本文來自微信公眾號“安全牛”。
自從計算機技術(shù)被廣泛使用以來,惡意軟件就一直以某種形式存在,但其存在的類型在不斷發(fā)展演變。如今,隨著人類社會數(shù)字化程度的不斷提升,惡意軟件已經(jīng)成為現(xiàn)代企業(yè)組織面臨的最嚴(yán)重安全威脅之一。為了有效應(yīng)對惡意軟件的威脅,我們需要清晰了解惡意軟件的最常見類型及其傳播特點,這對遏制和消除它們非常重要。本文收集整理了12種目前最常見的惡意軟件類型,并簡單分析了這些類型惡意軟件的威脅特點和預(yù)防策略。
1、病毒
病毒是迄今為止最常見的惡意軟件類型之一。它是一種能夠感染、破壞計算機設(shè)備,并在其運行系統(tǒng)上自我復(fù)制的程序。由于病毒是自我復(fù)制的,一旦安裝并運行,它們就可以在同一網(wǎng)絡(luò)上自動從一臺設(shè)備傳播到另一臺設(shè)備,無需人為干預(yù)。病毒通常通過惡意電子郵件附件、損壞的下載或通過軟件漏洞進行破壞。許多惡意病毒能夠竊取用戶的個人信息、刪除文件,甚至完全接管用戶的計算機系統(tǒng)發(fā)起DDoS攻擊。
防范建議:
●在計算機上安裝防病毒軟件,并定期更新;
●在網(wǎng)絡(luò)邊界部署防火墻、防毒墻等安全設(shè)備提升安全性;
●謹(jǐn)慎點擊郵件附件或URL鏈接;
●使用SSL工具檢查網(wǎng)站安全性,避免訪問未知或可疑網(wǎng)站。
2.勒索軟件
勒索軟件被認(rèn)為是當(dāng)前危害最大的惡意軟件之一,可以加密目標(biāo)受害者的文件并鎖定對其計算機系統(tǒng)的訪問。這種類型的惡意軟件會要求企業(yè)支付贖金以重新獲得訪問權(quán)限。勒索軟件攻擊旨在通過劫持信息和系統(tǒng)來勒索個人、企業(yè)和組織的錢財。
勒索軟件可以通過多種渠道傳播,包括電子郵件附件、惡意網(wǎng)站、軟件漏洞和社會工程攻擊。常見的勒索軟件類型包括:
●Locker勒索軟件:完全阻止用戶使用其設(shè)備。
●數(shù)據(jù)勒索軟件:竊取數(shù)據(jù),威脅公布數(shù)據(jù),除非支付贖金。
●雙重勒索軟件:加密并導(dǎo)出用戶的文件,攻擊者可能要求支付贖金或出售被盜數(shù)據(jù)。
●三重勒索軟件:在雙重勒索攻擊的基礎(chǔ)上增加第三層,如DDoS攻擊,并要求第三次付款。
●勒索軟件即服務(wù)(RaaS):以服務(wù)租用方式為攻擊者提供勒索軟件,開發(fā)者從支付的贖金中獲得一定比例的分成。
防范建議:
●實施有效的數(shù)據(jù)備份和恢復(fù)策略;
●對員工進行安全意識培訓(xùn),增強其對勒索軟件的了解和防范能力;
●及時打補丁以修復(fù)漏洞,并遵循最佳網(wǎng)絡(luò)安全實踐;
●部署先進的反惡意軟件工具,以檢測和阻止勒索軟件的入侵;
●定期審查和更新安全策略,以適應(yīng)不斷演變的勒索軟件威脅。
3、無文件惡意軟件
與傳統(tǒng)的惡意軟件不同,無文件惡意軟件不需要攻擊者在受害者的硬盤上安裝代碼。它采用寄生攻擊技術(shù),利用合法、可安全的工具(包括PowerShell、微軟宏和WMI)來感染受害者的系統(tǒng),將惡意代碼駐留在計算機內(nèi)存中。由于沒有可執(zhí)行文件,它可以逃避基于文件和特征的檢測工具,比如反病毒和反惡意軟件。
