你認(rèn)為你了解惡意軟件嗎?這里有一個(gè)簡單的回顧,可以確保你知道你在談?wù)撌裁?-還有一些當(dāng)你被攻擊時(shí)發(fā)現(xiàn)和刪除惡意軟件的基本建議。
人們對安全術(shù)語的理解往往過于隨意。然而,弄清楚惡意軟件的分類是很重要的,因?yàn)榱私飧鞣N類型的惡意軟件是如何傳播的對遏制和消除它們非常重要。
當(dāng)你和極客們在一起的時(shí)候,這個(gè)簡潔的惡意軟件寓言集將幫助你正確理解你的惡意軟件術(shù)語。
1.病毒
計(jì)算機(jī)病毒是大多數(shù)媒體和普通終端用戶對新聞中所報(bào)道的每一個(gè)惡意軟件程序的稱呼。幸運(yùn)的是,大多數(shù)惡意軟件程序并不是病毒。計(jì)算機(jī)病毒會(huì)修改其他合法的主機(jī)文件(或指向它們的指針),當(dāng)受害者的文件被執(zhí)行時(shí),病毒也會(huì)被執(zhí)行。
純粹的計(jì)算機(jī)病毒在今天并不常見,它只占所有惡意軟件的不到10%。這是一件好事:病毒是唯一能“感染”其他文件的惡意軟件。這使得它們特別難以清除,因?yàn)閻阂廛浖仨殢暮戏ǔ绦蛑袌?zhí)行。這一直是不簡單的,即使在今天也幾乎是不可能的。最好的反病毒程序都很難做到這一點(diǎn),在許多(如果不是大多數(shù))情況下,只能夠隔離或刪除受感染的文件。
2.蠕蟲
蠕蟲存在的時(shí)間甚至比計(jì)算機(jī)病毒還要長,可以一直追溯到大型機(jī)時(shí)代。電子郵件在20世紀(jì)90年代末成為了時(shí)尚,而近十年來,計(jì)算機(jī)安全專家們就一直在被作為郵件附件的惡意蠕蟲所包圍。只要有一個(gè)人打開了一封被蠕蟲感染的電子郵件,整個(gè)公司就很快會(huì)被感染。
電腦蠕蟲的獨(dú)特之處在于它可以自我復(fù)制。以臭名昭著的Iloveyou蠕蟲為例:當(dāng)它爆發(fā)時(shí),它幾乎攻擊了世界上每一個(gè)電子郵件用戶,使電話系統(tǒng)過載(用欺詐手段發(fā)送短信),癱瘓電視網(wǎng)絡(luò),甚至把我每天下午的報(bào)紙都延遲了半天。其他幾個(gè)蠕蟲病毒,包括SQL Slammer和MS Blaster,也確保了其在計(jì)算機(jī)安全歷史中的地位。
一個(gè)有效的蠕蟲之所以具有如此大的破壞力,是因?yàn)樗軌蛟谧罱K用戶不采取行動(dòng)的情況下傳播。相比之下,病毒要求最終用戶至少需要在病毒試圖感染其他無辜文件和用戶之前將其啟動(dòng)。蠕蟲則利用其他文件和程序來完成這些活動(dòng)。例如,SQL Slammer蠕蟲利用了Microsoft SQL中的一個(gè)(修補(bǔ)過的)漏洞,在大約10分鐘內(nèi)就可以使幾乎每一臺(tái)連接到互聯(lián)網(wǎng)的未修補(bǔ)的SQL服務(wù)器發(fā)生緩沖區(qū)溢出,這一速度記錄至今仍保持不變。
3.木馬
電腦蠕蟲已被木馬惡意軟件程序所取代,成為了黑客的首選武器。特洛伊木馬會(huì)被偽裝成合法程序,但包含了惡意指令。它們已經(jīng)存在了很久,甚至比計(jì)算機(jī)病毒還要長,但它們比任何其他類型的惡意軟件都更能控制當(dāng)前的計(jì)算機(jī)。
特洛伊木馬程序必須由其受害者執(zhí)行才能工作。木馬通常會(huì)通過電子郵件到達(dá),或者在用戶訪問受感染的網(wǎng)站時(shí)被推送。最受歡迎的木馬類型是假的防病毒程序,它會(huì)彈出并聲稱你已被感染,然后指示你運(yùn)行一個(gè)程序來清理你的電腦。用戶吞下誘餌,木馬就會(huì)生根發(fā)芽。
特別是遠(yuǎn)程訪問木馬(RAT)在網(wǎng)絡(luò)犯罪分子中非常流行。RAT允許攻擊者遠(yuǎn)程控制受害者的計(jì)算機(jī),通常是為了橫向移動(dòng)并感染整個(gè)網(wǎng)絡(luò)。這種類型的木馬是為避免被檢測而設(shè)計(jì)的。威脅腳本甚至不需要自己去寫。地下市場上有數(shù)百個(gè)現(xiàn)成的RAT。
