多年以来,IT管理员不得不应对企业中不断演进的Windows操作系统的威胁。Windows系统的攻击范围包括蓝屏、概念验证攻击以及用于剽窃关键业务数据的按键记录器和间谍
软件。本文中专家提出的有关后门程序防护的技巧可以确保桌面、网络以及移动设备的
安全。这些知识,加上杀毒
软件、密码、后门程序检测以及移除最佳实践等等都应该是桌面管理员工具箱的一部分。
什么是后门程序?
后门程序是指能够以管理员身份访问计算机或网络的程序。后门程序能够访问系统的B
ios而且并不总是出于恶意设计的。但是BIOS后门攻击能导致
硬件驱动器被擦除和被重新映像。
事实上,后门程序的源头可能令人震惊,而且可能像
病毒和间谍
软件那样给我们带来麻烦。Sys
internals
安全专家Mark Russinovich曾经发现索尼音频CD上的数字版权管理(DRM)组件在他的计算机上安装了一个后门程序。
F-Secure 芬兰公司的反病毒研究主管Mikko Hypponen说,“这为病毒制造者创造了机会。这些后门程序可能被任意恶意
软件利用,当出现这一局面时,对于像我们这样的公司来说,在正当的
软件与恶意
软件之间做出区分将变得更加困难。”
事实已经证明,除了64位Windows操作系统,虚拟机和智能
手机容易遭受后门程序的攻击,因此学习并应用后门程序检测以及移除的最佳实践将是个不错的主意。
如何发现后门程序?
后门程序已经在很多产品中出现了,包括商业
安全产品以及看似没有问题的第三方应用扩展。并没有一门非常精确的
科学能够找到并移除后门程序,这是因为后门程序可以通过多种方式安装在计算机上。没有单一的工具能够正确地识别所有的后门程序以及类似后门的行为。
为了判断后门程序是否正在运行,可以使用系统进程分析器比如Sysinternals公司的ProcessExplorer或者效果更好的网络分析器。你可能将会对程序所做的一切以及网络适配器上的流量感到吃惊。你可能还会发现负荷过重的系统运行在只有很少
内存或者硬盘驱动器碎片非常严重的机器上。检查一下系统的配置然后运行后门扫描程序。
1.扫描系统内存。当进程被调用时,对所有的入口点进行监控,对可能被欺骗或者重定向到其他函数的输入类库(来自于动态链接库)调用进行追踪,加载设备驱动器,等等。采用这种方法检测后门程序的缺点是单调乏味,消耗时间而且无法计算后门程序被引入到系统中的所有可能的方式。
2.寻求真相——揭露API欺诈。针对Windows的一个后门检测应用是由Windows
安全分析师Bryce Cogswell和Mark Russinovich开发的。这一轻量级的二进制程序监视文件系统位置以及
注册表配置单元,寻找隐藏在Windows API背后的信息:主文件表和活动索引。除此之外,《颠覆Windows内核:后门程序》一书的作者开发了称为VICE的工具,能够调用表和函数指针,系统地捕获API中的欺诈。
3.了解最新的防病毒以及恶意
软件防护程序。
安全厂商比如F-Secure提供了单独的后门程序检测工具。
微软已经在其自己的恶意
软件清除工具中实现了后门程序检测特性。选择最好的扫描工具进行后门程序检测,并将其作为整体
安全防护的一部分是非常重要的,但是你可能还需要进行手动的搜索。
4.防火墙防护升级。请记住,潜在的攻击可能相当隐蔽,一旦
服务器被盗用,
黑客一定能够重新登录到这台机器上。尽管防火墙对应用级的风险毫无办法,但当禁止重新登录到被攻击的机器将给黑客构成重大的挑战。
5.对工作站或
服务器进行加固,应对攻击。首先,这一前瞻性的手段避免了黑客在工作站或
服务器上安装后门程序。可以参考美国国家
安全局发布的对Windows系统进行加固的指南。
如何移除后门程序?
在受害主机上安装后门程序相对容易。为上传后门程序,黑客可能做任何事去找到Windows的脆弱性来破解密码甚至获得物理系统的访问权。他们甚至能够进行钓鱼式攻击,此时黑客引诱用户打开附件中的可执行文件或者点击邮件或即时消息中的超链接。一旦用户执行这些操作,就很难摆脱后门程序了。
由于后门程序的威胁并不像病毒和间谍
软件那样普遍,因此移除后门程序主要是一个应对过程。一旦发现了恶意
软件,你需要清除被感染的Windows文件并在移除后门程序后进行二次检查。
有哪些后门移除工具?
微软的Windows加密、微软
安全软件Microsoft Security Essentials以及Windows BitLocker驱动器加密能够为移除后门程序提供帮助。此外,据微软所说,Windows 8将包括增强
安全性的特性。
除了上文提及的Sysinternals以及F-Secure
安全产品外,还有一些第三方的套件能够移除Windows系统中的后门程序。
例如,Sophos Anti-Rootkit有一个安装程序,必须手动运行。这款程序能够与用户进行更多的交互,但是它扫描系统的速度也更慢。另一个后门程序扫描程序就是Rootkit Hook Analyzer。你可以试用上述所有产品了解哪款产品最符合你的需求。
为什么移除后门程序前要进行备份?
不要忘了在移除后门程序和僵尸网络前进行合理的备份,这让恢复系统变得更加简单。据
安全专家Kevin Beaver所说,使用清洁工具移除后门程序后,可能使Windows处于不稳定或者不可操作的状态,这取决于被感染的文件以及随后进行的清除操作。也许更加糟糕的是,编码良好的后门可能会检测到移除进程而自我销毁,将系统中的数据一同毁灭。
阅读用户指南,以确定你的扫描工具在移除后门程序过程中需要哪些特殊操作。发现并清除后门程序、重新启动Windows操作系统之后,重新对系统进行扫描,再次检查确保系统是干净的,恶意
软件没有重新出现。
此外,解除Windows
安全威胁的最佳方法是阻止恶意
软件影响企业系统和连接到企业网络的重要系统。
仍旧对后门程序感染有些偏执?想确定你的系统足够干净?最好也是最可靠的方式就是重新分区,重新格式化并重新装载Windows操作系统。恢复Windows系统很痛苦,但确实需要关闭无法移除的后门程序时这将是最好的方式。