防范建議:
●定期更新操作系統(tǒng)和應(yīng)用程序補丁,使用強密碼、限制管理員權(quán)限等,這些措施可以減少系統(tǒng)被感染的風(fēng)險;
●檢測異常行為和其他異常指標(biāo),包括檢測異常的代碼執(zhí)行、橫向移動等活動;
●開展模擬攻擊演練,尋找異常行為和攻陷指標(biāo),可以提前發(fā)現(xiàn)和響應(yīng)潛在的無文件攻擊威脅;
●使用工具輔助清除,如Autoruns和Process Explorer(進程資源管理器)可能對Windows用戶有所幫助。這些工具可以幫助用戶分析和管理系統(tǒng)中的異常進程和自啟動項。
4、木馬
木馬也是一種很常見的惡意軟件,它可以偽裝成合法的應(yīng)用程序,甚至是防病毒程序,以誘騙用戶下載并安裝使用它,從而滲透您的設(shè)備、網(wǎng)絡(luò)或系統(tǒng)。特洛伊木馬通常用于竊取信息,包括信用卡號、其他敏感的消費者數(shù)據(jù)或?qū)⑵渌麗阂廛浖惭b到計算機上。此外,遠(yuǎn)程訪問木馬(RAT)還允許攻擊者控制受感染的設(shè)備。一旦獲得訪問權(quán)限,攻擊者可以使用受感染設(shè)備上的RAT來感染其他設(shè)備,并創(chuàng)建僵尸網(wǎng)絡(luò)。
防范建議:
●教育企業(yè)的員工應(yīng)謹(jǐn)慎安裝新軟件,小心點擊郵件中的鏈接和附件,以防止木馬的入侵;
●部署并使用反惡意軟件工具、防火墻和其他安全軟件;
●及時更新操作系統(tǒng)和應(yīng)用程序,以修復(fù)已知漏洞;
●部署入侵防御系統(tǒng);
●實施訪問控制措施,限制對敏感系統(tǒng)和數(shù)據(jù)的訪問權(quán)限。
5、鍵盤記錄器
擊鍵記錄器是一種監(jiān)視擊鍵模式的惡意軟件,鍵盤記錄功能對黑客而言非常有用,因為一旦用戶在被感染設(shè)備上輸入了密碼或金融賬戶信息,惡意軟件就將捕獲這些信息并將其傳輸給攻擊者,從而非法利用這些信息。
防范建議:
●使用密碼管理器,減少手動輸入用戶名和密碼,從而降低擊鍵記錄的風(fēng)險;
●采用經(jīng)常更新的強密碼,確保密碼具有足夠的復(fù)雜性和長度,并定期更改密碼;
●部署防火墻和反惡意軟件解決方案可以幫助檢測和阻止惡意軟件的傳播;
●采用生物識別身份驗證,如指紋識別或面部識別等,可以減少對鍵盤輸入密碼的依賴;
●使用MFA技術(shù)可以增加賬戶的安全性。
6、Rootkit(根工具包)
Rootkit是一種為隱藏其在計算機系統(tǒng)中的存在而創(chuàng)建的惡意軟件。它可用于獲得對系統(tǒng)或網(wǎng)絡(luò)的未授權(quán)訪問。許多Rootkit旨在創(chuàng)建對系統(tǒng)和網(wǎng)絡(luò)的后門訪問,以竊取數(shù)據(jù)并進行其他非法活動。Rootkit可以為其他類型的惡意軟件,如勒索軟件、病毒和擊鍵記錄器等,提供傳播和隱藏的能力。Rootkit通常具有隱蔽性,一旦進入設(shè)備,它們可以禁用反惡意軟件和防病毒軟件,使其無法檢測到自身的存在。在某些情況下,重新格式化硬盤可能是清除Rootkit的唯一可行方法。因此,預(yù)防和及早發(fā)現(xiàn)Rootkit攻擊至關(guān)重要。