特洛伊木馬很難防御有兩個(gè)原因:它們很容易編寫(網(wǎng)絡(luò)犯罪分子通常會(huì)制作和兜售木馬構(gòu)建工具包),并會(huì)通過欺騙最終用戶來進(jìn)行傳播--補(bǔ)丁、防火墻和其他傳統(tǒng)防御措施無法阻止。惡意軟件編寫者每月都會(huì)放出數(shù)百萬個(gè)木馬。反惡意軟件供應(yīng)商則會(huì)盡最大努力來對抗特洛伊木馬,但簽名太多,無法跟上。
4.混血兒和外來物種
如今,大多數(shù)惡意軟件都是傳統(tǒng)惡意程序的組合,通常包括特洛伊木馬和蠕蟲的一部分,偶爾還包括了病毒。通常,惡意軟件程序在最終用戶看來都是一個(gè)特洛伊木馬,但一旦執(zhí)行,它就會(huì)像蠕蟲一樣通過網(wǎng)絡(luò)來攻擊其他受害者。
今天的許多惡意軟件程序都會(huì)被認(rèn)為是rootkit或隱形程序。從本質(zhì)上來說,惡意軟件程序總是試圖修改底層操作系統(tǒng),以獲得最終控制權(quán),并躲避反惡意軟件程序。要?jiǎng)h除這些類型的程序,你就必須從內(nèi)存中刪除控制組件,并從反惡意軟件掃描開始。
僵尸程序本質(zhì)上是特洛伊木馬/蠕蟲的組合,它們試圖使單個(gè)被攻擊的客戶端成為更大惡意網(wǎng)絡(luò)的一部分。僵尸主控機(jī)有一個(gè)或多個(gè)“命令和控制”服務(wù)器,僵尸客戶端則可以通過這些服務(wù)器接收更新后的指令。僵尸網(wǎng)絡(luò)的規(guī)??梢詮膸浊_(tái)受損的計(jì)算機(jī)到由一個(gè)僵尸網(wǎng)絡(luò)主機(jī)控制的數(shù)十萬個(gè)系統(tǒng)組成的巨大網(wǎng)絡(luò)。這些僵尸網(wǎng)絡(luò)經(jīng)常會(huì)被出租給其他犯罪分子,然后他們將其用于自己的邪惡目的。
5.勒索軟件
在過去的幾年中,加密數(shù)據(jù)并將其作為人質(zhì)等待加密貨幣回報(bào)的惡意程序在惡意軟件中占了很大比例,而且這個(gè)比例還在不斷增長。勒索軟件經(jīng)常會(huì)癱瘓公司、醫(yī)院、警察部門,甚至是整個(gè)城市。
大多數(shù)勒索軟件程序都是特洛伊木馬,這意味著它們必須通過某種形式的社會(huì)工程來進(jìn)行傳播。一旦被執(zhí)行,其大多數(shù)會(huì)在幾分鐘內(nèi)查找并加密用戶的文件,盡管現(xiàn)在有一些也采取了“觀望”的方法。通過在啟動(dòng)加密程序前觀察用戶幾個(gè)小時(shí),惡意軟件管理員可以準(zhǔn)確計(jì)算出受害者可以支付多少贖金,并確保刪除或加密其他據(jù)稱安全的備份。
勒索軟件可以像其他類型的惡意軟件程序一樣被阻止,但是一旦被執(zhí)行,如果沒有一個(gè)好的、經(jīng)過驗(yàn)證的備份,就很難扭轉(zhuǎn)損失。根據(jù)一些研究,大約四分之一的受害者會(huì)支付贖金,其中,大約30%的人仍然無法解鎖他們的文件。不管怎樣,如果可能的話,解鎖加密文件需要特殊的工具、解密密鑰和更多的運(yùn)氣。最好的建議是確保所有關(guān)鍵文件都有一個(gè)好的離線備份。
6.無文件惡意軟件
無文件惡意軟件實(shí)際上并不是一個(gè)不同類別的惡意軟件,但更多的是對它們?nèi)绾卫靡约白巫我郧蟮拿枋觥鹘y(tǒng)惡意軟件需要通過文件系統(tǒng)傳播并感染新的系統(tǒng)。無文件惡意軟件目前占所有惡意軟件的50%以上,而且還在不斷增長,它是不直接使用文件或文件系統(tǒng)的惡意軟件。它們僅在內(nèi)存中使用或使用其他“非文件”操作系統(tǒng)對象(如注冊表鍵、API或計(jì)劃任務(wù))。
