覺得自己瞭解惡意軟體?恐怕你的惡意軟體認知需要更新一下了。如何查詢和清除惡意軟體也有一些基本的建議可供參考。
安全術語層出不窮,但能夠正確分類惡意軟體,並知道各類惡意軟體的不同傳播方式,有助於限制和清除這些作惡的小東西。
下面這份簡明惡意軟體大全能讓你在極客面前都顯得很專業。
1. 病毒
計算機病毒是大多數媒體和普通終端使用者對新聞報導中全部惡意軟體程式的統稱。但幸好大多數惡意軟體程式並不是計算機病毒。計算機病毒能夠修改其他合法主機檔案 (或檔案指標),以便當受害主機檔案被執行時,病毒自身也一併執行起來。
純計算機病毒如今已經不太常見了,在所有惡意軟體中佔比不到10%。這是件好事:計算機病毒是唯一一種能夠感染其他檔案的惡意軟體。因為隨合法程式執行,此類惡意軟體特別難以清除。最好的防毒軟體也難以將計算機病毒與合法程式剝離,絕大多數情況下都是簡單地隔離和刪除被感染的檔案。
2. 蠕蟲
蠕蟲的歷史甚至比計算機病毒的更加悠久,能追溯到大型機時代。上世紀90年代末期,電子郵件將計算機蠕蟲帶到大眾視野當中;近十年時間裡,隨電子郵件附件湧來的各種蠕蟲將計算機安全專家團團包圍。只要一名員工打開了一封帶有蠕蟲的電子郵件,整個公司都會被很快感染。
蠕蟲最顯著的特徵就是自我複製能力。以臭名昭著的 “Iloveyou” 蠕蟲為例:該蠕蟲爆發時,世界上幾乎每一位電子郵件使用者都遭到了襲擊,電話系統過載,電視網路宕機,甚至晚報都被延遲了半天。其他幾個蠕蟲,包括 SQL Slammer 和微軟衝擊波 ( MS Blaster )。讓蠕蟲在計算機安全的歷史上佔據了一席之地。
蠕蟲的破壞性來源於其無需終端使用者操作的傳播能力。與之相對,計算機病毒則需要終端使用者至少點選那麼一下,才可以感染其他的無辜軟體和使用者。蠕蟲利用其他檔案和程式來幹感染無辜受害者的賬戶。舉個例子,利用微軟SQL中的一個漏洞 (已修復),SQL Slammer 蠕蟲在約10分鐘之內在幾乎每一臺未打補丁的聯網SQL伺服器上引發了緩衝區溢位——該傳播速度紀錄至今未破。
3. 木馬
計算機蠕蟲已經被特洛伊木馬惡意軟體程式替代,成為了駭客的網路攻擊武器之選。木馬偽裝成合法程式,但攜帶惡意指令。病毒恆久遠,木馬永流傳。如今的計算機上,木馬比其他任何一種惡意軟體都常見。
特洛伊木馬要受害使用者點選執行之後才可以進行惡意操作。木馬程式通常透過電子郵件投遞,或者在使用者訪問被感染網站時推送。偽裝成防毒軟體的木馬最為流行。此類木馬會彈出一個對話方塊,宣稱使用者已經遭到了感染,然後指示使用者去執行某個程式以清掃電腦。使用者一旦上鉤聽令行事,木馬就會在使用者的系統中紮根了。
木馬難以防禦的原因主要有兩個:易於編寫 (網路罪犯常製作和售賣木馬構建工具包),以及便於透過誘騙終端使用者來傳播——補丁、防火牆和其他傳統防禦措施都擋不住終端使用者的手賤。惡意軟體編寫者每個月都能產出數百萬個木馬。反惡意軟體供應商已在盡力對抗,但特徵碼實在太多,無暇兼顧。
4. 混合型惡意軟體
時至今日,絕大多數惡意軟體都是傳統惡意程式的綜合體,往往既有木馬和蠕蟲的部分,有時也兼具病毒的特徵。惡意軟體程式呈現在終端使用者面前時還是木馬的樣子,但一旦執行,便會透過網路攻擊其他受害者,就像蠕蟲一樣。
今天的很多惡意軟體程式都可被認為是rootkits或隱藏程式。惡意軟體程式往往會嘗試修改底層作業系統以獲取終極控制權,並繞過反惡意軟體程式的檢測。想擺脫此類惡意程式,使用者必須從記憶體中清除其控制組件——從反惡意軟體掃描開始。
機器人程式一般都是木馬/蠕蟲的組合,試圖將每一個被利用的客戶端集結起來,組成一個更大的惡意程式網路——殭屍網路。殭屍網路的主人擁有一臺或多臺 “命令與控制(C2)” 伺服器,殭屍客戶端會向這些C2伺服器報到,接收伺服器上釋出的指令。殭屍網路的規模有大有小,從數千臺被黑計算機,到由數十萬臺被黑系統組成的巨大網路都有。這些殭屍網路往往被出租給其他網路罪犯,再由這些網路罪犯利用殭屍網路去執行他們各自的惡意企圖。
5. 勒索軟體
最近幾年裡,透過加密使用者資料來索要贖金的惡意軟體廣為流行,且此類惡意軟體的佔比還在擴大。勒索軟體往往能使公司企業、醫療機構、司法機關,甚至整個城市的運轉陷入停滯。
大部分勒索軟體都是木馬,也就是說必須透過某種形式的社會工程方法進行傳播。一旦成功植入並執行起來,大部分勒索軟體都會在數分鐘裡尋找並加密使用者的檔案,少數勒索軟體則會採取 “等待觀望” 的戰術。透過在啟動加密流程前花幾小時觀察使用者,勒索軟體管理員可以算出受害者的贖金承受能力,並確保刪除或加密其他本應安全的備份檔案。
