如今，我們所處的網(wǎng)絡(luò)環(huán)境可謂是危機(jī)四伏，一不留神，我們的系統(tǒng)可能就會(huì)受到來自網(wǎng)絡(luò)和軟件的攻擊。雖然一些網(wǎng)絡(luò)攻擊的表現(xiàn)形式是顯而易見的，但是也有類似邏輯炸彈之類隱性的攻擊模式，而當(dāng)您意識(shí)到它對電腦系統(tǒng)所造成的危害時(shí)，往往已經(jīng)為時(shí)晚矣。

一、什么是邏輯炸彈?

從邏輯上說，邏輯炸彈攻擊其實(shí)是一種病毒。此類病毒會(huì)將自身附加到計(jì)算機(jī)的某個(gè)應(yīng)用代碼中，并在特定的情況下觸發(fā)。例如：系統(tǒng)日歷到了某個(gè)具體日期與時(shí)刻、用戶在鍵盤上輸入了某些字符，以及正在創(chuàng)建某個(gè)新的電子表格等場景。

邏輯炸彈類別的惡意代碼往往旨在：收集敏感信息、擾亂數(shù)據(jù)、刪除文件、以及完全阻止用戶的訪問等。其中最棘手的部分當(dāng)屬：邏輯炸彈并不總是以引人注目的方式“爆炸”一次。它們可以被多次激活，而且每次在完成其使命后，又會(huì)進(jìn)入休眠狀態(tài)，等待下一次爆炸的機(jī)會(huì)。

二、如何發(fā)現(xiàn)邏輯炸彈攻擊

識(shí)別邏輯炸彈的最好方法莫過于關(guān)注您的計(jì)算機(jī)行為，及時(shí)發(fā)現(xiàn)系統(tǒng)的任何異常表現(xiàn)。您可以從如下線索開始，結(jié)合自己的在線活動(dòng)、以及PC上的異常故障信息，充分利用市場上最好的惡意軟件清除工具，進(jìn)行查殺，或酌情聯(lián)系專家，獲取“外援”。

1.電腦上出現(xiàn)奇怪的代碼

通常，邏輯炸彈病毒需要將自己嵌入到目標(biāo)計(jì)算機(jī)中，才能發(fā)作。因此，發(fā)現(xiàn)此類攻擊的一種最簡單的方法便是定期檢查所有的程序代碼。無論您是想親歷親為、還是聘請專業(yè)人士，都需要仔細(xì)檢查您的操作系統(tǒng)、以及已安裝的軟件，尤其是那些經(jīng)常使用的、重要的、且包含了敏感數(shù)據(jù)的應(yīng)用。

如果您發(fā)現(xiàn)有不應(yīng)該存在的代碼，那么很可能您正在遭遇網(wǎng)絡(luò)攻擊。請參考在GitHub上的邏輯炸彈示例，來進(jìn)一步了解邏輯炸彈的設(shè)計(jì)邏輯，并有效地將此類惡意程序從您的系統(tǒng)中去除掉。

2.文件的消失或更改

鑒于攻擊目的不同，您即便沒有立即發(fā)現(xiàn)可疑的代碼，計(jì)算機(jī)也可能會(huì)表現(xiàn)出各種指向邏輯炸彈攻擊的跡象。例如，如果惡意軟件的創(chuàng)建者正在尋找文檔，那么您不但會(huì)發(fā)現(xiàn)系統(tǒng)的運(yùn)行速度驟降，而且某些文件會(huì)突然消失或被修改。這些跡象都表明，攻擊者正在以遠(yuǎn)程的方式，通過命令試圖篡改您的系統(tǒng)與數(shù)據(jù)。

3.個(gè)人信息被異常更改

電腦被邏輯炸彈攻擊的另一個(gè)清晰的跡象是：您的敏感數(shù)據(jù)遭遇了非法更改。例如，您保存好的某個(gè)Excel表格里的電話號(hào)碼、參考資料、以及收入等個(gè)人隱私信息，被替換甚至被刪除；您的在線賬戶密碼突然出錯(cuò)，而不得不創(chuàng)建一個(gè)新賬戶。為了避免此類情況的發(fā)生，您可以使用事件日志管理工具，將重要的個(gè)人敏感信息記錄到此類受保護(hù)的工具中，而不是以通用的文件格式、未加密地保存在系統(tǒng)的本地硬盤上。

