恶意软件帮助黑客渗透到网络和系统的防护中，破坏商业操作，泄露公司或个人电脑中的敏感数据。不幸的是，没有任何一种单一步骤的设置可以阻止，甚至检测到恶意软件的攻击。防范恶意软件需要一种基于意识和控制的方法。

　　与你的网络和系统状态相一致

　　诸如Bots（一种能执行外部命令的自动运行型木马）和间谍软件等恶意软件，通常侵入系统很长时间才能被发现。杀毒软件和入侵检测系统都无法检测到精心设计的恶意软件。要防御这样一个如此强大的敌人，第一点就是要熟悉IT基础结构的正常状态，并指导其检测异常情况。

　　建立并维护IT基础结构意识需要以下几个步骤：

• 集中管理日志    
  　　通过跨公司系统和网络设备集中管理日志检测异常事件。甚至诸如CPU在服务器上登录时发生波动这样的操作事件，就存在安全隐患；持续增长的登陆能导致恶意软件侵入系统。不借助商业工具，日志就可以通过系统日志集合起来，系统日志原本运行于Unix系统，现在已经可以在Windows系统上运行了。如果没有集中监视点，基础结构的检测将受到阻碍。
• 配置入侵检测传感器
  　　在网站的关键点配置入侵检测传感器。在关键服务器上配置基于主机的传感器也能起到一定作用。然而，维护主机入侵检测系统（IDS）比管理网络入侵检测系统（IDS）更为繁琐。即使传统的IDS也无法阻止攻击，它在环境中提供了附加功能，可以对环境进行检测。Snort被认为是免费网络入侵监测系统工具之王。查看OSSEC，可以免费下载多平台主机IDS。
• 监控外部网络流量
  　　监控外部网络流量，进而监测受到恶意软件感染的系统，用户需要向这些系统输入指令或外泄数据。你可以调节网络IDS传感器，来仔细检查流出网络的流量，或者使用传统的网络监测工具，同样可以达到这一目的。（我非常幸运，有免费的Argus Open Project软件。）检测到攻击越快，消除攻击也越快。了解更多外部流量中检测未经认可的活动，请查看Richard Bejtlich的书Extrusion Detection。
• 检测未经认可的变化
  　　检测系统当前状态的未经认可的变化。尽管一些恶意软件只存在于被攻击系统的内存中，但是许多攻击在文件系统或记录中留下了痕迹。一些主机IDS可以系统检测到这些变化。具备这一功能的免费工具有：AIDE、cfengine和 Tripwire的开源版。

　　用蜜罐来阻止恶意软件

　　在克制恶意软件方面，蜜罐集聚检测技术和预防技术的优点于一身。蜜罐是专门针对攻击而配置的系统。商业蜜罐的发展似乎不再是主流，但仍有一些革新，同时提供了免费的蜜罐技术。蜜罐经过仔细配置以后，可以在几个方面增强公司的防御能力。

• 减慢入侵者的进程
  　　系统为攻击者提供的信息毫无价值，可以导致入侵者在进入系统时花费大量时间，进而减慢入侵者的感染进程。比如，免费的LaBrea工具延迟端口扫描，通过创造性地对攻击者的网络连接做出反应，从而减慢恶意软件的传播。
• 减少主动错误讯息发出率
  　　主动错误讯息发出率一直困扰着网络IDS，蜜罐可以减少主动错误讯息发出率。因为按照其定义来说，蜜罐本不应该参与程序操作，几乎与蜜罐的任何一种连接预示着恶意软件传播的可能。免费工具Honeyd不借助多种物理系统，就可以仿真服务器、安装设备驱动程序、甚至网络来延长这种监控的时间。
• 获取恶意软件样本
  　　获取恶意软件样本，可用于分析研究。因为恶意软件是最为流行的侵入软件之一，在其找到进入系统的路径之前截获它，有助于事故反应。可以完成这项任务的免费工具之一就是Nepenthes，它可以截获在网络中传播的恶意软件。有了恶意软件的样本拷贝，就可以进行分析，进而了解其性能。（我在SANS学院碰巧教授关于这方面内容的一门课程。）
• 了解黑客的意图
  　　通过观察其与攻击环境的交互作用，就可以了解黑客的意图。实现这一目的方法是部署一系列的蜜罐来就目标系统的真实性来欺骗黑客，不管黑客是人还是程序。蜜网工程免费分布了可启动磁盘Honeywall disk，可以就实现这一目的，并且还包含了优秀的监控工具。
• 测定用户是否访问了恶意软件网址
  　　客户端蜜罐可以缓慢运行于网页上，同时检查网页，这样，就可以测定用户是否访问了恶意软件网址。驱动下载可以通过网页浏览器发现其中的弱点进行攻击，这是一种普通的入侵技术。虽然一直阻止这种威胁携带者可能比较困难，但是你仍然可以迅速检测到事故。如果企业拥有诸如可以记录访问过的URL的代理服务器的机制，SecureWorks公司提供免费的Caffeine Monkey工具，在网页搜索中自动检查这些站点。

