Quali elementi dovrebbero essere presenti in una lista di controllo per la riparazione del malware? [chiuso]

Naviga le tue risposte
0

Modifica: supponiamo che Windows 7 e potenzialmente Windows Server 2003/2008.

IMHO, ogni macchina che ha malware dovrebbe essere reimmaginata / riformattata / reinstallata dal SO prima che venga distribuita nuovamente nell'ambiente. Tuttavia, questo non è sempre pratico. Se il tipo di malware può essere identificato e potenzialmente rimosso, a volte il business impone che una macchina venga risolta. Quindi, la mia domanda presuppone che la direzione insista sul fatto che una macchina viene risolta e ha accettato il rischio di farlo. Inoltre, si supponga che tutte le analisi delle cause alla radice sull'infezione siano già state completate. Vorrei creare una lista di cose da guardare con l'obiettivo di invertire le modifiche apportate dal malware a un sistema.

Modifica: a causa della natura ampia di questo, forse coloro che hanno familiarità con l'analisi del malware possono commentare le cose più comuni che vedono il malware cambiare su un sistema correlato al mantenimento della persistenza anche se il malware è disabilitato / rimosso. (ad es. creare un account o altra backdoor che consenta l'accesso remoto a un sistema). Ovviamente, ci sono interi libri e corsi su questo argomento. Questo non è inteso per essere completo. Piuttosto, si tratta di una lista di cose comuni da verificare / correggere per una situazione in cui la reinstallazione del sistema operativo non è un'opzione e si ritiene che il malware sia già stato rimosso.

Ecco alcuni esempi: 

*review all autostart locations and verify persistence mechanisms are removed
*multiple virus/malware scans of the drive slaved to another system (using multiple tools)
*all local/network account passwords changed
*local accounts/groups reviewed for issues (e.g., new accounts)
*etc/hosts file reviewed
*sfc /scannow
*review firewall configuration
*review MBR
*review and file/folders created/modified at the time of compromise.
*review $MFT for timestomping (assumes NTFS)

Anche se sono d'accordo sul fatto che un re-imaging sia molto più semplice e una soluzione migliore, ho pensato che sarebbe una buona idea sviluppare una procedura ottimale per tentare di verificare che una macchina sia stata riparata. Molti di questi passaggi rientrano anche nella categoria del rilevamento di malware.

Ho esaminato i seguenti post correlati:

Malware - gli strumenti di rimozione sono accettabili o è il metallo nudo a reinstallare l'unica opzione sicura?

Ripristino da malware nel registro

Sta facendo un'installazione pulita sufficiente per rimuovere il potenziale malware?

Come faccio a gestire un server compromesso?

Grazie.

    
posta Matt 24.05.2015 - 17:12
fonte

1 risposta

1

Nuovi servizi, attività programmate, estensioni della shell, DLL, moduli del programma ... L'elenco delle modalità di avvio automatico in Windows è enorme, vedi sysinternals autorun per quelli disponibili solo nel sistema operativo .

Inoltre il rootkit segreto che non avevi idea che fosse stato installato.

Prenderò in considerazione pulendo una macchina di produzione invece di reimaging se si lavora con una mancanza di attrezzature o se conosco a fondo quel malware specifico.

È come un governatore degli Stati Uniti che scopre che agenti segreti sovietici hanno installato sulla sua auto microfoni spia e diversi esplosivi controllati a distanza (cioè un compromesso completo). Tuttavia, quando viene offerta gratuitamente una macchina completamente nuova, decide di pulire quella vecchia e accettare il rischio.

Quindi vorrei approfondire perché

management insists that a machine is remediated and has accepted the risk of doing so

  • Forse hanno paura di perdere dati? (crea un'immagine del vecchio computer)

  • Pensano che il processo di reinstallazione sia troppo lento? (forse puoi avere in anticipo immagini del disco con tutto il software necessario installato, o anche un disco rigido / PC pronto per sostituire quello infetto)

  • L'utente ha bisogno di dedicare molto tempo alla riconfigurazione del sistema / dei programmi? (includi la configurazione nei backup)

Un malinteso comune quando si considerano le disinfezioni non è quello di prendere in considerazione il tempo del tecnico. La disinfezione di una macchina è piuttosto costosa. Pensano che la soluzione antivirus la disinfetti immediatamente con un pulsante? Molto probabilmente non rileverà nemmeno la minaccia! Aspettatevi di eseguire scansioni complete del disco con diversi fornitori, esaminate manualmente il tipo di malware infettato, non cercate di trovare sul web i rimedi ...

In confronto, la reimaging del PC è riproducibile e verificabile, può essere eseguita anche dal tecnico di livello più basso (fidato) e persino completamente automatizzabile. È una procedura ben definita la cui efficienza può essere misurata e migliorata. Considerando che non sai mai quale malware ti colpirà in seguito, né quali rimedi saranno fatti per la variante successiva (e cosa è peggiore: non puoi nemmeno determinare se una soluzione ha funzionato completamente).

E hai ancora bisogno di una procedura di reinstallazione rapida, dal momento che non tutti i malware sono così belli da consentire di essere disinfettati / recuperati da (ad esempio un malware che distrugge il disco rigido). Non penso che i requisiti aziendali saranno diversi a seconda del malware che ti ha infettato. Quindi sono necessari backup e procedure di reinstallazione di emergenza (che in genere sarebbero anche l'ultima risorsa per la riparazione) che funzionano comunque (con il vantaggio di essere riutilizzabili). Saltare la soluzione costosa e meno affidabile sarebbe la cosa logica da fare.

    
risposta data 26.05.2015 - 00:05
fonte

Leggi altre domande sui tag

I token sicuri vengono inviati via e-mail sicuri? [duplicare] Formato SQL Server: conservazione della crittografia