剧本介绍

背景说明

恶意软件攻击是指通过电子邮件、远程下载、恶意广告等多种手段，向用户传播恶意软件（如病毒、蠕虫、木马、勒索软件等），并在目标主机上执行恶意程序，从而实现对远程主机的控制、攻击网络系统、窃取敏感信息或进行其他恶意行为。这类攻击对计算机系统、网络和个人设备的安全构成了严重威胁，可能导致数据泄露、系统崩溃、个人隐私泄露、金融损失以及其他安全风险。

针对以上问题，通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，能有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，检测出主机中未知的恶意程序和病毒变种，也可检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。因此，当有此类攻击发生的时候如何预防降低风险就至关重要。

本文档就恶意软件和勒索软件隔离查杀进行详细介绍。

响应方案

针对以上背景，安全云脑提供的HSS文件隔离查杀剧本，自动隔离查杀恶意软件。

“HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程，当有恶意软件和勒索软件告警生成时，通过判断受攻击资产HSS防护版本，版本为专业版或者高于专业版但未开启自动隔离查杀的就满足隔离查杀条件，人工审批进行隔离查杀，就会通过HSS文件隔离查杀进行告警处置，隔离软件成功，关闭告警。隔离失败，添加手动处理的评论，提示需要进行手动操作。

图1 HSS文件隔离查杀

事件响应

1. 获取、保护、记录证据。
   1. 根据您华为云环境的配置，通过主机安全服务配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁，检测到恶意软件和勒索软件。
   2. 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。
   3. 一旦确认攻击是事件，需要评估受影响范围、受攻击机器和受影响业务及数据信息。
   4. 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。
   5. 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。

2. 控制事件。
   1. 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。
   2. 通过HSS文件隔离查杀脚本对涉及进程软件进行进程查杀、软件隔离操作。降低后续影响。
   3. 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。
   4. 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。

3. 消除事件。
   1. 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。
   2. 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可以通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。
   3. 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。

4. 从事故中恢复。
   1. 确定从备份执行的所有还原操作的还原点。
   2. 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。
   3. 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。
   4. 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。
   5. 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。

5. 事故后活动。
   1. 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。
   2. 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。
   3. 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。
   4. 风险分析可结合所有同类恶意软件和勒索软件攻击点，进行风险前置，在未发生事件之前进行风险控制处理。