)起連接的可執(zhí)行程序名稱����,但是這個參數(shù)也會降低netstat命令的執(zhí)行速度���,而且可能會讓你錯過某個你在尋找的連接����。通過數(shù)字順序排列的方式可以幫助你更好的閱讀命令執(zhí)行的反饋結(jié)果����。
在我們的例子中,我只需要顯示使用UDP協(xié)議的連接�����,因此我們使用-pUDP參數(shù)��,再加上-a,-o和-n參數(shù)�。命令執(zhí)行結(jié)果如下圖所示(我修改了真實的IP地址):
圖A
通過反饋的PID,我們可以在Windows的進程管理器里確定發(fā)起該連接的進程以及相關(guān)的程序��。
圖B
有時候����,直接運行netstat就足夠確定引發(fā)該連接的進程和相關(guān)可執(zhí)行文件了�。但是有時候netstat的結(jié)果會誤導(dǎo)我們�����。在本例中���,我們看到的可疑連接通過PID追溯到的可執(zhí)行程序是explorer.exe��,這是Windowsshell文件�。將該文件上傳到VirusTotal(http://www.virustotal.com)進行分析��,顯示該文件是干凈的���,并沒有被病毒感染或破壞���。因此本例中肯定還存在某個隱形的程序。
進入進程監(jiān)視器
Processmonitor(procmon可以在以下地址下載:http://technet.microsoft.com/en-us/sysinternals/bb896645)是Sysinternals開發(fā)的一款Windows工具�,可以讓管理員實時查看活動的文件系統(tǒng),注冊表和進程/線程活動情況�。該工具采用圖形界面,但同時也支持命令行模式�����。
啟動procmon.exe后,該軟件會理解開始捕獲事件�。你可以將捕獲結(jié)果保存到日志文件以便日后分析。需要注意�����,在某些主機上����,可能會在短時間內(nèi)產(chǎn)生大量事件��,捕獲事件幾分鐘就會積累大量的事件記錄��,同時保存下來的日志文件超大:
圖C
要停止捕獲事件�,選擇File菜單,CaptureEvents�����。在本例中�,我們通過netstat知道可疑連接是由explorer.exe發(fā)起的,因此我們使用進程監(jiān)控工具中的過濾器�,只查看explorer.exe的活動情況。右鍵點擊列表中的任意一個explorer.exe事件�,選擇“include”���。這個動作會忽略其它所有可執(zhí)行文件的記錄:
圖D
當(dāng)然你也可以排除某個程序,這樣就會在當(dāng)前視圖中隱藏該程序的相關(guān)事件������;氐轿覀兊睦又校覀兛梢园l(fā)現(xiàn)捕獲到的連接遠程IP的動作:
圖E
然后我們分析explorer.exe在發(fā)起連接請求前的動作�,可以看到一個不正常的字串:
圖F
看上去好像explorer.exe嘗試讀取注冊表中的某段信息,而且該注冊表信息指向回收站中的某個文件��。對于惡意軟件來說�,這是很常用的在電腦中隱藏自身的方法,所以我們很可能發(fā)現(xiàn)了真正的罪魁禍?zhǔn)���。將文件上傳到VirusTotal進行檢查�,有幾個掃描引擎確認該文件中存在某個古老木馬的變種�����,但是該變種的變化量太大����,導(dǎo)致目前本機安裝的使用病毒特征碼為依據(jù)的殺軟無法將其識別出來�。
上面介紹的只是一個很簡單的例子���,我希望通過這個例子讓大家學(xué)習(xí)到相關(guān)工具的使用方法以及有關(guān)威脅檢測的相關(guān)方法��,幫助大家更好的應(yīng)對企業(yè)辦公環(huán)境的潛在威脅����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
