回归本源

恶意软件解释:如何预防,检测和从中恢复

恶意软件有哪些类型?您如何预防,检测或删除它?我们有答案。

公民社会组织 loading= danger / security threat / malware / binary skull overlaying binary code" itemprop="contentUrl" />
Jakarin2521 / Simon2579 /盖蒂图片社

回归本源

展示更多

恶意软件定义

恶意软件,简称 恶意软件, 是黑客用来破坏,获取敏感信息的病毒,蠕虫,特洛伊木马和其他有害计算机程序的总称。如 微软把它,“ [恶意软件]是一个笼统的术语,指的是旨在破坏单个计算机,服务器或计算机网络的任何软件。”换句话说,基于软件的软件将其识别为恶意软件 有可能的使用, 而不是用于构建它的特定技术。

这就意味着,例如,恶意软件和病毒之间有什么区别的问题有点遗漏了一点:病毒是一种恶意软件,因此所有病毒都是恶意软件(但并不是每一个恶意软件都是病毒)。

恶意软件类型

有多种不同的恶意软件分类方法。首先是恶意软件的传播方式。您可能已经听过这些话 病毒,木马, 可互换使用,但 如赛门铁克所解释,它们描述了恶意软件感染目标计算机的三种细微不同的方式:

  • A  是一个独立的恶意软件,可以自我复制并在计算机之间传播。
  • A 病毒 是一段计算机代码,它将自己插入另一个独立程序的代码中,然后强制该程序采取恶意措施并自行传播。
  • A 木马 是一种程序,它无法自我复制,但会伪装成用户想要的东西,并诱使他们激活它,以便对其进行破坏和传播。

恶意软件也可以由攻击者自己“手动”安装在计算机上,方法是获得对计算机的物理访问权限,或者使用特权升级来获得远程管理员访问权限。 

按恶意软件对恶意软件进行分类的另一种方法 确实 一旦成功感染了受害者的计算机。恶意软件使用多种潜在的攻击技术:

  • 间谍软件 由Webroot网络安全定义 表示为“用于秘密收集不知情用户的数据的恶意软件”。本质上,它 间谍 有关您使用计算机时的行为以及您发送和接收的数据的信息,通常目的是将该信息发送给第三方。一种 键盘记录器 是一种特殊的间谍软件,可以记录用户进行的所有击键,非常适合窃取密码。
  • A rootkit ,作为 由TechTarget描述,“一种程序,或更常见的是,一种软件工具集合,可以使威胁行为者远程访问并控制计算机或其他系统。”它之所以得名,是因为它(通常是非法地)获得了一套工具 根访问权限 (以Unix术语来说,是管理员级别的控制)对目标系统的访问,并使用该功能隐藏它们的存在。
  • 广告软件 是一种恶意软件,它会迫使您的浏览器重定向到Web广告,而Web广告本身通常会试图下载更多甚至更多的恶意软件。如 纽约时报 笔记,广告软件通常会背负于诱人的“免费”程序,例如游戏或浏览器扩展程序。
  • 勒索软件 是一种恶意软件,可以加密硬盘驱动器的文件并要求以比特币(通常是比特币)付款,以换取解密密钥。过去几年中几起备受瞩目的恶意软件爆发,例如 佩蒂亚, 是 勒索软件。如果没有解密密钥,从数学上讲,受害者就无法重新获得对其文件的访问权。所谓的 恐吓软件 是勒索软件的一种影子版本;它声称控制了您的计算机并要求赎金,但实际上只是在使用 浏览器重定向循环之类的技巧 使其看起来好像遭受了比实际更多的破坏,并且与勒索软件不同,可以相对容易地禁用它。
  • 加密劫持 攻击者可以用另一种方式强迫您向他们提供比特币-只有在您不知道的情况下它才能起作用。的 加密挖矿恶意软件 感染您的计算机并 使用您的CPU周期来挖掘比特币 为了您的攻击者的利益。挖掘软件可以在操作系统的后台运行,甚至可以在浏览器窗口中作为JavaScript运行。
  • 恶意 是指使用合法的广告或广告网络将恶意软件秘密发送给毫无戒心的用户计算机。例如,网络犯罪分子可能会付费将广告放置在合法网站上。当用户点击广告时,广告中的代码会将他们重定向到恶意网站或在其计算机上安装恶意软件。在某些情况下,广告中嵌入的恶意软件可能会自动执行,而无需用户采取任何行动,这种技术称为“随行下载”。

任何特定的恶意软件都有感染手段和行为类别。因此,例如 想哭 是勒索软件蠕虫。特定的恶意软件可能具有不同的形式和不同的攻击媒介:例如,Emotet银行恶意软件被广泛发现,因为两者 木马和蠕虫.

