惡意軟件是病毒、蠕蟲、特洛伊木馬以及其他有害計(jì)算機(jī)程序的總稱，并且很早就一直存在。而惡意軟件隨著時(shí)間的失衡不斷發(fā)展演變，黑客利用它來進(jìn)行破壞并獲取敏感信息。而阻止和打擊惡意軟件占據(jù)了信息安全專業(yè)人員的大部分工作時(shí)間。

[[248582]]

惡意軟件的定義

Malware是惡意軟件的縮寫，正如微軟公司所說的那樣，“這是一個(gè)全面的術(shù)語，指的是任何旨在對(duì)計(jì)算機(jī)、服務(wù)器或計(jì)算機(jī)網(wǎng)絡(luò)造成損害的軟件。”換句話說，軟件基于其預(yù)期用途被識(shí)別為惡意軟件，而不是用于構(gòu)建它的特定技術(shù)。

惡意軟件的類型

這意味著，惡意軟件和病毒之間的區(qū)別是一個(gè)問題：一個(gè)病毒就是一種惡意軟件，所以所有的病毒都是惡意軟件(但不是每一個(gè)惡意軟件都是病毒)。

還有許多不同的方法可以對(duì)惡意軟件進(jìn)行分類：首先是惡意軟件的傳播方式。人們可能已經(jīng)聽說過病毒、木馬和蠕蟲這幾個(gè)詞可以互換使用，但正如安全廠商賽門鐵克公司所解釋的那樣，它們描述了惡意軟件感染目標(biāo)計(jì)算機(jī)的三種微妙的不同方式：

• 蠕蟲是一種獨(dú)立的惡意軟件，可以自我復(fù)制，并從一臺(tái)計(jì)算機(jī)傳播到另一臺(tái)計(jì)算機(jī)。
• 病毒是一段計(jì)算機(jī)代碼，它將自身植入另一個(gè)獨(dú)立程序的代碼中，然后強(qiáng)制該程序采取惡意行為并自行傳播。
• 木馬是一種惡意程序，它不能自我復(fù)制，但會(huì)偽裝成用戶想要的東西，并誘使激活，以便造成破壞和傳播。

惡意軟件也可以由攻擊者手動(dòng)操作安裝在計(jì)算機(jī)上，其方法是獲取對(duì)計(jì)算機(jī)的物理訪問權(quán)限或使用權(quán)限提升來獲取遠(yuǎn)程管理員訪問權(quán)限。

對(duì)惡意軟件進(jìn)行分類的另一種方法是，一旦它成功感染了受害者的計(jì)算機(jī)，它就會(huì)肆無忌憚實(shí)施破壞行為。

以下介紹一下惡意軟件使用的各種潛在攻擊技術(shù)：

• 間諜軟件被Webroot Cybersecurity公司定義為“用于秘密收集不知情用戶數(shù)據(jù)的惡意軟件”。

從本質(zhì)上講，它會(huì)影響受害者在使用計(jì)算機(jī)時(shí)的行為，以及其發(fā)送和接收的數(shù)據(jù)，通常是為了將該信息發(fā)送給第三方。鍵盤記錄程序是一種特定類型的間諜軟件，它記錄用戶所有的擊鍵行為，這種軟件非常適合竊取密碼。

• 正如TechTarget公司所描述的，“rootkit是一個(gè)程序，或者是一組軟件工具，可以讓威脅實(shí)施者遠(yuǎn)程訪問和控制計(jì)算機(jī)或其他系統(tǒng)。”

它之所以如此得名，是因?yàn)樗且惶坠ぞ?通常是非法的)在目標(biāo)系統(tǒng)上獲得root訪問權(quán)限(以Unix術(shù)語管理員級(jí)別的控制)，并隱藏它們的存在。

• 廣告軟件也是一種惡意軟件，它會(huì)強(qiáng)制人們的瀏覽器重定向到網(wǎng)絡(luò)廣告，這些廣告通常會(huì)尋求進(jìn)一步下載，甚至更多的惡意軟件。正如“紐約時(shí)報(bào)”所指出的那樣，廣告軟件經(jīng)常提供一些誘人的“免費(fèi)”節(jié)目，如游戲或?yàn)g覽器。
• 勒索軟件是一種惡意軟件，可以加密硬盤驅(qū)動(dòng)器的文件并要求受害者支付費(fèi)用，通常索取比特幣，以換取解密密鑰。在過去幾年中，一些備受矚目的惡意軟件在全球各地爆發(fā)，如Petya，這些都是勒索軟件。

