什么是惡意軟件?惡意軟件包含哪些類型?如何防御、檢測或移除?本文針對這些疑問給出答案。

所謂“惡意軟件”，事實(shí)上是一個(gè)關(guān)乎病毒、蠕蟲、木馬以及其他有害計(jì)算機(jī)程序的綜合術(shù)語，其自計(jì)算的早期階段就一直存在并活躍在我們身邊。但是，它并非一成不變地存在著，而是隨著技術(shù)的進(jìn)步在不斷發(fā)展完善，目前，黑客經(jīng)常利用它來破壞并獲取敏感信息的訪問權(quán)限?？梢哉f，打擊惡意軟件如今已經(jīng)占據(jù)信息安全專業(yè)人士的大部分工作日常。

一、惡意軟件定義

惡意軟件(Malware)是惡意的軟件(malicious software)的縮寫。對于微軟所言，它是一個(gè)包羅萬象的術(shù)語，指的是任何旨在對單個(gè)計(jì)算機(jī)、服務(wù)器或計(jì)算機(jī)網(wǎng)絡(luò)造成損害的軟件。換句話說，一個(gè)軟件之所以被識(shí)別為“惡意軟件”，主要是基于其預(yù)期用途，而不是基于其構(gòu)建技術(shù)或其他因素。

而在中國，關(guān)于惡意軟件的定義還要追溯到2006年11月，根據(jù)中國互聯(lián)網(wǎng)協(xié)會(huì)正式公布的惡意軟件定義：惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。

病毒是一種惡意軟件，因此所有病毒都是惡意軟件，但是并非每一種惡意軟件都是病毒，它也有可能是蠕蟲、木馬、廣告插件、自動(dòng)腳本等。

二、惡意軟件類型

惡意軟件的分類方式有很多種;首先是根據(jù)惡意軟件的傳播方式進(jìn)行分類。您可能已經(jīng)聽說過病毒、木馬和蠕蟲這些詞可以互換使用，但正如賽門鐵克所解釋的那樣，它們描述了惡意軟件感染目標(biāo)計(jì)算機(jī)的三種微妙方式：

• 蠕蟲是一種獨(dú)立的惡意軟件，可以自我復(fù)制并從計(jì)算機(jī)傳播到計(jì)算機(jī);
• 病毒是一段計(jì)算機(jī)代碼，可以將自身插入另一個(gè)獨(dú)立程序的代碼中，然后強(qiáng)制該程序?qū)嵤阂庑袨椴⒆孕袀鞑?
• 木馬是一個(gè)程序，它不能自我復(fù)制，但可以偽裝成用戶想要的東西，并誘騙他們激活它，以便它可以實(shí)現(xiàn)自身的破壞和傳播活動(dòng)。

惡意軟件也可以由攻擊者自己“手動(dòng)”安裝在計(jì)算機(jī)上，條件是要獲取對目標(biāo)計(jì)算機(jī)的物理訪問權(quán)限，或使用權(quán)限提升來獲取遠(yuǎn)程管理員訪問權(quán)限。

針對惡意軟件的另一種分類方式，主要依據(jù)其預(yù)期目的，即一旦惡意軟件成功感染受害者的計(jì)算機(jī)后，它會(huì)利用各種攻擊技術(shù)執(zhí)行何種潛在的惡意企圖：

