人们对安全术语的理解往往过于随意。然而,弄清楚恶意软件的分类是很重要的,因为了解各种类型的恶意软件是如何传播的对遏制和消除它们非常重要。
当你和极客们在一起的时候,这个简洁的恶意软件寓言集将帮助你正确理解你的恶意软件术语。
1. 病毒
计算机病毒是大多数媒体和普通终端用户对新闻中所报道的每一个恶意软件程序的称呼。幸运的是,大多数恶意软件程序并不是病毒。计算机病毒会修改其他合法的主机文件(或指向它们的指针),当受害者的文件被执行时,病毒也会被执行。
纯粹的计算机病毒在今天并不常见,它只占所有恶意软件的不到10%。这是一件好事:病毒是唯一能“感染”其他文件的恶意软件。这使得它们特别难以清除,因为恶意软件必须从合法程序中执行。这一直是不简单的,即使在今天也几乎是不可能的。最好的反病毒程序都很难做到这一点,在许多(如果不是大多数)情况下,只能够隔离或删除受感染的文件。
2. 蠕虫
蠕虫存在的时间甚至比计算机病毒还要长,可以一直追溯到大型机时代。电子邮件在20世纪90年代末成为了时尚,而近十年来,计算机安全专家们就一直在被作为邮件附件的恶意蠕虫所包围。只要有一个人打开了一封被蠕虫感染的电子邮件,整个公司就很快会被感染。
电脑蠕虫的独特之处在于它可以自我复制。以臭名昭著的Iloveyou蠕虫为例:当它爆发时,它几乎攻击了世界上每一个电子邮件用户,使电话系统过载(用欺诈手段发送短信),瘫痪电视网络,甚至把我每天下午的报纸都延迟了半天。其他几个蠕虫病毒,包括SQL Slammer和MS Blaster,也确保了其在计算机安全历史中的地位。
一个有效的蠕虫之所以具有如此大的破坏力,是因为它能够在最终用户不采取行动的情况下传播。相比之下,病毒要求最终用户至少需要在病毒试图感染其他无辜文件和用户之前将其启动。蠕虫则利用其他文件和程序来完成这些活动。例如,SQL Slammer蠕虫利用了Microsoft SQL中的一个(修补过的)漏洞,在大约10分钟内就可以使几乎每一台连接到互联网的未修补的SQL服务器发生缓冲区溢出,这一速度记录至今仍保持不变。
3. 木马
电脑蠕虫已被木马恶意软件程序所取代,成为了黑客的首选武器。特洛伊木马会被伪装成合法程序,但包含了恶意指令。它们已经存在了很久,甚至比计算机病毒还要长,但它们比任何其他类型的恶意软件都更能控制当前的计算机。
特洛伊木马程序必须由其受害者执行才能工作。木马通常会通过电子邮件到达,或者在用户访问受感染的网站时被推送。最受欢迎的木马类型是假的防病毒程序,它会弹出并声称你已被感染,然后指示你运行一个程序来清理你的电脑。用户吞下诱饵,木马就会生根发芽。
特别是远程访问木马(RAT)在网络犯罪分子中非常流行。RAT允许攻击者远程控制受害者的计算机,通常是为了横向移动并感染整个网络。这种类型的木马是为避免被检测而设计的。威胁脚本甚至不需要自己去写。地下市场上有数百个现成的RAT。
特洛伊木马很难防御有两个原因:它们很容易编写(网络犯罪分子通常会制作和兜售木马构建工具包),并会通过欺骗最终用户来进行传播--补丁、防火墙和其他传统防御措施无法阻止。恶意软件编写者每月都会放出数百万个木马。反恶意软件供应商则会尽最大努力来对抗特洛伊木马,但签名太多,无法跟上。
4. 混血儿和外来物种
如今,大多数恶意软件都是传统恶意程序的组合,通常包括特洛伊木马和蠕虫的一部分,偶尔还包括了病毒。通常,恶意软件程序在最终用户看来都是一个特洛伊木马,但一旦执行,它就会像蠕虫一样通过网络来攻击其他受害者。
今天的许多恶意软件程序都会被认为是rootkit或隐形程序。从本质上来说,恶意软件程序总是试图修改底层操作系统,以获得最终控制权,并躲避反恶意软件程序。要删除这些类型的程序,你就必须从内存中删除控制组件,并从反恶意软件扫描开始。
僵尸程序本质上是特洛伊木马/蠕虫的组合,它们试图使单个被攻击的客户端成为更大恶意网络的一部分。僵尸主控机有一个或多个“命令和控制”服务器,僵尸客户端则可以通过这些服务器接收更新后的指令。僵尸网络的规模可以从几千台受损的计算机到由一个僵尸网络主机控制的数十万个系统组成的巨大网络。这些僵尸网络经常会被出租给其他犯罪分子,然后他们将其用于自己的邪恶目的。
