當今時代,網絡世界處處充滿了危機,對於網絡用戶來說,能夠對各種類型的惡意軟件進行了解,也許有助於在網上衝浪的過程中保全自身。
病毒
計算機病毒,可以說是最廣為人知的一個概念,所有計算機的問題都能夠歸咎於“病毒”。但有一點需要了解,多數惡意軟件程序並不是病毒。計算機病毒會以修改合法主機文件的方式來執行病毒本身。
現在的網絡環境下,計算機病毒並不常見,在所有惡意軟件中僅不到10%。這算是件好事,畢竟病毒是唯一可以“感染”其他文件的惡意軟件,這一特點使其極難清理。由於其執行來自合法應用程序,所以即使是最好的防護軟件也難以做到完全杜絕計算機病毒。因此在大多數情況下,針對染毒文件,只會對其進行隔離或刪除受感染文件的操作。
蠕蟲
蠕蟲出現的比電腦病毒還要早,甚至可以追溯到大型計算機的年代。當然,真正使其流行開來的還是因為上世紀90年代電子郵件的出現。彼時,任何一封電子郵件都有可能是蠕蟲的攜帶者,每個計算機相關工作人員都對其頭疼不已,一旦打開郵件,那麼基本上整個公司的網絡都難以倖免。
蠕蟲的獨特之處在於其能夠自我複製。以臭名昭著的Iloveyou蠕蟲為例:當其被攻克時,基本上已經感染了世界上的每一個電子郵件用戶,該蠕蟲造成了電話系統超載(因為發送了帶有欺詐性的文本)、電視網絡關閉、甚至延遲了當天的報紙推送時間。除此之外,還有SQL Slammer以及MS Blaster等蠕蟲,其造成的破壞性,確保了蠕蟲在計算機安全歷史中的穩固地位。
蠕蟲能夠造成如此大的破壞力的原因,在於它具備不需要用戶操作就能夠進行自我複製並傳播。相比之下,病毒的傳播至少還需要用戶去啟動相應的文件。例如SQL Slammer蠕蟲就是用了Microsoft SQL中的一個漏洞,在其連接到網絡之後,大約十分鐘之後,網絡上所有存在該漏洞的SQL服務器都會出現緩衝區溢出的問題,這個傳播速度至今仍是一項紀錄。
木馬
曾經風靡一時的計算機蠕蟲,如今已基本被木馬等惡意程序所取代,成為了多數黑客的首選工具。木馬程序往往是包含著惡意指令並偽裝成合法應用程序的程序,存在時間同樣久於病毒,但論對計算機的掌控能力,任何惡意軟件都比不了木馬。
木馬的觸發機制與病毒類似,也需要用戶執行相應的程序才能激活其功能。通常,木馬會潛藏於電子郵件或網頁中。當然,也有一種路子比較野的,會偽裝成防病毒程序,告知用戶系統已被感染需要執行殺毒程序,極具欺騙性。
木馬程序極難防範,原因有兩點。其一,木馬的編寫難度低;其二,木馬一般通過欺騙用戶進行傳播,殺毒軟件、防火牆以及任何傳統的防禦機制均無法對其進行有效防範。儘管安全人員在不斷的打擊木馬程序,但其快速的更新迭代,導致防禦手段遠遠落後。
雜交程序和殭屍網絡
如今,市面上流竄的大多數惡意軟件基本都是多種惡意程序的組合,可能會包括木馬、蠕蟲,偶爾也帶著病毒。一般這種程序會以木馬的形式示人,但是在執行之後,便會展現出蠕蟲的特點——在網絡上瘋狂的傳播。
現在很多的惡意軟件程序都被認為是rootkit。從本質上講,惡意軟件就是試圖修改底層操作系統,以便最終獲取系統控制權並隱藏自己的程序。
Bots的本質也算是木馬/蠕蟲的組合體,其目標是將被攻擊的目標變成更大的惡意網絡的一部分。一般來說,殭屍網絡的規模能夠達到幾千臺計算機,並且一個殭屍網絡的主機,可能能夠控制數十萬個系統。這類網絡通常會用於對外出租,目標多數為網絡犯罪分子。
勒索軟件
近年來,加密劫持成為了網絡犯罪最常見的一種方式,勒索軟件也成為了惡意軟件中佔據比例最大的一部分,並且這個比例仍然在持續增長。
