什么是恶意软件?

恶意软件代指可以中断用户的计算机、手机、平板电脑或其他设备的正常运行或对其造成危害的恶意代码。存在多种不同的恶意软件类别,包括但不限于蠕虫病毒、特洛伊木马、间谍软件和键盘记录器。这些术语通常可以互换使用,越来越多的恶意软件变体现在混合使用了不同的技术。

如今的大多数恶意软件聚焦于让恶意软件作者获利1。通常采用的手段是窃取机密数据,比如用户名、密码、信用卡详细信息或其他财务细节。然后使用这些敏感信息来针对个人和企业发起进一步的攻击或出售给其他恶意角色。勒索软件(一种可锁定设备并要求支付赎金以恢复文件访问的恶意软件)越来越广泛地用于恶意软件牟利。

据估计,每天都会发现 390,000 个新的恶意软件变体。

恶意软件可以绕过安全系统并避开检测,因此安全团队很难确保用户和企业不会受到不利影响。恶意软件作者实施多种方法来实现这种规避,包括使用迷惑性的文件名、修改文件属性、模拟合法程序操作和隐藏进程及网络连接。大量新兴恶意软件促进了这些迷惑和规避技术;据估计,每天都会发现 390,000 个新的恶意软件变体2

恶意软件如何传播?

恶意软件可通过多种不同的方式传播并导致设备感染。其中包含:

  • 网络钓鱼电子邮件附带的恶意文件 - 该电子邮件可能会使用社会工程技术来鼓励收件人打开附件。打开后,附件将传输恶意软件代码。
  • 电子邮件正文中的恶意 URL 链接 - 该电子邮件可能会使用社会工程技术来鼓励收件人单击链接。单击后,URL 将导航到恶意软件下载网页。
  • 偷偷下载 - 在用户直接访问恶意软件下载网站或通过恶意广告重定向到此类页面时,将传输恶意软件代码。
  • 受感染的 USB 设备。
  • 通过利用外围防火墙上的开放端口实现直接网络入侵。
  • 设备操作系统或安装的应用程序中的漏洞 - 例如,用户浏览器中旧的、过期的或配置错误的 Flash 插件。被感染的网站可以设计为在用户访问该页面后扫描用户设备上的此类漏洞。上述页面上的恶意软件可以识别能够利用的漏洞,然后提供特定的恶意软件代码以利用找到的漏洞。

低进入门槛

直到几年以前,网络犯罪分子还需要具有不错的软件工程、安全性和网络知识才能发起恶意软件攻击。但随着整个生态系统的发展,恶意角色只需付出低至 39 美元的成本,便可以构建、部署和通过恶意软件牟利3。实际上,恶意软件即服务 (MaaS) 和勒索软件即服务 (RaaS) 早已发展成熟,购买和下载费用低廉,并且在热门网站上投放了公开广告。其中一个销售各种 MaaS 方案的此类网站的示例如下。

Malware Seller

恶意软件的类型

间谍软件:跟踪浏览活动并收集有关个人或组织的信息。秘密将此信息发送到另一个机构,以便进行进一步的恶意使用,或在用户不知情的情况下控制某个设备。

按键记录器:记录用户的按键操作以提取用户名、密码和其他敏感信息。这些信息经常被网络犯罪分子用于进一步的恶意活动。

特洛伊木马:伪装成合法软件以监视或访问用户系统,从而窃取,删除,阻止或修改数据以及中断设备或网络性能。存在多种特洛伊木马,包括允许网络犯罪分子完全远程控制受感染设备的后门特洛伊木马、可将设备纳入僵尸网络再用于发起拒绝服务攻击的特洛伊木马-DDoS 以及允许使用设备来发起垃圾电子邮件攻击的电子邮件特洛伊木马4

蠕虫病毒:通过网络连接将自身从一个设备、驱动器或网络复制另一个设备、驱动器或网络上。蠕虫病毒可自动传播,无需人为帮助启动,它可以自我复制,从而占用带宽并让 Web 服务器过载5