• 間諜軟件：Webroot Cybersecurity將其定義為“用于秘密收集毫無戒心的用戶數(shù)據(jù)的惡意軟件”。本質(zhì)上來說，它會(huì)在您使用計(jì)算機(jī)時(shí)，竊取您發(fā)送或接收的數(shù)據(jù)，以及監(jiān)聽您的網(wǎng)絡(luò)行為，并將這些收集到的信息發(fā)送給第三方。其中，鍵盤記錄程序是一種特殊類別的間諜軟件，能夠記錄用戶所有的擊鍵操作——這種方式非常適合竊取用戶密碼信息;
• Rootkit：TechTarget將其定義為“主要功能為隱藏其他程式進(jìn)程的軟件，可能是一個(gè)或一個(gè)以上的軟件組合”。廣義而言，Rootkit也可視為一項(xiàng)技術(shù)。最早Rootkit用于善意用途，但后來Rootkit也被黑客用在入侵和攻擊他人的電腦系統(tǒng)上，電腦病毒、間諜軟件等也常使用Rootkit來隱藏蹤跡，因此Rootkit已被大多數(shù)的防毒軟件歸類為具危害性的惡意軟件;
• 廣告軟件：同樣屬于惡意軟件的一種，它會(huì)迫使您的瀏覽器重定向到網(wǎng)絡(luò)廣告，而這些廣告通常會(huì)尋求進(jìn)一步下載，甚至加載更多的惡意軟件。正如《紐約時(shí)報(bào)》所言，廣告軟件通常捎帶一些誘人的“免費(fèi)”項(xiàng)目，如游戲或?yàn)g覽器擴(kuò)展等。
• 勒索軟件：是近年來非常普遍的一種惡意軟件形式，主要通過加密受害者硬盤驅(qū)動(dòng)器的文件，并要求支付贖金(通常為比特幣等加密貨幣)來交換解密密鑰。過去幾年間，發(fā)生了多起備受矚目的勒索軟件事件，如WannaCry、Petya等。如果沒有解密密鑰，受害者將無法獲取對其鎖定文件的訪問權(quán)限。所謂的“恐嚇軟件”(scareware)實(shí)際上是勒索軟件的一種影子版本;它會(huì)聲稱已經(jīng)控制了您的計(jì)算機(jī)，并要求您支付贖金，但實(shí)際上它只是利用了瀏覽器重定向循環(huán)這樣的技巧，使其看起來好像遭遇勒索軟件攻擊一樣。
• 加密劫持(Cryptojacking?)：這是除勒索軟件外，攻擊者強(qiáng)迫您提供比特幣等加密貨幣的另一種方式，只有它能夠在您不必知道的情況下運(yùn)行。加密挖掘惡意軟件能夠感染您的計(jì)算機(jī)設(shè)備，并使用您的CPU周期來挖掘比特幣等加密貨幣，以此牟取暴利。這種類型的惡意軟件可以在操作系統(tǒng)的后臺(tái)運(yùn)行，也可以在瀏覽器窗口中作為JavaScript運(yùn)行。

任何特定的惡意軟件都同樣包含感染方式和行為類別，因此，例如，“WannaCry”是一種勒索軟件蠕蟲。而且一個(gè)特定的惡意軟件可能具有不同的形式，帶有不同的攻擊向量：例如，Emotet銀行惡意軟件在野外被發(fā)現(xiàn)為木馬和蠕蟲。

根據(jù)2018年6月份進(jìn)行的“10大最具影響力惡意軟件”調(diào)查報(bào)告顯示，到目前為止，最常見的感染媒介是垃圾郵件，它能夠誘騙用戶激活木馬屬性的惡意軟件。此外，根據(jù)列表顯示，“WannaCry”和“Emotet”是最流行的惡意軟件。但是，許多其他被稱為“遠(yuǎn)程訪問木馬/RAT”的惡意軟件(包括NanoCore和Gh0st)，本質(zhì)上都是像木馬一樣傳播的rootkit而已。此外，像CoinMiner這樣的加密貨幣惡意軟件也進(jìn)入了該列表之中。

三、如何防止惡意軟件?

既然垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件是惡意軟件感染計(jì)算機(jī)的主要媒介，那么，防止惡意軟件的最佳方法，就是要確保您的電子郵件系統(tǒng)已經(jīng)得到了嚴(yán)密保護(hù)，并且確定您的用戶知道如何發(fā)現(xiàn)此類威脅。我們建議您可以將“仔細(xì)檢查附加文檔”和“限制潛在危險(xiǎn)的用戶行為”兩種方式結(jié)合使用。此外，還要教育用戶了解最基本、常見的網(wǎng)絡(luò)釣魚手段，以便他們的這種常識(shí)可以在關(guān)鍵時(shí)刻發(fā)揮作用。

除了上述那些基本的網(wǎng)絡(luò)衛(wèi)生措施外，您還可以采取更多技術(shù)防御措施：

• 保持所有系統(tǒng)的修復(fù)和更新;
• 保存硬件清單，以便及時(shí)了解需要保護(hù)的內(nèi)容;以及對基礎(chǔ)架構(gòu)執(zhí)行持續(xù)的漏洞評(píng)估。
• 尤其是涉及勒索軟件攻擊時(shí)，備份問題始終是不容忽視的關(guān)鍵步驟。這樣一來，即便是硬盤文件被攻擊者加密，您也無需再用支付贖金的方式來取回它們。

四、惡意軟件防護(hù)