與其他型別的惡意程式相同,勒索軟體也是可以被預防的。但如果沒有有效的備份檔案,一旦中招,就很難再逆轉勒索軟體造成的破壞了。研究顯示,約1/4的受害者選擇支付贖金,但其中約30%人即便支付了贖金也未能解鎖自己已經被鎖定的檔案。無論如何,想要解鎖被加密的檔案,即便有可能,也需要特定的工具、解密金鑰,以及很多很多的運氣。對付勒索軟體最行之有效的建議,就是確保所有關鍵檔案都有良好的離線備份。
6. 無檔案惡意軟體
準確來講,無檔案惡意軟體並不能真算是一種單獨的惡意軟體型別,而更像是對該惡意軟體如何進行漏洞利用和在受害主機上駐留的一種描述。傳統惡意軟體利用檔案系統進行橫向移動和感染新的系統。如今在惡意軟體佔比中超過50%以上的無檔案惡意軟體,則並不直接利用檔案和檔案系統。這種惡意軟體只在記憶體中進行漏洞利用和傳播,或者使用其他的非檔案類作業系統物件,比如登錄檔、API,或者計劃任務。
很多無檔案攻擊從利用已存在的合法程序變身新啟動的 “子程序” 開始,或者利用作業系統中自帶的合法工具,比如微軟的PowerShell。最終結果就是無檔案攻擊更難以檢測和阻止。如果你想謀求一份計算機安全職位,那你最好儘快熟悉常見的無檔案攻擊技術和程式。
7. 廣告軟體
只遇到過廣告軟體的人都是幸運的。這種軟體僅僅是向被黑終端使用者呈現不願接收的潛在惡意廣告。常見廣告軟體可能會將使用者的瀏覽器搜尋重定向到看起來長得很像但包含其他產品推送的頁面。
8. 惡意廣告
惡意廣告與廣告軟體不同,惡意廣告攻擊是利用合法廣告和廣告網路秘密投送惡意軟體到使用者的計算機。舉個例子,網路罪犯可能會在合法網站上投放一個廣告。當用戶點選這個廣告,廣告中隱藏的程式碼要麼將使用者重定向到惡意網站,要麼直接在他們的計算機上安裝惡意軟體。某些情況下,廣告中嵌入的惡意軟體可能無需使用者操作就能自動執行,這種技術被稱為 “偷渡式下載”。
網路罪犯也會利用被黑合法廣告網路向很多網站投送廣告。這也是為什麼《紐約時報》、Spotify和倫敦股交所之類流行站點常會淪為惡意廣告載體的原因。
網路罪犯使用惡意廣告當然是為了賺錢。惡意廣告能夠投送任意型別的撈錢惡意軟體,包括勒索軟體、加密貨幣挖礦指令碼,或者銀行木馬。
9. 間諜軟體
間諜軟體常被人用來檢視自己所愛之人的計算機活動。當然,在針對性攻擊裡,網路罪犯也會運用間諜軟體記錄下受害者的擊鍵動作,獲取登入口令和智慧財產權。
廣告軟體和間諜軟體程式通常是最容易清除的,因為此類軟體的目的不像其他型別的惡意軟體那麼兇狠。找到此類軟體的惡意可執行程式,停止程序,阻止啟動,也就清除了威脅。
廣告軟體和間諜軟體中存在的更大顧慮,是它們利用計算機和使用者的機制,可能是社會工程、沒打補丁的軟體,或者其他十來種root許可權利用途徑。間諜軟體和廣告軟體程式的目的雖然不像遠端訪問木馬後門那麼邪惡,但都利用了同一套入侵方法。廣告軟體和間諜軟體的存在,應被當成裝置或使用者已有某種漏洞的早期警報,以便在真正的傷害造成前加以修復。
找出並清除惡意軟體
今天,很多惡意軟體都以木馬和蠕蟲的形式出現,然後回連一個殭屍網路,讓攻擊者進入到受害者的計算機和網路。很多高階持續性威脅的APT攻擊的運作流程如下:使用木馬獲取初始立足點以便進入到成百上千家公司,搜尋感興趣的智慧財產權。絕大多數惡意軟體都是為了盜取金錢——直接清空一個銀行賬戶,或者透過盜取口令或身份來間接獲取。
如果你夠走運,你會發現利用微軟自動執行、程序管理器或 Silent Runners 的惡意可執行程式。如果惡意軟體是隱藏式的,你就得先從記憶體中清除掉隱藏元件,然後再分辨出該惡意程式的其他部分。可透過進入微軟Windows安全模式來清除可疑隱藏元件(有時候改個檔名就行),然後多執行幾次殺軟掃描器來清除遺留檔案,也可以利用程序管理器來發現並清除惡意軟體。
但不幸的是,找到並清除單個惡意軟體元件可能是在白費勁,很容易找錯或漏掉元件。而且,你並不清楚惡意軟體有沒有將系統修改成無法重回完全可信的狀態。
除非你專門培訓過惡意軟體清除和取證,否則最好在發現計算機感染了惡意軟體時備份資料、格式化硬碟,並重新安裝程式和資料。注意打好補丁,確保終端使用者知道自己都做錯了什麼。這樣你才能獲得一個可信的計算機平臺,不留任何風險和問題地在計算機安全戰場上繼續前行。