如果沒有解密密鑰，受害者就無法重新獲得對(duì)其文件的訪問權(quán)限。所謂的恐嚇軟件就是一種影子版本的勒索軟件，它聲稱控制了受害者的計(jì)算機(jī)并要求支付贖金，但實(shí)際上只是使用瀏覽器重定向循環(huán)這樣的技巧使它看起來好像造成了比實(shí)際更多的損害，并且不像勒索軟件可以相對(duì)容易地禁用。

• 加密劫持(Cryptojacking)是攻擊者可以強(qiáng)迫受害者提供比特幣的另一種方式，只有在受害者不了解的情況下運(yùn)行。

加密挖掘惡意軟件感染受害者的計(jì)算機(jī)并使用其CPU周期來挖掘比特幣，以獲取利益。而挖掘軟件可以在操作系統(tǒng)的后臺(tái)運(yùn)行，也可以在瀏覽器窗口中作為JavaScript運(yùn)行。

任何特定的惡意軟件都有一些感染手段和行為類別。因此，例如，WannaCry是一種蠕蟲勒索軟件。并且一個(gè)特定的惡意軟件可能具有不同的形式，具有不同的攻擊向量：例如，Emotet銀行惡意軟件在木馬和蠕蟲中都被發(fā)現(xiàn)。

如果人們查看2018年6月互聯(lián)網(wǎng)安全中心所列出的十大惡意軟件，可以讓人們對(duì)惡意軟件的類型有一個(gè)很好的認(rèn)識(shí)。到目前為止，最常見的感染媒介是垃圾郵件，它誘使用戶激活特洛伊木馬風(fēng)格的惡意軟件。

WannaCry和Emotet是列表中最流行的惡意軟件，而包括NanoCore和Gh0st在內(nèi)的許多其他惡意軟件都被稱為遠(yuǎn)程訪問特洛伊木馬或RAT，實(shí)質(zhì)上是像特洛伊木馬一樣傳播的rootkit。像CoinMiner這樣的加密貨幣惡意軟件也在這個(gè)列表當(dāng)中。

如何防止惡意軟件感染

垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件是惡意軟件感染計(jì)算機(jī)的主要媒介，防止惡意軟件感染的最佳方法是確保電子郵件系統(tǒng)安全嚴(yán)密，并且用戶知道如何發(fā)現(xiàn)危險(xiǎn)。

在此建議用戶結(jié)合應(yīng)用，仔細(xì)檢查附加文檔，并限制潛在危險(xiǎn)的用戶行為，以及讓用戶了解常見的網(wǎng)絡(luò)釣魚詐騙行為，以便他們的安全常識(shí)能夠發(fā)揮作用。

在涉及更多技術(shù)預(yù)防措施時(shí)，人們可以采取許多辦法和步驟，其中包括保持所有系統(tǒng)的修補(bǔ)和更新，保存硬件清單，了解需要保護(hù)的內(nèi)容，并對(duì)基礎(chǔ)設(shè)施執(zhí)行持續(xù)的漏洞評(píng)估等。

特別是在勒索軟件攻擊方面，采用的一種方法是始終對(duì)文件進(jìn)行備份，確保在硬盤加密時(shí)，人們則不需要支付贖金來取回這些文件。

惡意軟件的防護(hù)

防病毒軟件是惡意軟件防護(hù)產(chǎn)品類別中最廣為人知的產(chǎn)品，盡管其名稱中存在“病毒”，但大多數(shù)產(chǎn)品都采用各種形式的惡意軟件。雖然高端安全專業(yè)人士認(rèn)為它已經(jīng)過時(shí)，但它仍然是防御惡意軟件的基本支柱。

根據(jù)AV-TEST公司最近的調(diào)查，目前最好的防病毒軟件來自卡巴斯基實(shí)驗(yàn)室、賽門鐵克和趨勢(shì)科技這樣的安全產(chǎn)品供應(yīng)商。

