共计 3216 个字符,预计需要花费 9 分钟才能阅读完成。
前言:信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个须要引起高度重视的问题。
信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个须要引起高度重视的问题。设施如果感化了恶意软件,将会造成什么危害?这取决于设施感化了哪种恶意软件,因为每种恶意软件都有其不同的目标与行为特色。上面咱们就来介绍一下常见的恶意软件及这些软件都在用户的设施上做些什么做了。
1、病毒与蠕虫
病毒是可能在整个文件系统中复制本身的恶意软件的通称。病毒是一种十分常见的恶意软件,通常会影响被感化设施的性能。病毒须要由用户手动启动,或者通过被感化设施上正在运行的应用程序来启动。
尽管病毒须要用户交互能力开始运行,但蠕虫可能存在更大的问题,因为蠕虫可能无需用户交互就主动流传到其余计算机和网络。这会在一个单位外部网络中造成疾速的流传,因为蠕虫可能通过单位外部网络的共享机制实现疾速横向流传,感化多台服务器和关键设备。蠕虫示例 – WannaCry
Wannacry 在公布时产生了微小影响,它可能通过搜寻面向公众的中小型企业端口实现主动流传,从而对世界范畴内的大量企业和政府都造成了微小的威逼,并且导致了被感化单位的严重损失。
2、广告软件
恶意软件在很大水平上会试图回避检测,因为它们不心愿用户晓得本人的设施曾经被感化。然而,如果用户设施感化了广告软件,因为设施上将看到大量广告,用户通常会感触到该恶意软件的存在。
广告软件示例 – DeskAd
DeskAd 是一个典型的广告软件,一旦用户设施感化该软件,它将逐渐减少浏览器显示的广告量,并将用户的网络流量重定向到歹意网站。
3、特务软件
特务软件将整顿被感化设施的隐衷数据,如浏览器历史记录、GPS 信息、明码、网购信息等。而后,将这些信息发售给第三方广告商,或利用这些信息施行网络欺骗。
特务软件示例 – Pegasus
Pegasus 特务软件由以色列公司 NSO 开发,该软件以 iPhone 为攻打指标,通过该软件,可能获取用户手机的摄像头和麦克风应用权限。
4、勒索软件
近年来,勒索软件曾经成为了一个重要的网络安全问题,这类恶意软件也为其设计生产人员带来了大量非法收入。
与大多数恶意软件一样,勒索软件通常通过邮件散发,并被伪装成 doc、pdf 等文件模式。不知内幕的用户一旦关上该文件,就会被感化。
与大多数恶意软件通常试图回避检测不同,勒索软件往往心愿用户晓得设施曾经被感化。勒索软件将首先删除用户设施上的文件备份,而后将磁盘上的所有文件进行加密,使其无法访问。
因为文件备份都曾经被删除,勒索软件将显示一条音讯,通知用户,所有文件都已加密,关上文件的惟一方法是向攻击者领取赎金。赎金个别须要以比特币模式领取,勒索软件个别还会领导用户如何拜访暗网并进一步领取赎金等。勒索软件示例 – BlackMatter、Netwalker、CerberBlackmatter 由 REvil 和 Darkside 两个黑客组织联手生产。这两个组织是 2020、2021 两年最多产的勒索软件组织,它们也是 2020 年外汇巨头 Travelex 被勒索事件、2021 年美国管道公司 Colonial Pipeline 被勒索事件,以及 2021 年美国肉类加工巨头 JBS 被勒索事件的始作俑者。etwalker 勒索软件于 2019 年由黑客组织“马戏团蜘蛛”创立。
外表上看,Netwalker 与大多数其余勒索软件一样,通过钓鱼邮件进入用户设施,进而泄露并加密敏感数据,以达到勒索用户并取得赎金的目标。可怜的是,Netwalker 不仅仅是将用户的数据作为勒索伎俩。为了表明他们的强硬态度,黑客还会在网上泄露被盗数据的样本,并宣称,如果不能及时满足其要求,他们将在暗网上公布用户的其余数据。这一伎俩对于很多敏感数据被泄露的用户而言,具备致命的杀伤力。
