本白皮书提供了有关一般恶意软件操作、IDS事件类型、要求、建议和参考的信息。

恶意软件（恶意软件）是旨在破坏系统运行、窃取数据或未经授权访问网络的代码。常见的恶意软件类型包括病毒、蠕虫、木马、僵尸网络、勒索软件、加密挖矿程序和远程管理工具(RAT)。系统上恶意软件的常见流程如下：

1. 毫无戒心的用户安装、授权和/或运行易受攻击的软件，这些软件允许恶意代码下载有效负载，从而危害您的系统并用恶意软件感染您的系统。

2. 一旦您的系统感染恶意软件，它将与命令和控制基础设施(c2)通信以接收指令。

3. 恶意软件与其c2基础设施建立通信后，攻击者可以根据恶意软件的类型和受影响系统的安全状况执行许多不同的操作。

常见的恶意软件事件类型包括：

• 漏洞利用工具包(EK)–漏洞利用工具包是恶意工具包，用于识别和利用过时的软件（Java、Flash、Silverlight），以传播和下载其他恶意软件。EK是自动化的，不需要用户交互，但它们确实需要过时的软件/浏览器。这些事件均未确诊感染。
• 潜在的恶意下载–恶意下载是包含恶意代码的文件或应用程序，需要用户在目标应用程序中打开或运行。恶意下载伪装成合法软件，依赖用户交互来感染主机。这些事件均未确诊感染。
• 命令和控制(c2)–命令和控制(c2)用于报告受感染主机的状态、泄露数据以及向受感染系统发送命令。C2事件表明您网络上的主机感染了恶意软件。

以下要求将减轻大多数恶意软件感染和爆发的风险。这些技术作为Microsoft Windows环境的一部分包含在内，通常不会产生任何额外的许可费用。

• 授权软件的安全策略：这是非常重要的一步，因为它允许信息技术团队更有效地管理其系统和网络，同时使网络安全团队能够有效地响应事件并向管理层报告。授权软件是可以在您组织的信息技术资源上使用的任何软件。
• 最小特权原则(POLP)：最小特权原则是一个应作为网络安全策略的一部分应用的概念。POLP是限制用户访问其履行职责所需资源的做法。这个概念应该应用于这些用户将访问的组织资源的各个方面。在这种情况下，我们将重点关注两个组件来有效保护用户工作站。

应用程序白名单：应用程序白名单可防止未经授权的软件在托管系统上执行。这可以很简单，只需对系统进行基线设置并仅允许已安装的内容即可减少实施时间。还可以将常见目录（例如c:\program files\）的应用程序列入白名单。这需要适当的Windows 10许可，但是，您也可以使用软件限制策略(SRP)获得类似的结果。

本地管理权限：这通常是计算机安全中被滥用的一个方面。常见的安全权限和用户权限配置错误：

• 用户账户被添加到多个系统的本地管理员组中。
• 本地管理员账户使用共享密码。
• 服务账户被添加到本地管理员组并在工作站上分配用户权限，而没有适当的安全策略来管理这些账户。
• 用户账户控制已禁用。POLP概念应重点关注最终用户账户，因为这些账户拥有的权限允许系统感染恶意软件是更常见的情况。

通过应用程序白名单和将用户账户权限限制为仅需要的安全组的组合，您可以最大限度地减少恶意软件对系统的影响或完全防止感染。

• 实施POLP时需要考虑的一些注意事项：

使用SRP，您还需要允许系统库运行，例如允许c:\windows\目录。此外，您还需要允许系统上正在授权的应用程序的目录。

Office宏还需要配置Microsoft Office宏，以限制客户端配置允许用户在Microsoft Word等文档中启用和运行宏。这些文档通常作为恶意垃圾邮件传递，并且可以使用反垃圾邮件设备或软件更好地过滤掉。

• Windows Server Update Services (WSUS)：WSUS可用于向托管系统安装关键安全更新。通过使用WSUS对工作站和服务器进行相应分组以有效定位目标系统，可以以最小的中断来完成此操作。优先系统将是最终用户。

• 从版本3.0开始，WSUS包含本地发布API，首次允许开发人员编写代码以向WSUS发布自定义更新。

  • https://localupdatepubl.sourceforge.io/

• 基于Windows主机的防火墙：Windows防火墙是由Microsoft创建并内置于Windows中的安全应用程序，旨在过滤进出Windows系统的网络数据传输，并阻止有害通信和/或启动这些通信的程序。限制工作站到工作站的通信并启用入站和出站流量的日志记录非常重要。

我们有以下建议：

• 建议调查受影响IP上的主机是否有受到损害的迹象并进行适当修复。
• 建议将对Internet资源的访问限制为仅授权主机，并将出站流量限制为仅授权Internet服务（例如HTTP/s和FTP）。
• 建议调查受影响的主机是否有过时的软件，并在适当的测试后进行更新。

相关CIS子控制

• 2.1维护授权软件清单——维护企业中任何业务系统上出于任何业务目的所需的所有授权软件的最新列表。传感器：软件应用程序清单。
• 2.2确保软件受供应商支持–确保仅将软件供应商当前支持的软件应用程序或操作系统添加到组织的授权软件清单中。不受支持的软件应在库存系统中标记为不受支持。（映射回WSUS）
• 2.7利用应用程序白名单–对所有资产利用应用程序白名单技术，以确保只有授权的软件才能执行，并且阻止所有未经授权的软件在资产上执行。传感器：软件白名单系统。
• 3.4部署自动化操作系统补丁管理工具–部署自动化软件更新工具，以确保操作系统运行软件供应商提供的最新安全更新。传感器：补丁管理系统。
• 3.5部署自动化软件补丁管理工具-部署自动化软件更新工具，以确保所有系统上的第三方软件都运行软件供应商提供的最新安全更新。传感器：补丁管理系统。
• 4.1维护管理账户清单–使用自动化工具来清点所有管理账户，包括域和本地账户，以确保只有经过授权的个人才具有提升的权限。传感器：特权账户管理系统。
• 4.3确保使用专用管理账户–确保所有具有管理账户访问权限的用户使用专用或辅助账户进行高级活动。该账户只能用于管理活动，不得用于互联网浏览、电子邮件或类似活动。（POLP）
• 4.4使用唯一密码–在不支持多重身份验证的情况下（例如本地管理员、root或服务账户），账户将使用该系统唯一的密码。（POLP）
• 4.8管理组成员身份更改的日志和警报–将系统配置为在将账户添加到分配有管理权限的任何组或从任何组中删除账户时发出日志条目和警报。（POLP）
• 7.1确保仅使用完全支持的浏览器和电子邮件客户端–确保仅允许在组织中执行完全支持的Web浏览器和电子邮件客户端，最好仅使用供应商提供的最新版本的浏览器和电子邮件客户端。传感器：软件白名单系统
• 7.2禁用不必要或未经授权的浏览器或电子邮件客户端插件–卸载或禁用任何未经授权的浏览器或电子邮件客户端插件或附加应用程序。传感器：软件白名单系统
• 9.4应用基于主机的防火墙或端口过滤–在终端系统上应用基于主机的防火墙或端口过滤工具，并使用默认拒绝规则来丢弃除明确允许的服务和端口之外的所有流量。传感器：基于主机的防火墙
• 16.8禁用任何未关联的账户–禁用任何无法与业务流程或企业所有者关联的账户。（POLP）
• 16.9禁用休眠账户–在一段不活动时间后自动禁用休眠账户。（POLP）