當(dāng)涉及到更先進(jìn)的企業(yè)網(wǎng)絡(luò)時(shí)，端點(diǎn)安全產(chǎn)品可以提供針對(duì)惡意軟件的深度防御。它們不僅提供人們希望從防病毒中獲得的基于簽名的惡意軟件檢測(cè)，還提供反間諜軟件、個(gè)人防火墻、應(yīng)用程序控制，以及其他類型的主機(jī)入侵防護(hù)。

調(diào)研機(jī)構(gòu)Gartner公司提供了安全領(lǐng)域的首選名單，其中包括Cylance、CrowdStrike和Carbon Black的產(chǎn)品。

如何檢測(cè)惡意軟件

盡管人們付出了最大的努力，但在某些時(shí)候其系統(tǒng)被惡意軟件感染是完全可能的。當(dāng)用戶達(dá)到企業(yè)IT級(jí)別時(shí)，還可以使用更高級(jí)的可見性工具來查看網(wǎng)絡(luò)中發(fā)生的情況，并檢測(cè)惡意軟件感染。

大多數(shù)形式的惡意軟件使用網(wǎng)絡(luò)將信息傳播或發(fā)送回其控制器，因此網(wǎng)絡(luò)流量包含人們可能會(huì)錯(cuò)過的惡意軟件感染信號(hào)，市場上有各種各樣的網(wǎng)絡(luò)監(jiān)控工具，基價(jià)格從幾美元到幾千美元不等。還有安全信息與事件管理(SIEM)工具，它們是從日志管理程序演變而來的。

這些工具分析來自基礎(chǔ)設(shè)施中各種計(jì)算機(jī)和設(shè)備的日志，以查找問題的征兆，包括惡意軟件感染。安全信息與事件管理(SIEM)供應(yīng)商的范圍從像IBM和HPE公司這樣的行業(yè)巨頭到像Splunk和Alien Vault這樣的小型公司。

如何清除惡意軟件

一旦系統(tǒng)被感染，如何刪除惡意軟件實(shí)際上是一種代價(jià)高昂的過程。惡意軟件刪除是一項(xiàng)棘手的工作，該方法可能會(huì)根據(jù)人們正在處理的類型而有所不同。

企業(yè)的首席安全官有關(guān)如何從rootkit、勒索軟件和加密劫持中刪除或以其他方式恢復(fù)的信息。此外還有一個(gè)審核Windows注冊(cè)表的指南，以確定如何處理。如果人們正在尋求采用更有效清理系統(tǒng)的工具，Tech Radar公司可以提供很好的免費(fèi)產(chǎn)品，其中包含一些來自防病毒世界的知名公司，以及Malwarebytes等新公司。

惡意軟件的示例

在此已經(jīng)討論了當(dāng)前一些迫在眉睫的惡意軟件威脅。但是，漫長而傳奇的惡意軟件歷史可追溯到20世紀(jì)80年代由Apple II愛好者交換使用的受感染軟盤，以及1988年在Unix機(jī)器上傳播的Morris蠕蟲。其他一些高調(diào)的惡意軟件攻擊包括：

• ILOVEYOU，一種在2000年像野火一樣蔓延傳播的蠕蟲病毒，造成超過150億美元的損失。
• SQL Slammer，它在2003的首次快速傳播，在幾分鐘內(nèi)將互聯(lián)網(wǎng)流量阻塞。
• Conficker，一種利用Windows中未修補(bǔ)的漏洞并利用各種攻擊媒介的蠕蟲 ，從注入惡意代碼到網(wǎng)絡(luò)釣魚電子郵件，最終破解密碼并將Windows設(shè)備劫持到僵尸網(wǎng)絡(luò)中。
• Zeus，這是一種針對(duì)銀行信息的20000年之后出現(xiàn)的鍵盤記錄木馬軟件。
• CryptoLocker，第一次廣泛傳播的勒索軟件攻擊，其代碼不斷在類似的惡意軟件項(xiàng)目中重新利用。
• Stuxnet，是一種非常復(fù)雜的蠕蟲病毒，它感染了全球的計(jì)算機(jī)，但只在一個(gè)地方造成了真正的物理破壞：摧毀了伊朗在納坦茲核設(shè)施的富鈾離心機(jī)，據(jù)稱這是美國和以色列情報(bào)機(jī)構(gòu)開發(fā)的蠕蟲病毒。