上面图片显示了一台感化了勒索软件 Cerber 的电脑的界面,以及黑客发给用户的赎金正告:
5、键盘记录器
键盘记录器的键盘记录性能对黑客而言十分有价值,因为,如果用户在被感化设施上输出了明码或者用于网购的金融账户信息,恶意软件就将捕捉这些信息并将其传输给攻击者,以便他们非法利用这些信息。
键盘记录器示例 – Remcos
咱们利用 Process Hacker 工具平安地诱发了一个叫作 Remcos 的键盘记录器。在下图中,咱们能够看到,在 ProcessHacker 工具的记录中可能发现 Remcos 正在记录用户键盘流动的证据。
在记录中能够看到,恶意软件启动了键盘记录器“ne Keylogger Started! }”,键盘记录器记录的按键信息在磁盘上的存储地位在“Users\Admin\AppData\Roaming\remocs\logs.dat”。用记事本等文本编辑器关上该按键记录日志:
6、木马和近程拜访木马
木马软件的名字来自于历史悠久的特洛伊木马。木马软件通常会被伪装成失常软件,如游戏等可能吸引用户的软件,甚至可能会被伪装成杀毒软件,然而,恶意软件会在后盾运行。这一特点也减少了设施感化木马的可能性。
木马通常还会使攻击者可能近程拜访被感化设施,从而导致被攻打设施中的各类文件或数据被泄露,此类木马也被称为近程拜访木马(RAT)。
木马和近程拜访木马示例 – Emotet
Emotet 这个驰名的近程拜访木马曾经存在了多年,始终是世界各地各类机构和组织都面临的问题。近年来,Emotet 木马流动激增,这阐明,其背地的黑客个人并没有隐没。
7、Rootkit
后面几类恶意软件的歹意操作针对的都是设施的操作系统,Rootkit 则将其歹意操作瞄准了操作系统的根底内核,即操作系统和设施硬件的中间层。通过瞄准内核,Rootkit 很难被防病毒零碎检测到,因为防病毒解决方案根本都在操作系统层而非内核层上运行。
Rootkit 示例 – Necurs
Necurs 是一个 2012 年就呈现的 Rookit,通常被用于大规模散发歹意垃圾邮件。
8、机器人 / 僵尸网络
被称为机器人的被感化设施被用于主动执行命令和工作。一旦感化了这种类型的恶意软件,那么被称为机器人的设施将主动调用被称为 C2 的好人的基础设施。这是命令和管制的缩写,因为攻击者当初能够管制此设施,并可能收回将在设施上执行的命令。部署此类恶意软件的攻击者将试图将其部署到成千上万台被称为僵尸网络的设施上。而后,攻击者会从每台设施生成流量,并用他们管制的僵尸网络制作针对性的 DDoS 攻打。
僵尸网络示例 – Mirai
Mirai 恶意软件是一个驰名的僵尸网络,用于感化物联网设施。当冰箱和咖啡机等家用物品在简直没有身份验证的状况下取得 wifi 性能时,同时也带来了网络安全问题。最后,在这些产品的设计生产中,并未思考网络安全问题,因而,任何人都能够对这些设施进行身份验证并连贯到这些设施。Mirai 背地的攻击者就利用了这种安全漏洞,这些设施被 Mirai 感化,并被用于后续施行 DDoS 攻打等歹意流动。
9、无文件恶意软件
无文件恶意软件通常应用 PowerShell 对用户的操作系统施行攻打,不会留下任何痕迹。这种类型的攻打也被称为零脚印攻打。此类攻打特地难检测,因为它不依赖于将内部歹意(和可检测的)二进制文件渗透到您的零碎中。
无文件恶意软件示例 – PowerSploit
基于 PowerShell 的攻打工具随时可用,并常被攻击者利用。PowerSploit 是 PowerShell 模块的汇合,每个模块都蕴含一组独特的脚本,能够在攻打的多个阶段用于执行侦察、特权降级和横向挪动等攻打操作。
恶意软件最常见的威逼载体是通过电子邮件,一种常见的伎俩是利用歹意的邮件,这些歹意邮件通常会蕴含在后盾运行脚本的宏,将恶意软件下载到用户的办公设备上。如果收到歹意的电子邮件后,咱们能够通过对发送邮件的 IP 地址进行追溯,另一方面还能够建设高风险 IP 地址隔离机制,从源头遏制恶意软件,更好的爱护咱们的办公环境和网络安全。