一如往常的普通上班日,收到網管同仁通知,發現內部網路存在些許電腦主機,發生異常連線,懷疑可能遭到惡意程式入侵。老闆鑑於前陣子勒索軟體橫行,指示清查公司所有電腦,確認是否受害? 身為專業的安管人員,你迅速的展開調查行動。
蒐集可的調查資訊
在進行清查行動前,必須先收集可用資訊,縮小調查範圍。網管同仁是由檢查防火牆記錄而發現,向其取得記錄並找出可疑對象。
選擇調查工具
由於防火牆之類的網路安全設備,只能記錄連線活動,其他行為在閘道端其實可用資訊有限。因此,選擇的工具最好能直接檢視從過去到現在,電腦主機上的所有活動記錄。不論是網路連線、網頁瀏覽、檔案傳輸、應用程式活動等等。於是乎安裝在每一台端點的安控軟體,就成了理想的主角。可能是防毒軟體,或其他端點防護軟體。
調查步驟
依據一般正常的業務運作,考量幾個可能的面向
- 於異常的時段,有網路流量發生,例如下班時間,上班之前或使用者未登入本機,電腦主機卻有網路連線活動。
- 具備一定程度規律行為模式,例如定期定點向特定目標,以特定連接埠傳送,或是開啟特定格式檔案等。
- 對外部IP或內部特定網段進行掃描探索。
- 不同的電腦連線活動目標相同。有可能為內部電腦經惡意程式感染後,透過USB、網芳傳輸的方式感染,統一回報至相同的主機。
- 記得排除的IP及網址,他們可能只是生活上最常用的入口網站。
我們暫不討論APT的問題,因為他們的特徵和數量、規律、特定目標等這些因素相關性極低。先以網址連結的排名來找可疑目標;去掉知名的網站之後,對剩下的清查。
- 該主機是否在網路上有被討論,出現在防毒、防駭等資安通報資訊相關論壇、新聞之中。
- 查詢該網站、IP其所屬國別、地區等。
- 注意高風險地區,中東、北韓、大陸等。
- 利用如VirusTotal 之類網站,查詢該網站是否為惡意中繼或跳板。
X-FORT協助阻擋與調查
經過這些篩選資訊之後,確定嫌疑網站之後,再使用 X-FORT Console (W-Console, X-Console),查詢公司內那些PC出現過嫌疑網站連結記錄。X-FORT「網址連結記錄」包含使用者的瀏覽網頁、雲端硬碟使用、SSL 連線程式有關的活動歷程,包含軟體自動連上網路的連結,例如防毒軟體的更新,以及各種瀏覽器嵌入元件的連線活動記錄。而其中「雲端控管」依政策設定不同,則各自有網址、程式的黑∕白名單(2選1) 及IP的白名單記錄。網址連結記錄的類型共可區分為以下13種:
- (放行)允許網址
- 一般網址瀏覽記錄
- (阻擋)禁止網址
- (放行)雲端白名單內
- (阻擋)雲端黑名單內
- (放行)雲端黑名單外
- (阻擋)雲端白名單外
- (放行)雲端白名單內網址
- (阻擋)雲端黑名單內網址
- (放行)雲端黑名單外網址
- (阻擋)雲端白名單外網址
- (放行)白名單內IP
- (阻擋)白名單外IP
黑白名單的作用就不在此贅述,直接以[網址連結記錄]、[WebPost操作]、[使用者瀏覽記錄]來查詢,哪些電腦主機連接過嫌疑目標站。在記錄中也可直接反查,雙擊網址記錄,X-Console會以預設瀏覽器自動連接至用戶端瀏覽的網址,因此管理者可以輕易的管理、調查用戶端瀏覽的網址內容。