防病毒軟件(Antivirus softwareis)是惡意軟件防護(hù)產(chǎn)品類別中最廣為人知的產(chǎn)品;雖然名稱中存在“病毒”一詞，但是大多數(shù)產(chǎn)品針對的都是各種各樣的惡意軟件，不單單針對“病毒”這一種類型而已。雖然高端安全專業(yè)人士認(rèn)為，它已經(jīng)過時(shí)，但它目前仍是基本的反惡意軟件的支柱。根據(jù)AV-TEST最近進(jìn)行的測試結(jié)果顯示，如今市場上，最好的防病毒軟件來自卡巴斯基實(shí)驗(yàn)室、賽門鐵克以及趨勢科技等供應(yīng)商。

當(dāng)涉及到更先進(jìn)的企業(yè)網(wǎng)絡(luò)時(shí)，端點(diǎn)安全產(chǎn)品可以提供針對惡意軟件的深度防御。該產(chǎn)品不僅能夠提供基于簽名的惡意軟件檢測，還提供反間諜軟件、個(gè)人防火墻、應(yīng)用程序控制以及其他類型的主機(jī)入侵防護(hù)功能。Gartner還為用戶提供了該領(lǐng)域的首選名單，其中包括Cylance、CrowdStrike以及Carbon Black的此類產(chǎn)品。

五、如何檢測惡意軟件

盡管我們可能已經(jīng)付出了最大的努力，但是某些時(shí)候，我們的系統(tǒng)仍然完全有可能遭到惡意軟件感染，那么，您將如何判斷自己的系統(tǒng)是否遭到了惡意軟件感染呢?

就企業(yè)IT而言，可以使用更高級(jí)的可見性工具來查看網(wǎng)絡(luò)中發(fā)生的情況，并檢測惡意軟件感染。大多數(shù)形式的惡意軟件使用網(wǎng)絡(luò)將信息傳播或發(fā)送回其控制器，因此，網(wǎng)絡(luò)流量包中會(huì)包含您可能錯(cuò)過的惡意軟件感染信號(hào);目前，市場上有各種各樣的網(wǎng)絡(luò)監(jiān)控工具，價(jià)格從幾美元到幾千美元不等。還有安全信息和事件管理(SIEM)工具，它們是從日志管理程序演變而來的;這些工具能夠分析來自基礎(chǔ)架構(gòu)中各種計(jì)算機(jī)和設(shè)備的日志，以查找問題跡象，包括惡意軟件感染。安全信息和事件管理(SIEM)供應(yīng)商范圍十分廣泛，包括像IBM和HP Enterprise這樣的行業(yè)巨頭，以及像Splunk和Alien Vault這樣的小型專家。

六、如何清理惡意軟件

一旦被感染，想要?jiǎng)h除惡意軟件可能動(dòng)輒就要花費(fèi)數(shù)百萬美元，因?yàn)閻阂廛浖h除是一項(xiàng)非常棘手的工作，它可能會(huì)根據(jù)正在處理的惡意軟件類型不同而有所不同。如果您正在尋找清理系統(tǒng)的工具，Tech Radar可以提供很好的免費(fèi)產(chǎn)品，其中不僅包含防病毒世界中一些耳熟能詳?shù)拿Q，還有一些像Malwarebytes這樣的新秀。

七、惡意軟件典型示例

我們已經(jīng)討論了當(dāng)前一些迫在眉睫的惡意軟件威脅。但是，還有一個(gè)漫長而傳奇的惡意軟件發(fā)展史等待我們探尋。關(guān)于惡意軟件的歷史，可以追溯到20世紀(jì)80年代由Apple II愛好者交換的受感染軟盤和1988年在Unix機(jī)器上交換的Morris蠕蟲。其他一些廣為人知的惡意軟件攻擊還包括：

