检测局域网上的Torpig

大多数恶意软件发现build议的重点是让用户在他们的计算机上运行安全检查…你没有提到你的具体情况，但是这听起来像你正在运行某种学校networking？ 这当然会增加一个美妙的头层巴掌来解决这个问题，因为它会造成各种额外的挫折。

所以第一个尝试的方法是用户的教育。 海报，公告等。当然，大多数用户可能会忽略这一点，但它可以提高认识。 看到Torpig显然禁用AV软件，让用户意识到这个恶意软件的影响（窃取银行信息），并给予在线扫描器和赞助商链接可启动恶意软件检测软件的刻录光盘的链接，或赞助校园病毒检查事件与IT去宿舍，扫描或携带笔记本电脑到一个免费的恶意软件检查的位置。 当然，要适当放弃清除恶意软件的责任。

接下来，我将调查路由器。 体面的路由器应该能够通过SNMP报告networkingstream量，并且可以检查它们是否有exception的stream量模式。 您应该能够知道交通何时出现exception峰值或检查exception情况，某些软件可能会提醒您exception活动。 有些老板可能认为这是浪费时间，检查设备的报告和状态，似乎工作正常。 在我看来，熟悉事物的运行永远不是浪费; 有时候你知道你的车会有问题，因为某些东西不是“感觉正确”或“听起来很正确”，这与你的networking一样。

你代理你的stream量？ 你用什么代理？ 我们有一段时间的FreeBSD Squid盒子，在用户的计算机上发现了恶意软件感染，因为我注意到ARP表中有一些奇怪的东西出自该用户的工作站; 他的恶意软件正在播放各种IP试图在我们自己的networking中击中其他目标，并在代理服务器状态检查中显示出来。

Torpig显然使用HTTP命令连接到控制点。 如果是日志logging活动，代理也可以帮助。 如果你能find一些torpig连接到的IP，你可以通过grep你的日志查找来自XYZ机器的连接，以便快速locking它。 filter的代理也应该能够自动阻止到达C＆C服务器的stream量。

阅读bot的分析可能会给你一些想法。 请参阅http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf ，了解有关恶意软件行为的研究。

另一件尝试; 向发生此问题的其他大学发送电子邮件，并询问他们如何检测stream量。 看到一个广告的例子，他们正在分析学生的stream量，看看你是否可以联系他们的IT人员; 他们很可能会愿意分享提示。 http://cnc.ucr.edu/security/announcements/2010_03_04_mebroot.html

蜜jar…我不会反对把它放在你的networking上，因为听起来你有学生和计算机无法控制。 在networking上粘贴几个蜜jar，看看它会得到什么。 我不知道torpig是否会被检测到，但你可能会发现有其他的恶意软件是有用的， 坚持SNORT或其他IDS，并经常检查（并通过电子邮件发送警报）。

你可能会考虑的最后一件事，但这完全取决于你的情况，在你的networking上运行诸如SAINT或Nessus之类的东西来检查机器是否存在漏洞。 但是，这可能会对networking资源造成严重的损失，有些人可能不会意识到他们正在扫描的机器，如果没有在政策中详细说明，您可能会遇到问题。 这也取决于你的networking的大小。

有一些工具可以让你了解你的networking上的东西，如Spicenetworking工具和LanSweeper。

除此之外，我能想到的就是对所有在networking上有一定控制权的服务器进行全面审计，运行针对他们的漏洞框架工具来审计可能的安全问题，并收紧您的边界路由器可以限制所有不需要用户输出stream量的传出端口，以便您可以限制exception端口上恶意软件的活动。 至less您可能需要一台机器或设备来监视奇怪端口的exception活动，并发送警报让您跟进，并与其他类似的学校的其他IT部门联系，以了解他们是如何解决这个问题的。