什么是恶意软件?恶意软件包含哪些类型?如何防御、检测或移除?本文针对这些疑问给出答案。
所谓“恶意软件”,事实上是一个关乎病毒、蠕虫、木马以及其他有害计算机程序的综合术语,其自计算的早期阶段就一直存在并活跃在我们身边。但是,它并非一成不变地存在着,而是随着技术的进步在不断发展完善,目前,黑客经常利用它来破坏并获取敏感信息的访问权限。可以说,打击恶意软件如今已经占据信息安全专业人士的大部分工作日常。
一、恶意软件定义
恶意软件(Malware)是恶意的软件(malicious software)的缩写。对于微软所言,它是一个包罗万象的术语,指的是任何旨在对单个计算机、服务器或计算机网络造成损害的软件。换句话说,一个软件之所以被识别为“恶意软件”,主要是基于其预期用途,而不是基于其构建技术或其他因素。
而在中国,关于恶意软件的定义还要追溯到2006年11月,根据中国互联网协会正式公布的恶意软件定义:恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。
病毒是一种恶意软件,因此所有病毒都是恶意软件,但是并非每一种恶意软件都是病毒,它也有可能是蠕虫、木马、广告插件、自动脚本等。
二、恶意软件类型
恶意软件的分类方式有很多种;首先是根据恶意软件的传播方式进行分类。您可能已经听说过病毒、木马和蠕虫这些词可以互换使用,但正如赛门铁克所解释的那样,它们描述了恶意软件感染目标计算机的三种微妙方式:
1. 蠕虫是一种独立的恶意软件,可以自我复制并从计算机传播到计算机;
2. 病毒是一段计算机代码,可以将自身插入另一个独立程序的代码中,然后强制该程序实施恶意行为并自行传播;
3. 木马是一个程序,它不能自我复制,但可以伪装成用户想要的东西,并诱骗他们激活它,以便它可以实现自身的破坏和传播活动。
恶意软件也可以由攻击者自己“手动”安装在计算机上,条件是要获取对目标计算机的物理访问权限,或使用权限提升来获取远程管理员访问权限。
针对恶意软件的另一种分类方式,主要依据其预期目的,即一旦恶意软件成功感染受害者的计算机后,它会利用各种攻击技术执行何种潜在的恶意企图:
1. 间谍软件:Webroot Cybersecurity将其定义为“用于秘密收集毫无戒心的用户数据的恶意软件”。本质上来说,它会在您使用计算机时,窃取您发送或接收的数据,以及监听您的网络行为,并将这些收集到的信息发送给第三方。其中,键盘记录程序是一种特殊类别的间谍软件,能够记录用户所有的击键操作——这种方式非常适合窃取用户密码信息;
2. Rootkit:TechTarget将其定义为“主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合”。广义而言,Rootkit也可视为一项技术。最早Rootkit用于善意用途,但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上,电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹,因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件;
3. 广告软件:同样属于恶意软件的一种,它会迫使您的浏览器重定向到网络广告,而这些广告通常会寻求进一步下载,甚至加载更多的恶意软件。正如《纽约时报》所言,广告软件通常捎带一些诱人的“免费”项目,如游戏或浏览器扩展等。
4. 勒索软件:是近年来非常普遍的一种恶意软件形式,主要通过加密受害者硬盘驱动器的文件,并要求支付赎金(通常为比特币等加密货币)来交换解密密钥。过去几年间,发生了多起备受瞩目的勒索软件事件,如WannaCry、Petya等。如果没有解密密钥,受害者将无法获取对其锁定文件的访问权限。所谓的“恐吓软件”(scareware)实际上是勒索软件的一种影子版本;它会声称已经控制了您的计算机,并要求您支付赎金,但实际上它只是利用了浏览器重定向循环这样的技巧,使其看起来好像遭遇勒索软件攻击一样。
5. 加密劫持(Cryptojacking):这是除勒索软件外,攻击者强迫您提供比特币等加密货币的另一种方式,只有它能够在您不必知道的情况下运行。加密挖掘恶意软件能够感染您的计算机设备,并使用您的CPU周期来挖掘比特币等加密货币,以此牟取暴利。这种类型的恶意软件可以在操作系统的后台运行,也可以在浏览器窗口中作为JavaScript运行。