4.本地信息被曝露到網(wǎng)上

盡管已經(jīng)非常小心了，但是您可能在不經(jīng)意間發(fā)現(xiàn)自己原本存儲(chǔ)在計(jì)算機(jī)本地硬盤、外部移動(dòng)設(shè)備存儲(chǔ)設(shè)備、以及其他不易被訪問到的特定位置中的登錄密碼、或個(gè)人敏感信息被流露到了互聯(lián)網(wǎng)上。雖然您可能沒有足夠的證據(jù)與黑客行為相關(guān)聯(lián)，但這已經(jīng)是邏輯炸彈攻擊的一種明顯佐證了。攻擊者已經(jīng)在非常隱蔽的角落，在不觸發(fā)您的網(wǎng)絡(luò)與系統(tǒng)安全警告的前提下，運(yùn)用其擅長的手段，竊取了大量個(gè)人數(shù)據(jù)。

5.電腦莫名其妙被各種問題“轟炸”

還有一類邏輯炸彈是以操縱和破壞用戶電腦的正常使用來作惡的。這也就是我們常說的勒索軟件攻擊。其“光輝事跡”往往能夠見諸全球各大媒體。無論是中小型企業(yè)，還是跨國公司，都難逃其魔爪。例如，近期AMD公司就被黑客竊取了450 Gb的機(jī)密數(shù)據(jù)。

通常，在邏輯炸彈的時(shí)機(jī)成熟時(shí)，它會(huì)以各種問題彈窗的方式，反復(fù)“轟炸”并霸占您的屏幕。您甚至揮之不去。其傳遞的信息往往是：您的關(guān)鍵文件被鎖定或破壞了，以及需要通過繳納贖金的方式，才能繼續(xù)使用。而且，此類贖金的繳納方式往往是以比特幣的形式來支付的，這樣就有效避免了攻擊者的賬戶被追查的。您不但會(huì)發(fā)現(xiàn)各種文件被修改了圖標(biāo)，更改了擴(kuò)展名，而且根本都無法被正常點(diǎn)擊打開。此時(shí)，您除了積極搜尋解鎖工具，剩下的便是奉上贖金了。當(dāng)然，就算您繳納了贖金，有時(shí)候也無法解開全部被鎖的文件。

6.您點(diǎn)擊了可疑文件或網(wǎng)站

至此，您一定想問一個(gè)根本性的問題：各種惡意軟件最初是如何進(jìn)入咱們系統(tǒng)的呢？答案可能很簡單，您可能訪問過一個(gè)危險(xiǎn)的網(wǎng)站，或是單擊了一個(gè)陌生的鏈接。利用我們所熟知的蠕蟲類型，攻擊者可以針對您的電子郵件、網(wǎng)站、網(wǎng)絡(luò)電話等，植入靜默的邏輯炸彈、以及傳統(tǒng)的木馬病毒。

因此，正所謂“好奇害死貓”，請不要在電腦上點(diǎn)擊異常的鏈接，或是下載陌生的文件，以避免被邏輯炸彈“盯上”。

7.內(nèi)鬼的可疑活動(dòng)

邏輯炸彈也可能是被內(nèi)部人員部署、或協(xié)助部署到公司網(wǎng)絡(luò)與系統(tǒng)中的。他們既可能是心懷不滿的員工，也可能是想利用公司數(shù)據(jù)獲益的合作方。

通常，他們會(huì)利用工作之便，將邏輯炸彈等病毒通過USB驅(qū)動(dòng)器，傳輸?shù)接?jì)算機(jī)上。雖然您可以使用最新高效的反惡意軟件來予以應(yīng)對，但是更應(yīng)該密切關(guān)注關(guān)鍵部門的員工，以及具有某些權(quán)限的外部合作伙伴。因此，如果您認(rèn)為自己的系統(tǒng)正在受到邏輯炸彈的影響，那么這些角色很可能就是“投毒”的罪魁禍?zhǔn)住?/p>

三、完善您的網(wǎng)絡(luò)安全以及時(shí)發(fā)現(xiàn)邏輯炸彈

如果您的計(jì)算機(jī)出現(xiàn)了莫名的跡象，那么您可通過上述介紹的7種方法，針對邏輯炸彈進(jìn)行查殺。綜上所述，我們除了充分利用防病毒技術(shù)，提高系統(tǒng)的安全防御能力，并對企業(yè)系統(tǒng)持續(xù)進(jìn)行檢查之外，還應(yīng)當(dāng)讓自己保持謹(jǐn)慎小心的態(tài)度，并對關(guān)鍵崗位的員工保持警惕。當(dāng)然，我們也可以采取一些額外的措施，例如：利用道德黑客，來模擬在線攻擊行為，以提高本企業(yè)在受到邏輯炸彈攻擊時(shí)的應(yīng)對能力。

原文鏈接：https://www.makeuseof.com/spot-logic-bomb-attack/

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。