Rootkit:设计为能够获取设备的远程管理控制权限。安装后, Rootkit 背后的恶意角色可以跟踪设备上完成的所有操作,运行文件,安装程序和其他恶意软件并修改软件(包括防病毒程序)。Rootkit 非常难以检测和移除6

勒索软件:加密用户的设备或网络的存储设备上的文件。要恢复对加密文件的访问,用户必须向网络犯罪分子支付“赎金”,通常是通过很难跟踪的电子付款方法,比如比特币。

减少恶意软件对您的企业造成影响的风险

提升最薄弱的环节。大多数恶意软件要求某人采取行动来激活携带的攻击媒介。必须培训员工识别和防御网络攻击。很多攻击使用电子邮件和社会工程技术诱使员工下载恶意软件或泄漏用户名和密码。因此,培训应聚焦于这些常见的攻击向量。可在练习中向员工发送伪造的“网络钓鱼”电子邮件,此做法可有效指导用户区分真正的供应商通信和带有主题行“发票在附件中 - 请打开”的网络钓鱼电子邮件。

修补、修补、修补。然后再次修补。如最近的 WannaCry 和 Petya 攻击所示,如果未能实施严格的策略来修补已知的安全漏洞,企业可能会暴露在攻击之下。甚至在将 EternalBlue 漏洞用于 WannaCry 和 NotPetya 攻击数月之后,据估计至少有 3800 万台电脑仍未应用修补程序7。网络犯罪分子可以相对简单地识别企业网络上未应用修补程序的设备和软件,在识别后,他们可以充分利用已知漏洞。

据估计至少有 3800 万台电脑仍未应用修补程序。

备份您的数据,然后备份您的备份。对于一些人而言,这似乎是显而易见的事,但恶意软件可以加密存储在网络服务器上的备份。因此,企业需要检查他们当前的备份策略。员工是否将重要文件备份到网络驱动器?来自这些设备和文件服务器的备份是否随后会备份到云备份服务?您是否进行了测试,保证备份确实可以正常恢复?这样一来,如果恶意软件加密了所有本地文件和备份,企业仍可以快速恢复它们,从而最大程度减少对业务的影响。

依靠单一安全层来应对这种不断发展的攻击并不是最佳的做法。

让坏人更难下手 - 设置多层防御。网络犯罪分子花费大量时间和金钱来开发形式更加复杂的高级恶意软件,旨在绕过公司的安全防御。依靠单一安全层来应对这种不断发展的攻击并不是最佳的做法。利用多个安全层意味着,如果一层无法拦截攻击,您的其他层仍可抵御威胁。那么,您的公司目前装备了哪些安全防御层?您是否有不同的安全解决方案,从而可在攻击的所有阶段帮助缓解风险?您的安全防御中目前是否存在恶意角色可以利用的漏洞?


1 https://securityintelligence.com/know-your-enemy-understanding-the-motivation-behind-cyberattacks/
2 https://www.av-test.org/en/statistics/malware/
3 https://www.forbes.com/sites/kevinmurnane/2016/07/15/ransomware-as-a-service-being-offered-for-39-on-the-dark-net/#b45e97955a63
4 https://usa.kaspersky.com/resource-center/threats/trojans
5 https://www.veracode.com/security/computer-worm
6 https://heimdalsecurity.com/blog/rootkit/
7 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
8 https://www.gdatasoftware.com/blog/2017/04/29666-malware-trends-2017
9 https://www.forbes.com/sites/jameslyne/2013/09/06/30000-web-sites-hacked-a-day-how-do-you-host-yours/#6d04c3481738
10 https://www.theguardian.com/technology/2016/mar/16/major-sites-new-york-times-bbc-ransomware-malvertising
11 https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
12Kruegel,D. C.,RSA 实验室报告:偷偷摸摸的恶意软件已成为主流。检索自 http://labs.lastline.com/evasive-malware-gone-mainstream