惡意軟件太難懂?湖北國(guó)菱送你一份教程
來源:湖北國(guó)菱編輯部
時(shí)間:2019-02-12
網(wǎng)絡(luò)安全發(fā)展迅速,每天都有新的威脅和攻擊方法出現(xiàn)。高調(diào)的網(wǎng)絡(luò)入侵時(shí)有發(fā)生,更不用說還有些事件根本沒有上報(bào)。這些入侵的規(guī)模和后果已經(jīng)超出了技術(shù)層面,因此,沒有充分網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)的非技術(shù)人員最可能成為攻擊目標(biāo)。這種情況下,非技術(shù)人員進(jìn)行安全意識(shí)培訓(xùn)要分三步走:認(rèn)識(shí)惡意軟件、識(shí)別惡意軟件、對(duì)抗惡意軟件。
1.認(rèn)識(shí)惡意軟件
惡意軟件是指新開發(fā)或經(jīng)過修改的、可對(duì)計(jì)算機(jī)設(shè)備造成損害的軟件。實(shí)際上是為實(shí)現(xiàn)各種不同目的的惡意代碼。主要功能是獲取保密數(shù)據(jù)、竊取身份、劫持流量和操作系統(tǒng)、加密數(shù)字資產(chǎn)和監(jiān)視用戶等。惡意軟件可以分為以下幾種類型:
01.病毒
作為最廣泛傳播的惡意軟件,病毒是可自我復(fù)制的惡意代碼,它依附或內(nèi)置于可執(zhí)行文件,以降低用戶的警覺性。一旦執(zhí)行,病毒可感染其他應(yīng)用程序并繼續(xù)自我復(fù)制。病毒可通過郵件和硬件(USB秘鑰和其他計(jì)算機(jī)外部配件)傳輸。病毒通常采用隱形技術(shù)設(shè)計(jì),以避免殺毒軟件檢測(cè)。
02.蠕蟲
蠕蟲和病毒經(jīng)常被混為一談。確實(shí),除了蠕蟲是可自我執(zhí)行的文件外,兩者在很多方面都很像。它們不需要用戶激活,可在多臺(tái)計(jì)算機(jī)上進(jìn)行自我執(zhí)行和復(fù)制。強(qiáng)大的蠕蟲可自我調(diào)節(jié),甚至自我修復(fù),Stuxnet就是最顯著的例子。
03.木馬
木馬是惡意代碼的盾牌。它們偽裝成無(wú)害的應(yīng)用程序,誘使用戶從網(wǎng)站下載或從外部存儲(chǔ)設(shè)備復(fù)制該應(yīng)用程序。視頻播放器、游戲和其他免費(fèi)的互聯(lián)網(wǎng)服務(wù)都是常見的誘餌,可誘使用戶下載木馬。木馬的一個(gè)重要特點(diǎn)是:它們不可以自動(dòng)執(zhí)行,需要借助目標(biāo)受害者才能感染其他應(yīng)用程序。
04.間諜軟件、勒索軟件和鍵盤記錄
就傳播方法而言,病毒、蠕蟲和木馬都屬于惡意軟件的第一大類。惡意軟件還可以按照功能進(jìn)行細(xì)分。比如,擊鍵記錄、間諜軟件和勒索軟件都是通過病毒、蠕蟲或木馬進(jìn)行傳播的。擊鍵記錄可記錄用戶在計(jì)算機(jī)上輸入的每條指令,包括密碼、信用卡信息和任何其他敏感數(shù)據(jù)。間諜軟件部署后可偷偷激活攝像頭和麥克風(fēng),收集操作環(huán)境的相關(guān)信息,暗中監(jiān)視用戶。勒索軟件的攻擊目標(biāo)為具有高價(jià)值數(shù)據(jù)資產(chǎn)的用戶和公司。一旦激活,勒索軟件可加密和劫持整個(gè)數(shù)據(jù)庫(kù),在獲取贖金后才進(jìn)行數(shù)據(jù)解密。
05.Rootkit、RAT和后門
Rootkit、RAT和后門都屬于復(fù)雜的惡意軟件,旨在獲取或繞過計(jì)算機(jī)的最高權(quán)限。一旦部署,攻擊者可通過Rootkit獲得對(duì)Root系統(tǒng)的特權(quán)訪問。RAT和后門這兩種不同的惡意軟件,目的是對(duì)受害者的計(jì)算機(jī)進(jìn)行遠(yuǎn)程秘密訪問,因此攻擊者可遠(yuǎn)程、合法地監(jiān)視和執(zhí)行應(yīng)用程序。
消除對(duì)惡意軟件的誤解
