雖然一些網(wǎng)絡(luò)攻擊是顯而易見(jiàn)的，但邏輯炸彈通常難以檢測(cè)，并且會(huì)悄悄地破壞您的設(shè)備和隱私數(shù)據(jù)。那么有哪些值得警惕的跡象呢？

什么是邏輯炸彈（logic bomb）？

邏輯炸彈是在滿足特定邏輯條件時(shí)能改變運(yùn)行方式，對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)實(shí)施破壞的計(jì)算機(jī)程序。這種程序通常隱藏在具有正常功能的程序中，在不具備觸發(fā)條件的情況下，邏輯炸彈深藏不露，系統(tǒng)運(yùn)行情況良好，用戶也察覺(jué)不到任何異常。但是，一旦觸發(fā)條件得到滿足，邏輯炸彈就會(huì)“爆炸”，造成對(duì)目標(biāo)系統(tǒng)的硬件破壞、文件破壞、數(shù)據(jù)破壞、信息滲漏及系統(tǒng)癱瘓等嚴(yán)重后果。邏輯炸彈的觸發(fā)方式非常多，如事件觸發(fā)、時(shí)間觸發(fā)、計(jì)數(shù)器觸發(fā)等。

邏輯炸彈程序不但可以設(shè)置在計(jì)算機(jī)的軟件中，也可以暗藏在計(jì)算機(jī)的固件中。邏輯炸彈不具傳染性，不能自我復(fù)制，但觸發(fā)邏輯炸彈發(fā)作的誘因可以存在于邏輯炸彈載體的各個(gè)環(huán)節(jié)，具有不可控制的意外性。

此外，雖然有時(shí)邏輯炸彈的交付技術(shù)與可能使您的計(jì)算機(jī)感染病毒或其他惡意軟件的技術(shù)相同，但更多情況下，它們是由對(duì)被攻擊系統(tǒng)具有特權(quán)訪問(wèn)權(quán)限的內(nèi)部人員植入的，因此很難檢測(cè)到。

而且，最棘手的部分是邏輯炸彈并不總是以引人注目的方式一次引爆，它們可以多次激活，完成工作后再次進(jìn)入休眠狀態(tài)，而您或您的網(wǎng)絡(luò)安全人員都不會(huì)注意到。

邏輯炸彈攻擊跡象

識(shí)別邏輯炸彈最好的方式是關(guān)注計(jì)算機(jī)的行為，從頭到尾了解它的系統(tǒng)，并調(diào)查任何感覺(jué)奇怪的東西。您可以從下述線索入手，留意任何異常故障。如果您不幸中招，請(qǐng)充分利用市場(chǎng)上最好的惡意軟件清除工具，并聯(lián)系相關(guān)安全專家協(xié)助處理。

1、電腦上的奇怪代碼

邏輯炸彈病毒需要將自己嵌入到您的計(jì)算機(jī)中才能工作。因此，發(fā)現(xiàn)此類(lèi)攻擊的一種方法是定期檢查所有編碼。無(wú)論您是自己做還是聘請(qǐng)專業(yè)人士，都要檢查您的操作系統(tǒng)和軟件，尤其是您經(jīng)常使用的任何重要或包含敏感數(shù)據(jù)的東西。如果您發(fā)現(xiàn)不應(yīng)該存在的代碼，那么您可能正在經(jīng)歷網(wǎng)絡(luò)攻擊。

2、文件消失或更改

即使您沒(méi)有立即發(fā)現(xiàn)異常代碼，您的計(jì)算機(jī)也可以表現(xiàn)出許多指向邏輯炸彈攻擊的行為。這一切都取決于病毒的目的。例如，如果惡意軟件的創(chuàng)建者在尋找文檔，您可能會(huì)發(fā)現(xiàn)一些無(wú)法解釋的文件更改行為。任何文件消失或更改異常都可能是有人在試圖篡改數(shù)據(jù)。

3、并非本人輸入的個(gè)人信息更改

使用邏輯炸彈進(jìn)行網(wǎng)絡(luò)攻擊的一個(gè)更清晰的跡象是，您的敏感信息細(xì)節(jié)被更改，但并非您本人所為。您填寫(xiě)的表格可能有一些不同之處——電話號(hào)碼、參考資料、收入等。您的在線帳戶密碼可能突然出錯(cuò)，迫使您創(chuàng)建一個(gè)新帳戶。