看看互联网安全中心 2018年6月十大恶意软件犯罪者 给你很好的感觉 恶意软件类型 在那里。到目前为止,最常见的感染媒介是通过垃圾邮件发送,该邮件诱使用户激活Trojan风格的恶意软件。 想哭和Emotet是列表中最流行的恶意软件,但包括NanoCore和Gh0st在内的许多其他恶意软件也被称为 远程访问木马 或RAT-本质上讲,rootkit像木马一样传播。像CoinMiner这样的加密货币恶意软件在该列表中更完整。

如何预防恶意软件

与垃圾邮件和 phing 电子邮件是恶意软件感染计算机的主要媒介,防止恶意软件的最佳方法是确保电子邮件系统被严格锁定,并且用户知道如何发现危险。我们 建议结合使用仔细检查附加文档并限制潜在危险的用户行为的组合-以及 使您的用户熟悉常见的网络钓鱼诈骗 这样他们的常识才能发挥作用。

当涉及更多的技术预防措施时,有一个 您可以采取的步骤数,包括对所有系统进行补丁和更新,保留硬件清单以使您知道需要保护的内容以及对基础结构进行连续的漏洞评估。特别是在涉及勒索软件攻击时,一种准备方法是 总是备份文件,以确保如果您的硬盘驱动器已加密,则您无需再支付赎金就可以将其取回。

恶意软件防护

防病毒软件是恶意软件保护产品类别中最广为人知的产品。尽管以“病毒”为名,但大多数产品都采用了各种形式的恶意软件。尽管高端安全专家认为它已过时,但它仍然是基本的反恶意软件防御的支柱。今天的 最好的防病毒软件 根据AV-TEST最近的测试,该产品来自卡巴斯基实验室,赛门铁克和趋势科技。

当涉及到更高级的公司网络时, 端点安全 提供提供 深度防御恶意软件。它们不仅提供了您期望从防病毒中获得的基于签名的恶意软件检测,还提供了反间谍软件,个人防火墙,应用程序控制以及其他类型的主机入侵防护。加特纳 提供该领域的精选推荐,其中包括Cylance,CrowdStrike和Carbon Black的产品。

如何检测恶意软件

尽管尽了最大努力,在某个时刻,您的系统完全有可能(甚至可能)被恶意软件感染。您如何确定? 公民社会组织 专栏作家罗杰·格里姆斯(Roger Grimes)写了一篇 深入研究如何诊断PC 可能对您有用的潜在恶意软件。

当达到公司IT级别时,您还可以使用更多高级可见性工具来查看网络中正在发生的事情并检测恶意软件感染。大多数形式的恶意软件都使用网络来传播或将信息发送回其控制器,因此 网络流量包含可能会错过的恶意软件感染信号;有一个 各种各样的网络监控工具,价格从几美元到几千美元不等。也有 SIEM工具,它是从日志管理程序演变而来的;这些工具可分析来自基础架构中各种计算机和设备的日志,以查找问题迹象,包括恶意软件感染。 SIEM供应商 从像IBM和HP Enterprise这样的行业专家到Splunk和Alien Vault等较小的专家。

恶意软件清除

事实上,一旦受到感染,如何删除恶意软件实际上就是百万美元的问题。清除恶意软件是一项艰巨的任务,其方法可能会根据您所处理的类型而有所不同。 公民社会组织 有关如何从中删除或以其他方式恢复的信息 rootkits勒索软件加密劫持。我们也有一个指南 审核Windows注册表 弄清楚如何前进。

如果您正在寻找清洁系统的工具,Tech Radar会提供一个很好的选择。 免费产品综述,其中包含防病毒领域的一些熟悉名称以及Malwarebytes等新来者。  

恶意软件示例

我们已经讨论了当今一些迫在眉睫的恶意软件威胁。但是,恶意软件的历史悠久,可追溯到1980年代Apple II爱好者交换了受感染的软盘, 摩尔蠕虫 1988年在Unix机器上广泛传播。 其他备受瞩目的恶意软件攻击 包括:

  • 我爱你,这种蠕虫在2000年像野火一样传播,造成的损失超过150亿美元
  • SQL Slammer,使互联网流量在2003年首次迅速传播后的几分钟内就停止了
  • Conficker,该蠕虫利用Windows中未修补的漏洞并利用了各种攻击媒介-从注入恶意代码到网络钓鱼电子邮件-最终破解密码并将Windows设备劫持到一个 僵尸网络.
  • 宙斯,这是针对银行信息的“ 00年代末键盘记录程序特洛伊木马”
  • 加密锁,这是第一个广泛的勒索软件攻击,其代码不断被重新用于类似的恶意软件项目
  • 震网这是一种极其复杂的蠕虫,它感染了全球的计算机,但只对一个地方造成了真正的破坏:位于纳坦兹的伊朗核设施摧毁了富铀离心机,这是美国和以色列情报机构的使命。

恶意软件趋势

您可以指望网络罪犯跟着钱走。他们将根据成功传播恶意软件的可能性以及潜在支出的规模来确定受害者的目标。如果您查看过去几年中的恶意软件趋势,就会发现某些类型的恶意软件的流行程度以及最常见的受害者是一些波动者-所有这些都是由犯罪分子认为将获得最大的投资回报率驱动的。

最近的研究报告表明,恶意软件策略和目标发生了一些有趣的变化。超过勒索软件成为最常见类型的恶意软件的加密矿工由于加密货币价值的下降而失宠。勒索软件正变得更具针对性,不再使用a弹枪方法。

对企业的恶意软件攻击激增

根据2017年的调查,与2017年相比,企业在2018年处理的恶意软件数量增加了79%。 恶意软件bytes Labs的恶意软件状况报告2019。 恶意软件bytes Labs主管Adam Kujawa说:“我们通常在年底或季度末看到的是,在消费者方面,检测量有所增加或大量增加。” “在业务方面,它可能会缓慢增长,但是肯定没有像过去六个月那样。”相比之下,同期的消费者检测量下降了3%。

Kujawa补充说:“我们已经观察到,网络犯罪分子正在大力推动远离消费者,并将他们的沉重负担转嫁给企业。”

这些“真正沉重的东西”主要是以针对消费者的较早版本的恶意软件的形式出现,已经“武器化”,从而成为对企业更大,更通用的威胁。 Kujawa认为Emotet是最重要的人物之一。 “这是一个令人讨厌的小信息窃取木马,它还安装了其他恶意软件,横向传播,并充当其自己的垃圾邮件发送者。一旦感染了系统,它就会开始发送电子邮件并尝试感染其他人。”

Emotet于2014年问世,主要针对消费者。最初,它感染了计算机,以寻找个人的金融或信用卡信息以供窃取。从那以后,它获得了其他功能的启发,这些功能是从其他成功的恶意软件(例如Wannacry或EternalBlue)获得灵感或借鉴而来的。 Kujawa说:“现在,它变得更加模块化,我们看到了它能够利用这些漏洞遍历公司网络,而之前还没有一个单一的端点。” “即使是小型企业中的小型网络,也比感染祖母多汁。”

据称,恶意软件的横向移动正在增加 全球威胁报告:下一代网络攻击年 来自炭黑。现在,将近60%的企业恶意软件攻击设计为可在整个网络中横向移动。

对企业的恶意软件攻击激增的原因之一可能是欧盟的 通用数据隐私法规(GDPR)。 Kujawa认为,攻击者可能会加大商业攻击的力度,认为在该法规生效后,窃取个人和其他数据将更加困难。随之而来的是加密货币价值的下降,并加强了对勒索软件的防御,使攻击者转向了过去的工作方式。他说:“他们总是[回到可行的方法]。”网络犯罪是周期性的。它总是回来。”

加密矿攻击下降

恶意软件byte Labs的报告显示,从2018年第二季度开始的加密采矿已经发生了转变,这主要是由于加密货币价值的下降。尽管如此,这一年的加密采矿检测数量仍增长了7%。

相反,网络罪犯正在转向窃取Emotet等恶意软件的信息来牟利。报告说:“总的来说,似乎犯罪分子已经达成共识,有时偷窃比采矿更好。”

勒索软件变得更具针对性

Kujawa指出,中小企业(SMB)成为越来越受欢迎的目标。他将其归因于有可能因勒索软件攻击而获得报酬—中小型企业通常无力承担停机时间,并且将勒索软件视为恢复最快的方法。与大型企业相比,他们的目标通常也更软。

根据Malwarebytes报告,2018年全球勒索软件检测实际上下降了26%。但是,企业中勒索软件的检测率上升了28%。最常作为目标的行业是咨询,教育,制造和零售。 Kujawa认为,犯罪分子将重点放在这些行业上,因为有机会和可能支付赎金。  

有关恶意软件的更多信息

版权© 2019 IDG通讯,Inc.