第一、惡意軟件雖具破壞性,但其功能有時(shí)是合法活動(dòng)必不可少的工具。例如,RAT和間諜軟件可用于工作進(jìn)度監(jiān)控和遠(yuǎn)程技術(shù)支持之類的遠(yuǎn)程工作。因此,對(duì)軟件的使用目的決定了它是惡意還是合法。
第二、惡意軟件雖大多針對(duì)的是微軟Windows系統(tǒng)中的漏洞,但不代表只會(huì)攻擊Windows。截至2017年3月,各種版本的Windows占了大約90%的操作系統(tǒng)市場(chǎng)份額,說明它在普通用戶中很受歡迎,因而成為了攻擊者的理想目標(biāo),可利用其中的漏洞并開發(fā)工具以感染盡可能多的用戶。但若打開了釣魚郵件中的惡意鏈接并在欺詐網(wǎng)站上輸入了個(gè)人信息,無(wú)論受害者的操作系統(tǒng)是 Linux、Windows還是MACOS,結(jié)果都一樣。
第三、不使用或同時(shí)使用多款殺毒軟件起不到防護(hù)作用,將計(jì)算器恢復(fù)出廠配置也不能完全消除惡意軟件。不同的殺毒軟件可能互不兼容,會(huì)把對(duì)方視為惡意程序。惡意軟件可感染固件或隱藏在硬盤驅(qū)動(dòng)器的未格式化分區(qū)和個(gè)人文件備份中,格式化和恢復(fù)Windows系統(tǒng)未必能根除惡意軟件。
2.識(shí)別惡意軟件
01.彈出消息
勒索軟件、廣告軟件會(huì)彈出消息,或者提供瀏覽器重定向鏈接,敦促用戶立即行動(dòng)或表示系統(tǒng)的正常功能無(wú)法恢復(fù)。這些彈出消息是惡意軟件存在的明顯跡象。特別要注意的是,欺詐性工具欄和其他瀏覽器重定向小工具有高度誤導(dǎo)性。通過誘使受害者安裝其他惡意軟件并提供個(gè)人信息和銀行信息,這些工具將受感染的計(jì)算機(jī)暴露在更多的風(fēng)險(xiǎn)中。某些情況下,惡意軟件會(huì)禁用計(jì)算機(jī)上的殺毒程序和防火墻,使受害者無(wú)防守之力。由于惡意軟件可能導(dǎo)致兼容性問題并與其他應(yīng)用程序產(chǎn)生沖突,因此此類多重滲透最終會(huì)使系統(tǒng)崩潰。
02.網(wǎng)速變慢
降低速度和網(wǎng)絡(luò)性能也是系統(tǒng)遭遇攻擊的可靠初始跡象。惡意軟件一旦安裝可長(zhǎng)期在系統(tǒng)后臺(tái)運(yùn)行。由于惡意軟件要執(zhí)行命令并占用網(wǎng)速,這自然會(huì)消耗額外的處理器、RAM、硬盤和網(wǎng)絡(luò)容量,并最終削弱系統(tǒng)性能。
03.非正常行為
受害者可能會(huì)發(fā)現(xiàn)自己的IP地址被列入了黑名單或者被親朋告知自己發(fā)送了不正常的信息,這是由于 Rootkit和擊鍵記錄等惡意軟件可將受害者的計(jì)算機(jī)變成僵尸網(wǎng)絡(luò)。
3.對(duì)抗惡意軟件
01.個(gè)人要始終保持警惕。非技術(shù)人員應(yīng)對(duì)可疑郵件保持警惕,網(wǎng)絡(luò)釣魚是針對(duì)基層員工的首要攻擊策略。驗(yàn)證身份和下載源合法性是防御攻擊行為的有效基本措施。
02.應(yīng)在每臺(tái)計(jì)算機(jī)上安裝性能好的反惡意軟件。通常,只要安裝了強(qiáng)大且最新的反惡意軟件,計(jì)算機(jī)就可以提供自動(dòng)操作,如隔離或刪除惡意軟件和受感染的文件。
03.用戶應(yīng)定期獲取安全更新和補(bǔ)丁,確保反惡意軟件的正常功能。
04.將侵入細(xì)節(jié)報(bào)告給機(jī)構(gòu)安全人員或負(fù)責(zé)人。在某些復(fù)雜的情況下,操作系統(tǒng)無(wú)法正常運(yùn)行,用戶幾乎無(wú)法在正常操作環(huán)境中執(zhí)行反惡意軟件。報(bào)告機(jī)制可讓技術(shù)人員快速提供協(xié)助并確定各種對(duì)應(yīng)措施,如斷開互聯(lián)網(wǎng)、控制惡意軟件和向執(zhí)法部門報(bào)告等。對(duì)安全人員而言,從惡意軟件中收集的信息在測(cè)試和強(qiáng)化現(xiàn)有程序、提高安全意識(shí)和惡意軟件抵御方面大有幫助。