任何特定的恶意软件都同样包含感染方式和行为类别,因此,例如,“WannaCry”是一种勒索软件蠕虫。而且一个特定的恶意软件可能具有不同的形式,带有不同的攻击向量:例如,Emotet银行恶意软件在野外被发现为木马和蠕虫。
根据2018年6月份进行的“10大最具影响力恶意软件”调查报告显示,到目前为止,最常见的感染媒介是垃圾邮件,它能够诱骗用户激活木马属性的恶意软件。此外,根据列表显示,“WannaCry”和“Emotet”是最流行的恶意软件。但是,许多其他被称为“远程访问木马/RAT”的恶意软件(包括NanoCore和Gh0st),本质上都是像木马一样传播的rootkit而已。此外,像CoinMiner这样的加密货币恶意软件也进入了该列表之中。
三、如何防止恶意软件
既然垃圾邮件和网络钓鱼电子邮件是恶意软件感染计算机的主要媒介,那么,防止恶意软件的最佳方法,就是要确保您的电子邮件系统已经得到了严密保护,并且确定您的用户知道如何发现此类威胁。我们建议您可以将“仔细检查附加文档”和“限制潜在危险的用户行为”两种方式结合使用。此外,还要教育用户了解最基本、常见的网络钓鱼手段,以便他们的这种常识可以在关键时刻发挥作用。
除了上述那些基本的网络卫生措施外,您还可以采取更多技术防御措施:
- 保持所有系统的修复和更新;
- 保存硬件清单,以便及时了解需要保护的内容;以及对基础架构执行持续的漏洞评估。
- 尤其是涉及勒索软件攻击时,备份问题始终是不容忽视的关键步骤。这样一来,即便是硬盘文件被攻击者加密,您也无需再用支付赎金的方式来取回它们。
四、恶意软件防护
防病毒软件(Antivirus softwareis)是恶意软件防护产品类别中最广为人知的产品;虽然名称中存在“病毒”一词,但是大多数产品针对的都是各种各样的恶意软件,不单单针对“病毒”这一种类型而已。虽然高端安全专业人士认为,它已经过时,但它目前仍是基本的反恶意软件的支柱。根据AV-TEST最近进行的测试结果显示,如今市场上,最好的防病毒软件来自卡巴斯基实验室、赛门铁克以及趋势科技等供应商。
当涉及到更先进的企业网络时,端点安全产品可以提供针对恶意软件的深度防御。该产品不仅能够提供基于签名的恶意软件检测,还提供反间谍软件、个人防火墙、应用程序控制以及其他类型的主机入侵防护功能。Gartner还为用户提供了该领域的首选名单,其中包括Cylance、CrowdStrike以及Carbon Black的此类产品。
五、如何检测恶意软件
尽管我们可能已经付出了最大的努力,但是某些时候,我们的系统仍然完全有可能遭到恶意软件感染,那么,您将如何判断自己的系统是否遭到了恶意软件感染呢?
就企业IT而言,可以使用更高级的可见性工具来查看网络中发生的情况,并检测恶意软件感染。大多数形式的恶意软件使用网络将信息传播或发送回其控制器,因此,网络流量包中会包含您可能错过的恶意软件感染信号;目前,市场上有各种各样的网络监控工具,价格从几美元到几千美元不等。还有安全信息和事件管理(SIEM)工具,它们是从日志管理程序演变而来的;这些工具能够分析来自基础架构中各种计算机和设备的日志,以查找问题迹象,包括恶意软件感染。安全信息和事件管理(SIEM)供应商范围十分广泛,包括像IBM和HP Enterprise这样的行业巨头,以及像Splunk和Alien Vault这样的小型专家。
六、如何清理恶意软件
一旦被感染,想要删除恶意软件可能动辄就要花费数百万美元,因为恶意软件删除是一项非常棘手的工作,它可能会根据正在处理的恶意软件类型不同而有所不同。如果您正在寻找清理系统的工具,Tech Radar可以提供很好的免费产品,其中不仅包含防病毒世界中一些耳熟能详的名称,还有一些像Malwarebytes这样的新秀。
七、恶意软件典型示例
我们已经讨论了当前一些迫在眉睫的恶意软件威胁。但是,还有一个漫长而传奇的恶意软件发展史等待我们探寻。关于恶意软件的历史,可以追溯到20世纪80年代由Apple II爱好者交换的受感染软盘和1988年在Unix机器上交换的Morris蠕虫。其他一些广为人知的恶意软件攻击还包括:
