用簡單的工具從防火墻追蹤惡意軟件

對于應付企業(yè)每日所面臨的各種信息安全威脅來說，能夠很好的控制企業(yè)網絡每日流進流出的數據，是很關鍵的一步。過濾流出企業(yè)的數據，可以有效防止惡意軟件將重要信息泄漏出去或聯系攻擊方服務器，比如可以阻止僵尸電腦聯系服務器下載病毒的企圖。本文將向大家介紹Windows下的幾個免費小工具，可以幫助網絡管理員確認被防火墻攔截的流出數據是否存在潛在的安全威脅。

監(jiān)測潛在威脅

要控制流出企業(yè)的數據流，你必須定期檢查防火墻或路由器的日志文件，因為這些日志會顯示出任何不正常的數據流或惡意的數據傳播模式。不正常的輸出數據活動可能表現為定期嘗試連接某個遠程地址的某個特殊端口，或者某個主機定期嘗試連接某個內部服務器，而該主機的用戶通常情況是不需要訪問該服務器的。下面我們就舉個例子來具體分析一下，假設公司里有個Windows主機總是通過UDP端口12000嘗試連接一個IP地址位于俄羅斯的主機。

一旦你確定了公司內這個主機的位置(并且通過殺軟對該主機進行了全面掃描)，我們就可以使用netstat命令來檢查該主機的網絡連接狀態(tài)。使用netstat加上-?參數可以查看該命令所有可以使用的功能參數和相應的介紹。下面就是netstat的相關功能參數，可能會在你的調查工作中用到:

需要注意的是，雖然使用-b參數可以列出發(fā)起連接的可執(zhí)行程序名稱，但是這個參數也會降低netstat命令的執(zhí)行速度，而且可能會讓你錯過某個你在尋找的連接。通過數字順序排列的方式可以幫助你更好的閱讀命令執(zhí)行的反饋結果。

在我們的例子中，我只需要顯示使用UDP協議的連接，因此我們使用-pUDP參數，再加上-a,-o和-n參數。命令執(zhí)行結果如下圖所示(我修改了真實的IP地址)：

圖A

通過反饋的PID，我們可以在Windows的進程管理器里確定發(fā)起該連接的進程以及相關的程序。

圖B

有時候，直接運行netstat就足夠確定引發(fā)該連接的進程和相關可執(zhí)行文件了。但是有時候netstat的結果會誤導我們。在本例中，我們看到的可疑連接通過PID追溯到的可執(zhí)行程序是explorer.exe，這是Windowsshell文件。將該文件上傳到VirusTotal(http://www.virustotal.com)進行分析，顯示該文件是干凈的，并沒有被病毒感染或破壞。因此本例中肯定還存在某個隱形的程序。

進入進程監(jiān)視器

Processmonitor(procmon可以在以下地址下載：http://technet.microsoft.com/en-us/sysinternals/bb896645)是Sysinternals開發(fā)的一款Windows工具，可以讓管理員實時查看活動的文件系統(tǒng)，注冊表和進程/線程活動情況。該工具采用圖形界面，但同時也支持命令行模式。

啟動procmon.exe后，該軟件會理解開始捕獲事件。你可以將捕獲結果保存到日志文件以便日后分析。需要注意，在某些主機上，可能會在短時間內產生大量事件，捕獲事件幾分鐘就會積累大量的事件記錄，同時保存下來的日志文件超大：

圖C

要停止捕獲事件，選擇File菜單，CaptureEvents。在本例中，我們通過netstat知道可疑連接是由explorer.exe發(fā)起的，因此我們使用進程監(jiān)控工具中的過濾器，只查看explorer.exe的活動情況。右鍵點擊列表中的任意一個explorer.exe事件，選擇“include”。這個動作會忽略其它所有可執(zhí)行文件的記錄：

圖D

當然你也可以排除某個程序，這樣就會在當前視圖中隱藏該程序的相關事件。回到我們的例子中，我們可以發(fā)現捕獲到的連接遠程IP的動作：

圖E

然后我們分析explorer.exe在發(fā)起連接請求前的動作，可以看到一個不正常的字串：

圖F

看上去好像explorer.exe嘗試讀取注冊表中的某段信息，而且該注冊表信息指向回收站中的某個文件。對于惡意軟件來說，這是很常用的在電腦中隱藏自身的方法，所以我們很可能發(fā)現了真正的罪魁禍首。將文件上傳到VirusTotal進行檢查，有幾個掃描引擎確認該文件中存在某個古老木馬的變種，但是該變種的變化量太大，導致目前本機安裝的使用病毒特征碼為依據的殺軟無法將其識別出來。

上面介紹的只是一個很簡單的例子，我希望通過這個例子讓大家學習到相關工具的使用方法以及有關威脅檢測的相關方法，幫助大家更好的應對企業(yè)辦公環(huán)境的潛在威脅。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]