在局域网中检测 Torpig

大多数恶意软件发现建议都集中在让用户在计算机上运行安全检查……你没有提到你的具体情况，但听起来你正在运行某种学校网络？这当然为解决这个问题增加了一层奇妙的困惑，因为它会导致各种额外的挫败感。

因此，首先要尝试的方法是教育用户。海报、公告等。当然，大多数用户可能会忽略这一点，但它可以提高人们的意识。鉴于 Torpig 显然禁用了 AV 软件，请让用户了解这种恶意软件的影响（窃取银行信息），并提供在线扫描仪的链接，并赞助分发可启动的恶意软件检测软件的刻录光盘，或赞助校园病毒检查活动，让 IT 人员前往宿舍进行扫描或将笔记本电脑带到某个地方进行免费的恶意软件检查。当然，要对清除恶意软件的影响承担适当的责任。

接下来，我会检查路由器。好的路由器应该能够通过 SNMP 报告网络流量，您可以检查它们是否存在异常流量模式。您应该能够判断流量何时出现异常峰值或检查异常情况，并且某些软件可能能够提醒您注意异常活动。有些老板可能会认为这是在浪费时间，检查似乎运行良好的设备的报告和状态。在我看来，熟悉事物的运行方式永远不会是浪费；有时你知道你的车会出现问题，因为有些东西“感觉不对劲”或“听起来不太对劲”，你的网络也是如此。

您是否代理了您的流量？您使用什么代理？我们有一段时间使用 FreeBSD Squid 盒，它在用户的计算机上捕获了恶意软件感染，因为我注意到来自该用户工作站的 ARP 表中存在一些异常；他的恶意软件正在广播各种 IP，试图攻击我们自己网络中的其他目标，并且它出现在我对代理服务器健康状况的状态检查中。

Torpig 显然使用 HTTP 命令来连接控制点。如果是记录活动，代理可能也会有所帮助。如果您可以找到 torpig 连接的一些 IP，您可能能够 grep 日志以查找来自 XYZ 机器的连接，从而非常快速地锁定它。过滤代理也应该能够自动阻止流量到达 C&C 服务器。

阅读对机器人的分析可能会给你一些想法。请参阅http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf对恶意软件的行为进行研究。

另一个可以尝试的方法：给其他有此问题的大学发送电子邮件，询问他们正在做什么来检测流量。看看有人宣传他们正在分析学生流量的例子，看看你是否可以联系他们的 IT 人员；他们很可能愿意分享提示。http://cnc.ucr.edu/security/announcements/2010_03_04_mebroot.html

蜜罐...我不会反对将它放入您的网络中，只是因为这听起来像是您有学生和您无法控制的计算机。在网络上放置几个蜜罐，看看它能得到什么。我不知道 torpig 是否会被它检测到，但您可能会发现它对其他恶意软件很有用；在上面放置 SNORT 或其他 IDS 并经常检查它（并通过电子邮件向您发送警报）。

您可能要考虑的最后一件事是，但这完全取决于您的情况，即在您的网络上运行 SAINT 或 Nessus 之类的程序来检查机器是否存在漏洞。然而，这可能会严重消耗您的网络资源，有些人可能不喜欢他们的机器被扫描，如果政策中没有明确说明这一点，您可能会遇到问题。此外，这还取决于您的网络规模。

有一些工具可以让您了解网络上的情况，例如 spice network 的工具和 LanSweeper。

除此之外，我能想到的办法就是对网络上所有你确实有控制权的服务器进行全面审核，对它们运行漏洞框架工具以审核可能的安全问题，并加强边界路由器以限制所有用户不需要传出流量的传出端口，这样你就可以限制恶意软件在异常端口上的活动。至少，你可能需要一台机器或设备来监控来自奇数端口的异常活动，并让它发送警报，以便你跟进并联系其他与你学校类似的学校的其他 IT 部门，看看他们如何解决这个问题。