恶意软件
时间:2023年5月7日 星期日
作者:小王
一、恶意代码来源
最早由开发人员研制,后来经过传播和演变已经形成来产业链,有开发的、投放的、收尾的等等。
二、病毒
计算机病毒主要有两个功能:传播和破坏。
1.病毒传播技术
记忆
• 主引导记录(MBR)病毒:利用可引导介质传播,如硬盘、U盘。
• 文件感染病毒(File Infector Virus):利用可执行程序进行传播,如exe、com、msc。
• 同伴病毒(Companion Virus):文件感染病毒的变种,利用系统文件相似的名称来伪装自己。
• 宏病毒(Macro Viruses):利用VBA实现病毒功能,常见于Microsoft Office全家桶。
• 服务注入病毒(Service Injection Viruses):将自己注入可信系统进程中,如svchost.exe。
2.病毒技术
记忆特点
• 复合病毒(Multipartite Viruses):使用多种传播技术,如Marzia病毒,感染性强。
• 隐形病毒(Stealth Viruses):篡改操作系统欺骗反病毒软件进而达到隐形目的。
• 多态病毒(Polymorphic Viruses):每次感染都修改自身代码特征从而让反病毒软件无法检测。
• 加密病毒(Encrypted Viruses):使用密钥对自身进行加解密,形式上与多态病毒基本一样。
3.骗局
谎称有一个贼牛逼的病毒要爆发,让很多组织浪费时间和资源进行研究和防御,这就是病毒骗局(hoaxes)。
三、逻辑炸弹
感染系统后在满足一个或多个条件时才触发的恶意代码,常见于员工离职前为服务器植入逻辑炸弹,离职后数月才触发破坏服务器。
四、特洛伊木马
不同的特洛伊木马在功能上有很大区别,常见有如下类型:
• 破坏型:尽可能短时间内产生大规模破坏,如删除数据。
• 黑产型:每次运行木马都会访问指定网站刷访问量。
• 流氓杀软:伪装成杀毒软件诱导安装,实际窃取用户数据或欺骗付费。
• 远程访问木马(RATs):在系统中打开后门,使攻击者能够远程控制系统。
• 资源窃取:窃取系统的计算资源用于挖掘数字货币。
五、蠕虫
具备自主传播能力,破坏力很强大。
• CodeRed蠕虫:随机扫描IP地址,利用IIS版本漏洞进行传播,再统一对白宫主页发动DDoS攻击。
• 震网病毒(Stuxnet):利用0 day漏洞发动攻击,首个针对基础设施造成严重破坏的、国与国间网络战争的恶意代码。
六、间谍软件和广告软件
• 间谍软件(spyware):监控用户行为并向外发送,如窃取你的键盘输入。
• 广告软件(adware):会疯狂给你弹广告窗口,或监视的购物行为并访问购物网站。
这些软件类型被称为潜在不需要的程序(PUPs)。
七、勒索软件
勒索软件(ransomware)感染系统后加密整个或部分数据进行勒索,已成为当今非常流行的攻击方式。
存在一个道德问题:被勒索后是否支付赎金?不支付恢复不了业务,支付了助长攻击者的嚣张气焰。
八、恶意脚本
安全运维人员使用脚本来提升工作效率,如脚本检查系统配置是否符合基线要求。
攻击者使用恶意脚本来提升攻击效率,如自动提权、建立账号等等。
恶意脚本除了落地成为文件外,还有种无文件恶意软件(fileless malware),直接从恶意链接下载后再内存中运行,因此常规杀软无法检测。
九、零日攻击
未有补丁能够修复的漏洞被称为零日漏洞。系统受影响的主要原因:
• 脆弱性窗口(window of vulnerability),补丁发布和病毒库更新与漏洞发现之间的延迟。
• 管理员未及时更新补丁,最不该、最容易出现的原因。