1. I LOVE YOU(“爱虫”病毒):这是一款出现在2000年的蠕虫病毒,实际上,这是一种自传播的蠕虫,其传播方式是将其自身发送给目标计算机地址簿中的每个联系人,主题词“I love you”则是为了诱使人们打开邮件。该恶意软件在当时造成了超过150亿美元的损失;
2. SQL Slammer:这是一款2003年出现的病毒程序,该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。共造成全球约50万台服务器遭到攻击,但造成的经济损失较小;
3. Conficker:这种蠕虫利用了Windows中未修补的漏洞,并通过各种攻击媒介(从注入恶意代码到网络钓鱼电子邮件)最终破解密码,并将Windows设备劫持到僵尸网络中;
4. Zeus:出现在00年代后期的一款键盘记录木马,主要目的在于窃取银行信息;
5. CryptoLocker:第一个广泛传播的勒索软件攻击,其代码不断在类似的恶意软件项目中重新利用;
6. Stuxnet(震网病毒):这是一种非常复杂的蠕虫病毒,于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的蠕虫病毒,比如核电站、水坝、国家电网等。它感染了全球的计算机设备,但只在一个地方造成了真正的破坏:即伊朗在纳坦兹的核设施,该病毒成功摧毁了伊朗的铀浓缩设备,造成伊朗核电站推迟发电。
八、2018全球恶意软件发展趋势
Comodo网络安全威胁研究实验室在其发布的《全球恶意软件2018年第一季度报告》中,针对全球3亿起恶意软件事件进行分析,概括总结了如下发展趋势:
1.加密挖掘攻击改变:紧随金钱脚步
目前的威胁展现了与2017年截然不同的情况:在2018年第一季度,加密货币挖矿恶意软件(cryptominer)相较其他恶意软件,数量飙至顶峰,取代了数量大幅下降的勒索软件,成为头号威胁。
2017年比特币价值高达20,000美元,成为加密攻击的主要目标。然而,今年真正的激增是因为cryptominer攻击增加到2890万,占第一季度所有恶意软件事件的10%。独特的cryptominer变种数量从1月份的93,750增加到3月份的127,000。
另一个让人震惊的发现:现在门罗币(Monero)已经取代比特币成为加密挖掘恶意软件的主要目标。安全分析师表示,黑客们如此喜欢门罗币的原因在于:它隐藏了交易方和金额;不能被追踪、列入黑名单或与以前的交易相关联;每两分钟创建一次块,可以提供更频繁的攻击机会;并专为在普通电脑上进行采矿而设计。
2.随着攻击者转移策略,勒索软件数量显著下降
报告数据显示,对采矿的非法关注似乎以勒索软件活动(减少)为代价,新变种从1月的124,320降至3月份的71,540,降幅为42%。
虽然勒索软件在2017年8月发现占所有恶意软件中的40%,但在2018年2月下降到不到10%。攻击者成功率降低的原因在于,他们没有创建恶意软件代码,公司采取了反勒索软件措施,例如虚拟化基础设施。但Comodo认为,勒索软件未来可能被作为破坏数据的武器,从而重新成为主要威胁。
3.密码窃取器正变得更加复杂和危险
Comodo网络安全专家已经目睹复杂密码窃取器的兴起,其中Pony Stealer Trojan是恶意软件有效载荷的首选。这主要是因为网络犯罪分子受到了经济因素的刺激,而世界财富增加和网上银行账户与均与加密钱包相关。
像Pony Stealer这样的密码窃取器,可以穿过受害者的计算机,秘密提取机密信息并掩盖其痕迹以避免被发现。
4.地缘政治紧张局势升级,恶意软件模式随之发生变化
分析发现,恶意软件类型与世界各地的时事相关。在第一季度,Comodo在埃及,印度,伊朗,以色列,土耳其和乌克兰发现了与军事行动的相关性的恶意软件,以及欧洲,亚洲和非洲的其他趋势相关的恶意软件。
恶意软件就像网络空间本身一样,仅仅是传统的‘现实世界’人类事务的映射,而恶意软件总是为犯罪、间谍活动、恐怖主义或战争等目的而编写的。
Comodo《全球恶意软件2018年第一季度报告》下载地址:
https://blog.comodo.com/comodo-news/comodo-cybersecurity-q1-2018-global-malware-report/
相关阅读
