【网络安全】恶意软件简介
1. 恶意软件简介
之前,您了解到恶意软件是旨在破坏设备或网络的软件。自几十年前首次出现在个人电脑上以来,恶意软件已发展出各种各样的变种。能够识别不同类型的恶意软件并了解其传播方式,将有助于您作为一名安全专业人员保持警惕并掌握最新信息。
2. 恶意软件种类
2.1 病毒
病毒是编写的恶意代码,旨在干扰计算机运行并损坏数据和软件。这类恶意软件必须由目标用户安装才能传播并造成损害。病毒传播的众多方式之一是通过网络钓鱼活动,其中恶意链接隐藏在链接或附件中。
2.2 蠕虫
蠕虫是一种能够自行复制并在系统间传播的恶意软件。与病毒类似,蠕虫必须由目标用户安装,并且可以通过恶意电子邮件等手段进行传播。鉴于蠕虫具有自行传播的能力,攻击者有时会将目标锁定在网络上具有共享访问权限的设备、驱动器或文件上。
一个众所周知的例子是 Blaster 蠕虫,也称为 Lovesan、Lovsan 或 MSBlast。21 世纪初,这种蠕虫在运行 Windows XP 和 Windows 2000 操作系统的计算机上传播。它会迫使设备不断关闭和重启。虽然它没有损坏受感染的设备,但它能够传播给全球数十万用户。自 Blaster 蠕虫首次出现以来,已经部署了多种变种,并能够感染现代计算机。
注意:蠕虫是 2000 年代中期非常流行的攻击,但近年来使用频率较低。
2.3 特洛伊木马
木马病毒,也称为特洛伊木马,是一种看似合法文件或程序的恶意软件。这一特性与木马病毒的传播方式有关。与病毒类似,攻击者会将这类恶意软件隐藏在下载的文件和应用程序中。攻击者会诱骗毫无戒心的用户,让他们误以为下载的是无害的文件,而实际上,他们正在用恶意软件感染自己的设备,这些恶意软件可以用来监视用户、授予其他设备的访问权限等等。
2.4 广告软件
广告支持软件(简称广告软件)是一种合法软件,有时用于在应用程序中显示数字广告。软件开发者经常使用广告软件来降低生产成本或免费向公众提供其产品(也称为免费软件或共享软件)。在这些情况下,开发者通过广告收入而非牺牲用户利益来盈利。
恶意广告软件属于恶意软件的一个子类别,称为潜在有害应用程序 (PUA)。PUA 是一种与合法程序捆绑在一起的有害软件,可能会显示广告、导致设备运行缓慢或安装其他软件。攻击者有时会将此类恶意软件隐藏在设计不安全的免费软件中,以便通过广告为自己而非开发者牟利。即使用户拒绝接收广告,这种做法也能奏效。
2.5 间谍软件
间谍软件是一种用于在未经同意的情况下收集和出售信息的恶意软件。它也被视为可能被滥用的用户 (PUA)。间谍软件通常隐藏在捆绑软件(有时与其他应用程序打包在一起的附加软件)中。像间谍软件这样的可能被滥用的用户 (PUA) 已成为开源软件开发生态系统面临的严峻挑战。这是因为开发人员往往忽视了他们的软件可能被他人滥用或滥用。
2.6 恐吓软件
另一种可能被忽略的用户 (PUA) 是恐吓软件。这类恶意软件会利用各种手段恐吓用户,使其感染自己的设备。恐吓软件会显示看似来自合法公司的虚假警告,从而欺骗用户。电子邮件和弹出窗口只是恐吓软件传播的两种方式。这两种方式都可以用来发送虚假警告,谎称用户的文件或数据存在风险。
2.7 无文件恶意软件
无文件恶意软件无需用户安装,因为它使用已安装的合法程序来感染计算机。这种感染驻留在内存中,恶意软件永远不会触及硬盘。这与其他类型的恶意软件不同,后者存储在磁盘上的文件中。相反,这些隐秘的感染会进入操作系统或隐藏在受信任的应用程序中。
专业提示:通过执行内存分析来检测无文件恶意软件,这需要操作系统经验。
2.8 Rootkit
Rootkit是一种恶意软件,它可以提供对计算机的远程管理访问权限。大多数攻击者使用 Rootkit 来打开系统后门,以便安装其他形式的恶意软件或进行网络安全攻击。
这类恶意软件通常由两个组件组合传播:植入器(dropper)和加载器(loader)。植入器是一种包含恶意代码的恶意软件,它会被传递并安装到目标系统上。例如,植入器通常会伪装成合法文件(例如文档、图片或可执行文件),以诱骗目标打开或将其植入到其设备上。如果用户打开植入器程序,其恶意代码就会被执行,并隐藏在目标系统中。
多阶段恶意软件攻击(部署多个恶意代码包)通常使用一种称为加载器的变体。加载器是一种恶意软件,它会从外部来源下载恶意代码并将其安装到目标系统上。攻击者可能会将加载器用于不同的目的,例如设置另一种类型的恶意软件——僵尸网络。
2.9 僵尸网络
僵尸网络(botnet)是“机器人网络”的缩写,是指由恶意软件感染的计算机集合,这些计算机受单个威胁行为者(称为“僵尸牧民”)的控制。病毒、蠕虫和木马通常用于传播初始感染,并将设备变成“僵尸牧民”的机器人程序。攻击者随后会使用文件共享、电子邮件或社交媒体应用程序协议来创建新的机器人程序,并扩大僵尸网络。当目标在不知情的情况下打开恶意文件时,计算机(或机器人程序)会将信息报告给“僵尸牧民”,后者可以在受感染的计算机上执行命令。
2.10 勒索软件
勒索软件是指威胁行为者加密组织数据并要求付费才能恢复访问权限的恶意攻击。据美国网络安全和基础设施安全局 (CISA) 称,勒索软件犯罪呈上升趋势,且日益复杂。勒索软件感染可能对组织及其客户造成重大损害。例如,Wannacry, 这种攻击会加密受害者的计算机,直到受害者支付加密货币的赎金为止。
3. 结语
恶意软件种类繁多,令人震惊。其传播方式更是多得惊人。恶意软件是一种复杂的威胁,需要网络安全方面的专业技能。即使不专门从事恶意软件分析,识别恶意软件的类型及其传播方式也是安全分析师防御这些攻击的重要组成部分。