魏可源
恶意软件是病毒、蠕虫、特洛伊木马以及其他有害计算机程序的总称,并且很早就一直存在。恶意软件随不断发展演变,黑客利用它来进行破坏并获取敏感信息,而阻止和打击恶意软件占据了信息安全专业人员的大部分工作时间。
恶意软件的定义
Malware是恶意软件的缩写,正如微软公司所说的那样,“这是一个全面的术语,指的是任何旨在对计算机、服务器或计算机网络造成损害的软件。”换句话说,软件基于其预期用途被识别为恶意软件,而不是用于构建它的特定技术。
恶意软件的类型
这意味着,恶意软件和病毒之间的区别是一个问题:一个病毒就是一种恶意软件,所以所有的病毒都是恶意软件,但不是每一个恶意软件都是病毒。
还有许多不同的方法可以对恶意软件进行分类:首先是恶意软件的传播方式。人们可能已经听说过病毒、木马和蠕虫这几个词可以互换使用,但正如安全厂商赛门铁克公司所解释的那样,它们描述了恶意软件感染目标计算机的三种微妙的不同方式:
蠕虫是一种独立的恶意软件,可以自我复制,并从一台计算机传播到另一台计算机。
病毒是一段计算机代码,它将自身植入另一个独立程序的代码中,然后强制该程序采取恶意行为并自行传播。
木马是一种恶意程序,它不能自我复制,但会伪装成用户想要的东西,并诱使激活,以便造成破坏和传播。
恶意软件也可以由攻击者手动操作安装在计算机上,其方法是获取对计算机的物理访问权限或使用权限提升来获取远程管理员访问权限。
对恶意软件进行分类的另一种方法是,一旦它成功感染了受害者的计算机,它就会肆无忌惮实施破坏行为。
以下介绍一下恶意软件使用的各种潜在攻击技术:
间谍软件被Webroot Cybersecurity公司定义为“用于秘密收集不知情用户数据的恶意软件”。
从本质上讲,它会影响受害者在使用计算机时的行为,以及其发送和接收的数据,通常是为了将该信息发送给第三方。键盘记录程序是一种特定类型的间谍软件,它记录用户所有的击键行为,这种软件非常适合窃取密码。
正如TechTarget公司所描述的,“rootkit是一个程序,或者是一组软件工具,可以让威胁实施者远程访问和控制计算机或其他系统。”
它之所以如此得名,是因为它是一套工具(通常是非法的)在目标系统上获得root访问权限(以Unix术语管理员级别的控制),并隐藏它们的存在。
广告软件也是一种恶意软件,它会强制浏览器重定向到网络广告,这些广告通常会寻求进一步下载,甚至更多的恶意软件。正如“纽约时报”所指出的那样,广告软件经常提供一些诱人的“免费”节目,如游戏或浏览器。
勒索软件是一种恶意软件,可以加密硬盘驱动器的文件并要求受害者支付费用,通常索取比特币,以换取解密密钥。在过去几年中,一些备受瞩目的恶意软件在全球各地爆发,如Petya,这些都是勒索软件。
如果没有解密密钥,受害者就无法重新获得对其文件的访问权限。所谓的恐吓软件就是一种影子版本的勒索软件,它声称控制了受害者的计算机并要求支付赎金,但实际上只是使用浏览器重定向循环这样的技巧使它看起来好像造成了比实际更多的损害,并且不像勒索软件可以相对容易地禁用。
加密劫持(Cryptojacking)是攻击者可以强迫受害者提供比特币的另一种方式,在受害者不了解的情况下运行。
加密挖掘恶意软件感染受害者的计算机并使用其CPU周期来挖掘比特币,以获取利益。而挖掘软件可以在操作系统的后臺运行,也可以在浏览器窗口中作为JavaScript运行。
任何特定的恶意软件都有一些感染手段和行为类别。例如,WannaCry是一种蠕虫勒索软件,并且一个特定的恶意软件可能具有不同的形式,具有不同的攻击向量。例如Emotet银行恶意软件在木马和蠕虫中都被发现。
如果查看2018年6月互联网安全中心所列出的十大恶意软件,可以对恶意软件的类型有一个很好的认识。到目前为止,最常见的感染媒介是垃圾邮件,它诱使用户激活特洛伊木马风格的恶意软件。
