O que você faria quando um worm infecta tudo?

2

Sempre me perguntei: o que podemos fazer se um vírus ou worm afetar o servidor de arquivos principal?

E se a partir do servidor de arquivos os clientes forem infectados por esse worm / vírus?

Como você limparia? Onde você poderia começar em um ambiente comprometido com antivírus?

    
por Jared 24.01.2011 / 13:32

3 respostas

6

"infecta tudo" como em arquivos em um servidor, ou tudo como em 800 estações de trabalho está batendo a rede com tentativas de infectar uns aos outros?

A resposta "certa" seria limpar e reinstalar a partir de backups. A resposta prática nem sempre é tão simples.

A maioria dos vírus agora tendem a ser simples, pois não estão infectando arquivos, mas infectando alguns arquivos-chave ou atuando como droppers, de modo que seus arquivos geralmente não estão espalhando o malware. Se você é atingido pela maioria dos malwares de auto-propagação mais populares hoje em dia, geralmente há um desinfector segmentado disponível em sites AV populares. A parte difícil (geralmente) está chegando ao site, já que muitos desses programas de malware tentam mascarar a si mesmos e tentar desabilitar programas antivírus, solicitações de DNS para sites antivírus, etc. procurando uma maneira de entrar no site para obter a ferramenta em primeiro lugar.

Tivemos infecções em larga escala de nossos sistemas com um worm. A chave para nós foi a mitigação do risco. Dos mais de 800 sistemas, apenas uma pequena fração deles não está executando o Deep Freeze, um programa que restaura os computadores ao seu estado original quando reiniciados. Então, para esses sistemas, podemos usar o método "star trek" de consertar os computadores na rede. Encerre tudo . Tudo de uma vez.

Isso nos deixou com sistemas administrativos, determinados funcionários e servidores para reparar. Muitos deles já estavam imunes devido a acompanhar os patches. Os outros tiveram uma desinfecção direcionada, depois foram novamente verificados com alguns programas antivírus para verificar se não estavam mostrando sinais de infecção.

Também usamos ferramentas para verificar a rede em busca de sistemas que não foram corrigidos ou tinham sinais remotos da infecção (era um worm que tinha uma assinatura de rede com o método de verificação correto) para que pudéssemos concentrar nossos esforços no que triagem para reparos. Depois que todos os sinais de infecção estavam fora da rede, reiniciamos todos os sistemas Deep Freeze.

(nota secundária - também temos a porta de saída 25 bloqueada para todos, exceto o nosso servidor de e-mail, para evitar que o nosso domínio fique na lista negra)

Portanto, a melhor maneira de evitar esse problema é trabalhar na mitigação de risco, em nossa opinião. Alunos não têm perfis; dificulta a disseminação do malware baixado (ou drive-by). As permissões segregam dados nos diretórios iniciais dos servidores. O Deep Freeze impede a infecção permanente nos sistemas. AV ajuda a mitigar riscos, mas nós também tivemos (e ainda fazemos) assinaturas AV que matarão executáveis legítimos devido a uma assinatura ruim no banco de dados em algum lugar, então o AV pode ser tão grande quanto o próprio malware. Os firewalls estão bloqueando o acesso fora da nossa rede. Os backups estão em vigor para serem restaurados do bare metal, se necessário. Os honeypots na rede podem ajudar a detectar atividades excêntricas. Monitorar seus comutadores e gateways em busca de atividades incomuns pode ajudar. Atualizações em uma programação regular ajudam a fechar caminhos vulneráveis de infecção. E diversidade é seu amigo ... às vezes um sistema Linux ou Mac pode acessar um site AV para pegar ferramentas quando todos os sistemas Windows estiverem danificados. Os sistemas Linux também são fantásticos para a extração de ferramentas e scanners especiais na busca por soluções na rede. Ele salvou minha garupa algumas vezes ao solucionar problemas.

Nossa situação específica não é necessariamente típica, portanto, mitigar o risco é um plano que você precisa criar específico para o seu ambiente. Mas isso pode ser dito sobre praticamente qualquer sistema de mitigação de risco.

    
por 24.01.2011 / 14:22
3

Na maioria dos casos, basta limpar e restaurar a partir de bons backups.

    
por 24.01.2011 / 13:49
0

Em uma situação em que tudo está infectado, a primeira coisa a fazer é desconectar tudo da Internet. Em uma empresa típica, as estações de trabalho não devem conter nada além de dados de perfil, portanto, restaurá-los com imagens deve ser fácil. Se você não tem a opção, e a limpeza é a única opção, você é um deleite. Você vai querer descobrir qual é a infecção e as opções de tratamento. Vá devagar, você vai querer ter tudo de volta ao normal o mais rápido possível, mas é aí que os erros acontecem. Não há nada pior do que pensar que você tem um conjunto de máquinas limpas, apenas para revisitá-las mais tarde para descobrir que elas estão infectadas novamente.

No caso de um servidor de arquivos principal, o melhor curso de ação é criar uma imagem do servidor para separar discos e separar (se você tiver os recursos) e limpá-lo, instalar novos e restaurar a partir de seus backups. Sem fazer isso, realmente não há como saber se ele estava enraizado e não vai voltar para te morder no caminho.

    
por 24.01.2011 / 14:21