這就是您應(yīng)該時(shí)刻留意您的計(jì)算機(jī)行為的一個(gè)關(guān)鍵原因。如果您平時(shí)非常忙碌，為免忘記，您可以使用事件日志管理工具或在紙上記錄下您的活動(dòng)。

4、您的敏感數(shù)據(jù)始終在線

盡管您盡了最大的努力，但您可能會(huì)發(fā)現(xiàn)有人正在使用您的憑據(jù)、計(jì)算機(jī)上的信息、外部硬盤(pán)驅(qū)動(dòng)器或其他不易訪問(wèn)的特定位置。

如果您懷疑是黑客行為，但沒(méi)有證據(jù)表明其他病毒或任何警報(bào)響起，請(qǐng)檢查邏輯炸彈。它們非常隱秘，并且擅長(zhǎng)在竊取個(gè)人數(shù)據(jù)的同時(shí)不觸發(fā)您的網(wǎng)絡(luò)安全警報(bào)。

5、您的計(jì)算機(jī)因莫名其妙的問(wèn)題崩潰

另一方面，有一些邏輯炸彈被操縱造成破壞，這是勒索軟件攻擊中的一種常見(jiàn)工具，它們的影響在美國(guó)的網(wǎng)絡(luò)安全統(tǒng)計(jì)數(shù)據(jù)中顯而易見(jiàn)。

當(dāng)滿足此類(lèi)炸彈的條件時(shí)，它會(huì)“爆炸”并可能造成任何形式的損害——從鎖定或破壞關(guān)鍵文件到在線共享客戶詳細(xì)信息等。

即使您沒(méi)有收到贖金通知，或是專家檢查后并未發(fā)現(xiàn)明顯問(wèn)題，您的計(jì)算機(jī)還是因莫名其妙的問(wèn)題崩潰，這表明它背后可能存在邏輯炸彈。

6、無(wú)緣無(wú)故限制您的訪問(wèn)

如前所述，這種惡意軟件攻擊可以將您鎖定在您的計(jì)算機(jī)、軟件或在線帳戶之外。如果發(fā)生這種情況，并且您確定您或同事沒(méi)有更改密碼，那么是時(shí)候?qū)ふ疫壿嬚◤?，并提醒可能受到影響的任何其他人了?/p>

7、您使用了可疑文件或網(wǎng)站

一個(gè)很好的問(wèn)題是惡意軟件最初是如何進(jìn)入您的系統(tǒng)的。答案可以很簡(jiǎn)單，就像您訪問(wèn)危險(xiǎn)域或單擊您不應(yīng)該訪問(wèn)的鏈接一樣。例如，攻擊者可以針對(duì)您的電子郵件、網(wǎng)站、電話等，植入靜默邏輯炸彈而非木馬病毒。因此，如果您的PC以上述任何方式運(yùn)行，并且您記得訪問(wèn)或下載了一些不尋常的東西，那么您可能正在遭遇邏輯炸彈攻擊。

8、員工的可疑活動(dòng)

邏輯炸彈在內(nèi)部人員的幫助下進(jìn)入公司網(wǎng)絡(luò)也很常見(jiàn)。他們可能是心懷不滿的員工，也可能是想利用公司并從中受益的人。他們需要做的就是將病毒下載到計(jì)算機(jī)或通過(guò)USB驅(qū)動(dòng)器傳輸。無(wú)論炸彈的目的是什么，它都可以很容易地從中運(yùn)行。

您可以使用優(yōu)質(zhì)、最新的反惡意軟件來(lái)應(yīng)對(duì)此類(lèi)攻擊，并密切關(guān)注員工，尤其是那些離開(kāi)業(yè)務(wù)和外部合作伙伴的員工。如果您認(rèn)為自己遭受了邏輯炸彈的影響，請(qǐng)回想一下任何可能行為可疑或從攻擊中獲利的人。它比IT工作更具偵探性，但它可以為您指明正確的方向。

邏輯炸彈攻擊案例

1982年，一場(chǎng)大規(guī)模爆炸中斷了一條穿越西伯利亞的重要天然氣傳輸管道。多年來(lái)，一直有謠言稱，這是中央情報(bào)局的破壞行為。據(jù)稱，美國(guó)情報(bào)人員發(fā)現(xiàn)他們的蘇聯(lián)同行正試圖從西方竊取自動(dòng)化管道所需的計(jì)算機(jī)代碼，因?yàn)樘K聯(lián)本土的軟件行業(yè)無(wú)法勝任這項(xiàng)任務(wù)。所以，美國(guó)人故意讓蘇聯(lián)人竊取了藏有邏輯炸彈的代碼，最終導(dǎo)致管道中斷。此次事件被稱為原始的邏輯炸彈攻擊，盡管此事從未得到任何官方證實(shí)，且有一些證據(jù)表明破壞可能只是管道老化的結(jié)果。