WannaCry和Emotet是列表中最流行的恶意软件,而包括NanoCore和Gh0st在内的许多其他恶意软件都被称为远程访问特洛伊木马或RAT,实质上是像特洛伊木马一样传播的rootkit。像CoinMiner这样的加密货币恶意软件也在这个列表当中。
如何防止恶意软件感染
防止恶意软件感染的最佳方法是确保电子邮件系统安全严密,并且用户知道如何发现危险。
在此建议用户结合应用,仔细检查附加文档,并限制潜在危险的用户行为,以及让使用者了解常见的网络钓鱼诈骗行为,以便他们的安全常识能够发挥作用。
在涉及更多技术预防措施时,人们可以采取许多办法和步骤,其中包括保持所有系统的修补和更新,保存硬件清单,了解需要保护的内容,并对基础设施执行持续的漏洞评估等。
特别是在应对勒索软件攻击方面,采用的一种方法是始终对文件进行备份,这样在硬盘被加密时,则不需要支付赎金来取回这些文件。
恶意软件的防护
防病毒软件是恶意软件防护产品类别中最广为人知的产品,虽然高端安全专业人士认为它已经过时,但它仍然是防御恶意软件的基本支柱。
根据AV-TEST公司最近的调查,目前最好的防病毒软件来自卡巴斯基实验室、赛门铁克和趋势科技这样的安全产品供应商。
当涉及到更先进的企业网络时,端点安全产品可以提供针对恶意软件的深度防御。它不仅提供人们希望从防病毒中获得的基于签名的恶意软件检测,还提供反间谍软件、个人防火墙、应用程序控制,以及其他类型的主机入侵防护。
调研机构Gartner公司提供了安全领域的首选名单,其中包括Cylance、CrowdStrike和Carbon Black的产品。
如何检测恶意软件
尽管人们付出了很大努力,但在某些时候其系统被恶意软件感染是完全可能的。当用户达到企业IT级别时,还可以使用更高级的可见性工具来查看网络中发生的情况,并检测恶意软件感染。
大多数形式的恶意软件使用网络将信息传播或发送回其控制器,因此网络流量包含人们可能会错过的恶意软件感染信号,市场上有各种各样的网络监控工具,基价格从几美元到几千美元不等。还有安全信息与事件管理(SIEM)工具,它们是从日志管理程序演变而来的。
这些工具分析来自基础设施中各种计算机和设备的日志,以查找问题的征兆,包括恶意软件感染。安全信息与事件管理供应商的范围从像IBM和HPE公司这样的行业巨头到像Splunk和Alien Vault这样的小型公司。
如何清除恶意软件
一旦系统被感染,如何删除恶意软件实际上是一种代价高昂的过程。恶意软件删除是一项棘手的工作,该方法可能会根据人们正在处理的类型而有所不同。
企业的首席安全官有如何从rootkit、勒索软件和加密劫持中删除或以其他方式恢复的信息。如果人们正在寻求采用更有效清理系统的工具,Tech Radar公司可以提供很好地免费产品,其中包含一些来自防病毒世界的知名公司和Malwarebytes等新公司。
恶意软件的示例
漫长而传奇的恶意软件历史可追溯到20世纪80年代由Apple II爱好者交换使用的受感染软盘,以及1988年在Unix機器上传播的Morris蠕虫。一些高调的恶意软件攻击包括:
ILOVEYOU,一种在2000年像野火一样蔓延传播的蠕虫病毒,造成超过150亿美元的损失。
SQL Slammer,它在2003的首次快速传播,在几分钟内将互联网流量阻塞。
Conficker,一种利用Windows中未修补的漏洞并利用各种攻击媒介的蠕虫,从注入恶意代码到网络钓鱼电子邮件,最终破解密码并将Windows设备劫持到僵尸网络中。
Zeus,这是一种针对银行信息2000年之后出现的键盘记录木马软件。
CryptoLocker,第一次广泛传播的勒索软件攻击,其代码不断在类似的恶意软件项目中重新利用。
Stuxnet,是一种非常复杂的蠕虫病毒,它感染了全球的计算机,但只在一个地方造成了真正的物理破坏:摧毁了伊朗在纳坦兹核设施的富铀离心机,据称这是美国和以色列情报机构开发的蠕虫病毒。