防范建議:
●部署反惡意軟件、防火墻和日志監(jiān)控工具等安全軟件,并及時更新這些軟件以保持最新的惡意軟件識別能力;
●及時修復(fù)已知的漏洞,減少Rootkit利用漏洞的機會;
●確保應(yīng)用軟件來源可信,并仔細(xì)審查軟件的權(quán)限和行為;
●網(wǎng)絡(luò)安全團隊?wèi)?yīng)監(jiān)測和分析異常網(wǎng)絡(luò)行為,及時發(fā)現(xiàn)和應(yīng)對潛在的rootkit攻擊。
7.間諜軟件
間諜軟件是一種監(jiān)視用戶計算機活動的惡意軟件,會在用戶不知情的情況下安裝到用戶計算設(shè)備上。這種類型的惡意軟件可以監(jiān)視擊鍵、捕獲屏幕截圖、Web瀏覽活動,還可以錄制音頻和/或視頻。間諜軟件還可以追蹤用戶的憑據(jù),獲取銀行卡信息和其他敏感數(shù)據(jù)。間諜軟件主要通過惡意的應(yīng)用程序、鏈接、網(wǎng)站和郵件附件等途徑感染設(shè)備。
防范建議:
●安裝反間諜軟件防護工具,并有效開啟反間諜軟件的功能;
●在下載軟件時,始終使用防火墻,對下載的文件進行安全性檢查;
●謹(jǐn)慎點擊不明或可疑的鏈接和郵件附件;
●定期使用反病毒軟件掃描系統(tǒng),發(fā)現(xiàn)和清除已感染的間諜軟件。
8、僵尸程序
僵尸程序,也稱為機器人程序,是一種自我復(fù)制的惡意軟件,可以傳播到其他設(shè)備,形成一個僵尸網(wǎng)絡(luò)。一旦感染了這種類型的惡意軟件,就會執(zhí)行攻擊者命令的自動任務(wù)。部署此類惡意軟件的攻擊者將試圖將其部署到成千上萬臺被稱為僵尸網(wǎng)絡(luò)的設(shè)備上。然后,攻擊者會從每臺設(shè)備生成流量,并用他們控制的僵尸網(wǎng)絡(luò)制造針對性的DDoS攻擊。許多僵尸網(wǎng)絡(luò)軟件通常是利用特洛伊木馬或其他惡意軟件類型感染多臺計算機而生成的。一旦部署,就很難識別和終止,因為它涉及多個受感染的設(shè)備。
防范建議:
●在企業(yè)環(huán)境中安裝反惡意軟件或EDR(終端檢測和響應(yīng))軟件,并使用防火墻來監(jiān)控和阻止僵尸軟件的傳播;
●定期進行補丁管理來修復(fù)已知的安全漏洞,可以減少僵尸程序的入侵風(fēng)險;
●強制要求用戶使用強密碼,并定期更改密碼;
●部署網(wǎng)絡(luò)監(jiān)控軟件,及時發(fā)現(xiàn)成為僵尸網(wǎng)絡(luò)的跡象,并采取相應(yīng)的防御措施;
●使用僵尸網(wǎng)絡(luò)防護和DDoS解決方案,以增強對DDoS攻擊的抵御能力。
9、加密貨幣劫持
挖礦軟件每驗證一次區(qū)塊鏈交易就會獲得獎勵,但加密貨幣挖掘通常需要龐大的計算處理能力。而惡意加密貨幣挖掘(即加密貨幣劫持)使攻擊者能夠利用受感染設(shè)備的資源(包括電力和算力)進行挖礦和驗證工作。這可能導(dǎo)致企業(yè)中受感染的計算設(shè)備性能下降,并因電力資源被盜而造成用戶的經(jīng)濟損失。
防范建議:
●監(jiān)視網(wǎng)絡(luò)流量,并識別出異常的挖礦行為;