許多無文件攻擊始于利用現(xiàn)有的合法程序,以成為新啟動(dòng)的“子進(jìn)程”,或者通過使用操作系統(tǒng)中內(nèi)置的現(xiàn)有合法工具(如Microsoft的PowerShell)。最終結(jié)果是無文件攻擊更難被檢測和阻止。如果你還不熟悉常見的無文件攻擊技術(shù)和程序,你應(yīng)該去熟悉,如果你想在計(jì)算機(jī)安全領(lǐng)域工作的話。
7.廣告軟件
如果幸運(yùn)的話,你接觸到的唯一惡意軟件程序就是廣告軟件,它試圖將受到損害的最終用戶暴露在不需要的、潛在的惡意廣告中。常見的廣告軟件程序可能會(huì)將用戶的瀏覽器搜索重定向到包含其他產(chǎn)品促銷的相似網(wǎng)頁。
8.惡意廣告
不要與廣告軟件相混淆,惡意廣告是指使用合法廣告或廣告網(wǎng)絡(luò)向不知情的用戶計(jì)算機(jī)秘密發(fā)送惡意軟件。例如,網(wǎng)絡(luò)罪犯可能會(huì)花錢在合法網(wǎng)站上投放廣告。當(dāng)用戶點(diǎn)擊廣告時(shí),廣告中的代碼要么會(huì)將他們重定向到惡意網(wǎng)站,要么會(huì)在他們的計(jì)算機(jī)上安裝惡意軟件。在某些情況下,嵌入在廣告中的惡意軟件可能會(huì)在用戶不采取任何行動(dòng)的情況下自動(dòng)執(zhí)行,這種技術(shù)被稱為“路過式下載”。
眾所周知,網(wǎng)絡(luò)犯罪分子還會(huì)破壞向許多網(wǎng)站發(fā)送廣告的合法廣告網(wǎng)絡(luò)。紐約時(shí)報(bào)、Spotify和倫敦證券交易所等受歡迎的網(wǎng)站經(jīng)常會(huì)成為惡意廣告的載體,使其用戶處于危險(xiǎn)之中。
當(dāng)然,使用惡意廣告的網(wǎng)絡(luò)罪犯的目標(biāo)是賺錢。惡意廣告可以傳播任何類型的賺錢惡意軟件,包括勒索軟件、密碼挖掘腳本或是銀行特洛伊木馬。
9.間諜軟件
間諜軟件最常被那些想檢查親人電腦活動(dòng)的人使用。當(dāng)然,在有針對性的攻擊中,罪犯可以使用間諜軟件記錄受害者的擊鍵,并獲得密碼或知識(shí)產(chǎn)權(quán)。
廣告軟件和間諜軟件程序通常是最容易被刪除的,這通常是因?yàn)樗鼈兊囊鈭D不像其他類型的惡意軟件那樣邪惡。找到惡意的可執(zhí)行文件并防止它被執(zhí)行--你就完成了。
一個(gè)比實(shí)際的廣告軟件或間諜軟件更令人擔(dān)憂的是它被用來利用計(jì)算機(jī)或用戶的機(jī)制,不管是社會(huì)工程、未修補(bǔ)的軟件,還是其他十幾個(gè)root exploit原因。這是因?yàn)楸M管間諜軟件或廣告軟件程序的意圖并不像后門遠(yuǎn)程訪問特洛伊木馬那樣惡意,但它們都使用著相同的方法進(jìn)行入侵。廣告軟件/間諜軟件程序的存在應(yīng)該被作為一個(gè)警告,即在真正的惡意到來之前,設(shè)備或用戶存在某種需要被糾正的弱點(diǎn)。
查找并刪除惡意軟件
不幸的是,找到并刪除單個(gè)惡意程序組件可能是一件愚蠢的差事。你很容易搞錯(cuò)并錯(cuò)過一個(gè)組件。另外,你也不知道惡意軟件程序是否修改了系統(tǒng),這會(huì)使得它不可能被再次完全信任。
除非你在惡意軟件清除和取證方面受過良好的培訓(xùn),否則就請備份數(shù)據(jù)(如果需要),格式化驅(qū)動(dòng)器,并在計(jì)算機(jī)上發(fā)現(xiàn)惡意軟件時(shí)重新安裝程序和數(shù)據(jù)。修補(bǔ)好它,確保最終用戶知道他們做錯(cuò)了什么。這樣,你就又有了一個(gè)值得信賴的計(jì)算機(jī)平臺(tái),又可以在戰(zhàn)斗中前進(jìn),而不會(huì)有任何揮之不去的風(fēng)險(xiǎn)或問題了。