5. 勒索软件
在过去的几年中,加密数据并将其作为人质等待加密货币回报的恶意程序在恶意软件中占了很大比例,而且这个比例还在不断增长。勒索软件经常会瘫痪公司、医院、警察部门,甚至是整个城市。
大多数勒索软件程序都是特洛伊木马,这意味着它们必须通过某种形式的社会工程来进行传播。一旦被执行,其大多数会在几分钟内查找并加密用户的文件,尽管现在有一些也采取了“观望”的方法。通过在启动加密程序前观察用户几个小时,恶意软件管理员可以准确计算出受害者可以支付多少赎金,并确保删除或加密其他据称安全的备份。
勒索软件可以像其他类型的恶意软件程序一样被阻止,但是一旦被执行,如果没有一个好的、经过验证的备份,就很难扭转损失。根据一些研究,大约四分之一的受害者会支付赎金,其中,大约30%的人仍然无法解锁他们的文件。不管怎样,如果可能的话,解锁加密文件需要特殊的工具、解密密钥和更多的运气。最好的建议是确保所有关键文件都有一个好的离线备份。
6. 无文件恶意软件
无文件恶意软件实际上并不是一个不同类别的恶意软件,但更多的是对它们如何利用以及孜孜以求的描述。传统恶意软件需要通过文件系统传播并感染新的系统。无文件恶意软件目前占所有恶意软件的50%以上,而且还在不断增长,它是不直接使用文件或文件系统的恶意软件。它们仅在内存中使用或使用其他“非文件”操作系统对象(如注册表键、API或计划任务)。
许多无文件攻击始于利用现有的合法程序,以成为新启动的“子进程”,或者通过使用操作系统中内置的现有合法工具(如Microsoft的PowerShell)。最终结果是无文件攻击更难被检测和阻止。如果你还不熟悉常见的无文件攻击技术和程序,你应该去熟悉,如果你想在计算机安全领域工作的话。
7. 广告软件
如果幸运的话,你接触到的唯一恶意软件程序就是广告软件,它试图将受到损害的最终用户暴露在不需要的、潜在的恶意广告中。常见的广告软件程序可能会将用户的浏览器搜索重定向到包含其他产品促销的相似网页。
8. 恶意广告
不要与广告软件相混淆,恶意广告是指使用合法广告或广告网络向不知情的用户计算机秘密发送恶意软件。例如,网络罪犯可能会花钱在合法网站上投放广告。当用户点击广告时,广告中的代码要么会将他们重定向到恶意网站,要么会在他们的计算机上安装恶意软件。在某些情况下,嵌入在广告中的恶意软件可能会在用户不采取任何行动的情况下自动执行,这种技术被称为“路过式下载”。
众所周知,网络犯罪分子还会破坏向许多网站发送广告的合法广告网络。纽约时报、Spotify和伦敦证券交易所等受欢迎的网站经常会成为恶意广告的载体,使其用户处于危险之中。
当然,使用恶意广告的网络罪犯的目标是赚钱。恶意广告可以传播任何类型的赚钱恶意软件,包括勒索软件、密码挖掘脚本或是银行特洛伊木马。
9. 间谍软件
间谍软件最常被那些想检查亲人电脑活动的人使用。当然,在有针对性的攻击中,罪犯可以使用间谍软件记录受害者的击键,并获得密码或知识产权。
广告软件和间谍软件程序通常是最容易被删除的,这通常是因为它们的意图不像其他类型的恶意软件那样邪恶。找到恶意的可执行文件并防止它被执行--你就完成了。
一个比实际的广告软件或间谍软件更令人担忧的是它被用来利用计算机或用户的机制,不管是社会工程、未修补的软件,还是其他十几个root exploit原因。这是因为尽管间谍软件或广告软件程序的意图并不像后门远程访问特洛伊木马那样恶意,但它们都使用着相同的方法进行入侵。广告软件/间谍软件程序的存在应该被作为一个警告,即在真正的恶意到来之前,设备或用户存在某种需要被纠正的弱点。
查找并删除恶意软件
不幸的是,找到并删除单个恶意程序组件可能是一件愚蠢的差事。你很容易搞错并错过一个组件。另外,你也不知道恶意软件程序是否修改了系统,这会使得它不可能被再次完全信任。
除非你在恶意软件清除和取证方面受过良好的培训,否则就请备份数据(如果需要),格式化驱动器,并在计算机上发现恶意软件时重新安装程序和数据。修补好它,确保最终用户知道他们做错了什么。这样,你就又有了一个值得信赖的计算机平台,又可以在战斗中前进,而不会有任何挥之不去的风险或问题了。