●安裝Web廣告攔截或反加密貨幣挖掘插件,阻止惡意挖礦腳本的加載;
●使用端點防護工具,識別和阻止惡意挖掘程序的運行;
●及時更新Web過濾工具,識別和封鎖已知的惡意挖掘腳本。
10、數(shù)據(jù)擦除器
數(shù)據(jù)擦除器是一種惡意的數(shù)據(jù)擦除軟件,也會被安全研究人員歸類為一種特殊的勒索軟件。與勒索軟件一樣,其目的是阻止訪問受害者的數(shù)據(jù)。但與勒索軟件不同的是,它破壞數(shù)據(jù),而不是勒索以索要贖金。擦除器惡意軟件攻擊的目的不是為了牟利,而是清除數(shù)據(jù)。惡意攻擊者經(jīng)常在攻擊后使用擦除器惡意軟件來掩蓋蹤跡。
防范建議:
●確保數(shù)據(jù)備份的完整性和可靠性,并將存儲數(shù)據(jù)與原始數(shù)據(jù)分離放置;
●遵循3-2-1-1數(shù)據(jù)保護規(guī)則,至少保留3個副本的數(shù)據(jù),使用2種不同的媒體存儲,其中1個存儲在離線位置,另外1個存儲在離線位置的不同設(shè)備上;
●采取適當(dāng)?shù)木W(wǎng)絡(luò)安全措施,包括部署防火墻、入侵檢測和防御系統(tǒng),及時安全補丁和更新,并強化的身份驗證和訪問控制等。
11、廣告軟件
廣告軟件是一種在用戶計算機上顯示不需要的廣告的軟件。它可以通過電子郵件附件、下載和受感染的網(wǎng)站進行分發(fā)。盡管并非所有廣告軟件都是惡意的,但廣告軟件通常會降低感染計算機的運行速度并導(dǎo)致其他性能問題。而一些惡意廣告軟件顯示的是可能導(dǎo)致感染的廣告內(nèi)容。
使用廣告軟件的前提通常是破壞系統(tǒng)內(nèi)存,導(dǎo)致處理器和其他操作系統(tǒng)功能崩潰。如今,大多數(shù)廣告軟件通常用于通過向用戶投放有針對性的廣告來為其開發(fā)人員創(chuàng)收。但是,某些形式的廣告軟件也可能會在未經(jīng)用戶同意的情況下收集用戶數(shù)據(jù)用于有針對性的廣告目的。
防范建議:
●安裝包含反廣告軟件功能的反病毒解決方案;
●在Web瀏覽器上啟用廣告攔截器,屏蔽不需要的廣告,包括彈出式窗口廣告;
●在安裝新軟件時,確保取消選擇默認(rèn)勾選的任何框,以防止附加的廣告軟件被安裝;
●要保持警惕,盡量避免與不明來源的廣告互動;
●只下載已知和可信的軟件開發(fā)商或網(wǎng)站。
12、蠕蟲
蠕蟲軟件屬于一種特殊的病毒程序,它無需人為干預(yù)即可自我復(fù)制,并感染其他計算機。蠕蟲軟件能夠廣泛利用組織網(wǎng)絡(luò)系統(tǒng)中的安全漏洞、惡意鏈接或文件,將自己植入到用戶的計算設(shè)備中。一旦進入系統(tǒng),蠕蟲會自動搜索聯(lián)網(wǎng)設(shè)備進行攻擊。蠕蟲通常偽裝成合法的工作文件,以避免用戶的注意。
防范建議:
●使用反病毒或反惡意軟件來防止蠕蟲感染,與防止病毒攻擊的方法相同;
●確認(rèn)郵件鏈接或附件的來源可信;
●定期更新操作系統(tǒng)和應(yīng)用程序,以修補已知的安全漏洞;
●有效配置并定期檢查防火墻策略,以屏蔽蠕蟲的入侵嘗試;
●實施網(wǎng)絡(luò)隔離和分段,限制蠕蟲在企業(yè)網(wǎng)絡(luò)中的傳播范圍。