多數勒索軟件都是由木馬演變而來。同樣,其傳播也必須寄託於某些社交工具,並被用戶啟動。一旦在系統內執行,勒索軟件會在極短的時間內查找並加密用戶計算機中的重要文件。當然,有些程序還會在執行加密之前觀望一陣子,通過對機主的觀察來判斷他能接受的贖金是多少(可以說是非常智能了)。
幸運的是,勒索軟件也同樣可以被安全防護手段阻止。但一旦被執行,如果系統或關鍵文件沒有經過備份,那麼就很難有好結果了。根據調研,在受到勒索軟件攻擊的用戶中,大約有四分之一的受害者支付了贖金,而在這些人當中,也仍然有30%的人沒有被解鎖文件(所以說,黑客的嘴,騙人的鬼)。
無論如何,解鎖加密文件,這都是概率問題,還是建議廣大用戶養成備份的好習慣。
無文件惡意軟件
無文件惡意軟件實際上並不能算作一種“惡意軟件”,但也具備其單獨的存在和利用方式。傳統的惡意軟件往往通過文件傳播感染系統內的文件,無文件惡意軟件則可以不經過文件系統就完成操作,而是在內存中進行傳播,利用註冊表項、API或者計劃任務等。目前,這種惡意軟件形式在所有的惡意軟件中已佔據了超過50%的比例。
很多無文件攻擊都起始於對現有合法程序的利用,或是使用操作系統內置的工具(例如PowerShell),從而使得其更難檢測和制止。
廣告軟件
相比其他惡意軟件,廣告軟件簡直是其中的一股清流。其目的僅僅是對受感染用戶推送潛在的惡意廣告或垃圾廣告。常見的廣告軟件程序會將用戶的瀏覽器搜索重定向至一些包含其他產品促銷信息的網頁等,可以說是危害性非常小了。
惡意廣告
不要與上一條搞混了,這與廣告軟件不同,惡意廣告是指藉助合法的廣告頁面或軟件將惡意軟件暗中發送出去的行為。例如很多犯罪分子會在廣告網頁中嵌入惡意軟件,用戶一旦點擊則會在系統中自動安裝,並且在未經用戶允許的情況下自動執行,這種行為也被稱作“偷渡式下載”。
一般來說,一些熱門網站往往也都是犯罪分子的目標,比如各類媒體、金融網站等等,多數都存在惡意廣告的行為。
對犯罪分子來說,其本身的目的是盈利,因此惡意廣告中,也可能包含多種惡意軟件,包括勒索軟件、加密腳本或者銀行木馬等。
間諜軟件
很多情況下,一些對計算機具有監控功能的軟件就行使了間諜軟件的功能,當然這可能是合法的。但是在網絡犯罪中,攻擊者可以通過使用間諜軟件記錄目標用戶的鍵盤、鼠標行為獲取其密碼或其他關鍵信息。
一般來說,廣告軟件和間諜軟件是最容易發現以及刪除的,因為它們的目標與常規的惡意軟件完全不同,只需要找到其可執行文件並刪除就能夠解決問題。
相比之下,廣告軟件和間諜軟件帶來的更大問題,是它們會利用計算機或用戶系統的特點,包括但不限於社工、軟件漏洞等。雖然其不具備勒索類軟件的強大破壞性,但也都是通過相似的方法感染用戶系統。所以,換個角度來說,這兩種軟件對系統/設備的安全性檢測也有積極的影響。
查找和刪除惡意軟件
現在,很多惡意軟件程序都是由木馬或蠕蟲病毒演化而來,但最終造成的影響卻不全相同,用戶的計算機可能會變成廣大殭屍網絡一員,可能成為一次APT攻擊的起始點,也可能成為入侵大型企業網絡的一個缺口。但最終都會向一個目標彙集——謀利。
對於普通計算機用戶來說,查找/刪除惡意軟件並不是一件容易的事,很多時候,如果該軟件已經對系統做出了更改,擅自刪除非但不能解決問題,還可能帶來更嚴重的後果。因此,如果沒有接受過惡意軟件方面相關的培訓或瞭解,那麼還請養成良好的計算機使用習慣,例如定時備份,不亂訪問不該訪問的站點等。網絡安全也還是要從基礎做起。
*參考來源:csoonline,Karunesh91編譯,轉載自FreeBuf.COM
閱讀更多 Whitezero 的文章