　　使用蜜罐最具挑战的一方面是配置的方式，进而得以阻止入侵者将其作为进入系统的平台，进而发动攻击。如果你的公司选择用蜜罐进行实验，一定要执行每个工具文件中指出的安全措施。关于蜜罐和配置方案的概述，请查看Niels Provos和Thorsten Holz编写的《虚拟蜜罐》（Virtual Honeypots）一书。

　　保护端点远离恶意软件的威胁

　　唉，尽管信息安全部作了最大的努力，恶意软件也可能绕过网络防御体系进入到你尽力保护的系统之中。个人计算机尤其容易受到攻击，因为个人计算机通常在不可预知的方式和地点运行。这里提供了一些技术可以帮助加固锁定笔记本和桌上型电脑。

• 使用具有锁定功能的反恶意软件工具
  　　传统的特征检测反病毒技术已经不能满足需要。我们所熟悉的反病毒厂商提供了现代安全套装，可以观察到本地具有恶意软件特征的可执行操作，比如试图监控键盘记录或者写入到特定注册地址。这就有助于检测到逃避特征检测的恶意软件，阻止其入侵。然而，在公司使用这样的工具之前，首先要确保它们不会影响到公司的正常商业活动。
• 警惕rootkits病毒
  　　Rootkits病毒虽然不是什么新鲜事物，但是最近Rootkits已经成为“主流”恶意软件。Rootkits的隐藏能力使系统很难检测到它的攻击。幸运的是，反恶意软件产品在检测隐藏的rootkit恶意软件方面正日趋完善。反恶意软件产品通常通过鉴定不同操作系统组件对系统状态描述的矛盾之处，检测恶意软件的。免费的单机rootkit扫描器有GMER、Microsoft RootkitRevealer和 Sophos Anti-Rootkit。
• 保护浏览行为
  　　预先防止驱动下载和其它浏览器搜索技术。利用诸如沙盘（Sandboxie）（免费）的工具，在浏览器周围创建一个受保护沙盒（sandbox），进而保护浏览器。利用较少的特许操作运行浏览器也有帮助；这就是Vista系统构建用户帐户控制（UAC）和使用DropMyRights等免费工具发生作用的地方。切记要终止不必要的浏览器部件和元件；可以在Windows 组策略的帮助下，在浏览器上运行精细严密的控件。
• 随时更新安全补丁
  　　信息安全专业维护正日趋完善，与微软产品的安全更新保持一致，但是了解诸如Acrobat Reader和Java Runtime的第三方软件补丁的日期和方式更具难度。检测第三方软件丢失补丁的免费工具有F-Secure Health Check 和Secunia Software Inspector。
• 加固工作站
  　　最后一点也同样重要，就是在端点加固磁心存储器操作系统。包括终止不必要的操作系统组件；组策略对这一点同样有帮助。组策略可以用于限制可以通过其软件限制策略在系统上运行的应用软件。控制可执行操作进行的单机工具是Beyond Logic公司Trust-No-Exe。

　　必备一个全面的安全程序

　　如果你的公司考虑构建反恶意软件策略，切记没有任何一种快捷的方法来应付这一日益严峻的威胁。有效的方法应该将检测和防御结合起来，创建多层防御。商业提供品和免费工具都有这类产品，都有助于反恶意软件策略。这些工具和整体安全程序一样有效，但仅仅是安全程序的一部分。

　　作者简介：
是SavviInc公司纽约安全顾问经理。同时也是SANS学院一名高级教师，教授课程《逆向工程恶意软件》reverse-engineering malware。