雖然我們可能永遠(yuǎn)無(wú)法得知那條管道究竟發(fā)生了什么，但有很多有據(jù)可查的邏輯炸彈攻擊案例：

2001年底，一名系統(tǒng)管理員辭去了他在瑞銀的工作，僅幾個(gè)小時(shí)后，他購(gòu)買(mǎi)了許多“看跌”期權(quán)，如果其前雇主的股票在2002年3月15日之前下跌，他就可以獲利。結(jié)果，他留下的邏輯炸彈在3月4日成功引爆，瑞銀的眾多系統(tǒng)遭到破壞。最終，他被捕并被判處多年監(jiān)禁，還被迫支付數(shù)百萬(wàn)美元的賠償金。

2003年，一名系統(tǒng)管理員因擔(dān)心其雇主Medco Health Solutions解雇他，便在他們的服務(wù)器上設(shè)置了一個(gè)邏輯炸彈，以刪除大量數(shù)據(jù)。他將炸彈設(shè)置在自己2004年生日那天觸發(fā)，但由于編程錯(cuò)誤最終宣告失敗，所以他在次年又更改了觸發(fā)日期。不過(guò)，最終該邏輯炸彈提前幾個(gè)月被發(fā)現(xiàn)并禁用，他也被判入獄30個(gè)月。

2008年，一名被美國(guó)抵押貸款巨頭Fannie Mae解雇的程序員設(shè)法在網(wǎng)絡(luò)訪問(wèn)權(quán)限被終止前植入了一個(gè)邏輯炸彈，旨在清除該公司的所有數(shù)據(jù)。但最終，F(xiàn)annie Mae的程序員通過(guò)網(wǎng)絡(luò)日志追蹤到他的惡意腳本，并通過(guò)比較他在被終止那天在筆記本電腦上創(chuàng)建的目錄發(fā)現(xiàn)并禁用了該邏輯炸彈。

2014年-2016年間，一位在賓夕法尼亞州任職的西門(mén)子派遣工將邏輯炸彈放入了西門(mén)子用于管理訂單的電子表格中，然后他又收取數(shù)萬(wàn)美元的報(bào)酬來(lái)修復(fù)這些電子表格。

邏輯炸彈攻擊防御策略

由于某些邏輯炸彈是通過(guò)惡意軟件傳遞的，因此有效防御的一種方法就是遵循反惡意軟件最佳實(shí)踐：

• 注意網(wǎng)絡(luò)釣魚(yú)電子郵件，如果您不確定附件來(lái)自哪里，請(qǐng)不要打開(kāi)或下載附件。
• 同樣地，請(qǐng)勿下載或安裝來(lái)自非可信來(lái)源或非官方的應(yīng)用程序，包括瀏覽器導(dǎo)航欄，這是一種常見(jiàn)的惡意軟件載體。
• 使用更新的防病毒/端點(diǎn)安全軟件保護(hù)您的計(jì)算機(jī)安全。

不過(guò)，只是對(duì)抗惡意軟件并不足以化解所有潛在的邏輯炸彈。當(dāng)代碼中隱藏邏輯炸彈時(shí)，組織對(duì)第三方代碼（在這種情況下是開(kāi)源庫(kù)）的重用也會(huì)成為問(wèn)題。而且，沒(méi)有防病毒程序可以保護(hù)您免受內(nèi)部威脅。

檢測(cè)嵌入到您自己軟件中的惡意代碼（無(wú)論是心懷不滿的員工故意為之，還是以第三方庫(kù)的形式無(wú)意為之）的最佳方法，是將安全編碼實(shí)踐融入您的開(kāi)發(fā)管道中。這些做法旨在確保任何代碼在投入生產(chǎn)之前通過(guò)安全測(cè)試，并防止內(nèi)部攻擊者以不安全的方式單方面更改代碼。

同時(shí)，定期的員工培訓(xùn)也是必不可少的。只有不斷學(xué)習(xí)新的威脅類(lèi)型以及防御策略，才有能力應(yīng)對(duì)急速變化的網(wǎng)絡(luò)格局。

本文翻譯自：https://www.makeuseof.com/spot-logic-bomb-attack/ 與 https://www.csoonline.com/article/2115905/logic-bomb.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。