• I LOVE YOU(“愛蟲”病毒)：這是一款出現(xiàn)在2000年的蠕蟲病毒，實(shí)際上，這是一種自傳播的蠕蟲，其傳播方式是將其自身發(fā)送給目標(biāo)計(jì)算機(jī)地址簿中的每個(gè)聯(lián)系人，主題詞“I love you”則是為了誘使人們打開郵件。該惡意軟件在當(dāng)時(shí)造成了超過150億美元的損失;
• SQL Slammer：這是一款2003年出現(xiàn)的病毒程序，該病毒利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務(wù)進(jìn)行攻擊。共造成全球約50萬臺(tái)服務(wù)器遭到攻擊，但造成的經(jīng)濟(jì)損失較小;
• Conficker：這種蠕蟲利用了Windows中未修補(bǔ)的漏洞，并通過各種攻擊媒介(從注入惡意代碼到網(wǎng)絡(luò)釣魚電子郵件)最終破解密碼，并將Windows設(shè)備劫持到僵尸網(wǎng)絡(luò)中;
• Zeus：出現(xiàn)在00年代后期的一款鍵盤記錄木馬，主要目的在于竊取銀行信息;
• CryptoLocker：第一個(gè)廣泛傳播的勒索軟件攻擊，其代碼不斷在類似的惡意軟件項(xiàng)目中重新利用;
• Stuxnet(震網(wǎng)病毒)：這是一種非常復(fù)雜的蠕蟲病毒，于2010年6月首次被檢測出來，是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)(能源)設(shè)施的蠕蟲病毒，比如核電站、水壩、國家電網(wǎng)等。它感染了全球的計(jì)算機(jī)設(shè)備，但只在一個(gè)地方造成了真正的破壞：即伊朗在納坦茲的核設(shè)施，該病毒成功摧毀了伊朗的鈾濃縮設(shè)備，造成伊朗核電站推遲發(fā)電。

八、2018全球惡意軟件發(fā)展趨勢

Comodo網(wǎng)絡(luò)安全威脅研究實(shí)驗(yàn)室在其發(fā)布的《全球惡意軟件2018年第一季度報(bào)告》中，針對全球3億起惡意軟件事件進(jìn)行分析，概括總結(jié)了如下發(fā)展趨勢：

1. 加密挖掘攻擊改變：緊隨金錢腳步

目前的威脅展現(xiàn)了與2017年截然不同的情況：在2018年第一季度，加密貨幣挖礦惡意軟件(cryptominer)相較其他惡意軟件，數(shù)量飆至頂峰，取代了數(shù)量大幅下降的勒索軟件，成為頭號(hào)威脅。

2017年比特幣價(jià)值高達(dá)20,000美元，成為加密攻擊的主要目標(biāo)。然而，今年真正的激增是因?yàn)閏ryptominer攻擊增加到2890萬，占第一季度所有惡意軟件事件的10%。獨(dú)特的cryptominer變種數(shù)量從1月份的93,750增加到3月份的127,000。

另一個(gè)讓人震驚的發(fā)現(xiàn)：現(xiàn)在門羅幣(Monero)已經(jīng)取代比特幣成為加密挖掘惡意軟件的主要目標(biāo)。安全分析師表示，黑客們?nèi)绱讼矚g門羅幣的原因在于：它隱藏了交易方和金額;不能被追蹤、列入黑名單或與以前的交易相關(guān)聯(lián);每兩分鐘創(chuàng)建一次塊，可以提供更頻繁的攻擊機(jī)會(huì);并專為在普通電腦上進(jìn)行采礦而設(shè)計(jì)。

2. 隨著攻擊者轉(zhuǎn)移策略，勒索軟件數(shù)量顯著下降

報(bào)告數(shù)據(jù)顯示，對采礦的非法關(guān)注似乎以勒索軟件活動(dòng)(減少)為代價(jià)，新變種從1月的124,320降至3月份的71,540，降幅為42%。

雖然勒索軟件在2017年8月發(fā)現(xiàn)占所有惡意軟件中的40%，但在2018年2月下降到不到10%。攻擊者成功率降低的原因在于，他們沒有創(chuàng)建惡意軟件代碼，公司采取了反勒索軟件措施，例如虛擬化基礎(chǔ)設(shè)施。但Comodo認(rèn)為，勒索軟件未來可能被作為破壞數(shù)據(jù)的武器，從而重新成為主要威脅。

3. 密碼竊取器正變得更加復(fù)雜和危險(xiǎn)

Comodo網(wǎng)絡(luò)安全專家已經(jīng)目睹復(fù)雜密碼竊取器的興起，其中Pony Stealer Trojan是惡意軟件有效載荷的首選。這主要是因?yàn)榫W(wǎng)絡(luò)犯罪分子受到了經(jīng)濟(jì)因素的刺激，而世界財(cái)富增加和網(wǎng)上銀行賬戶與均與加密錢包相關(guān)。

像Pony Stealer這樣的密碼竊取器，可以穿過受害者的計(jì)算機(jī)，秘密提取機(jī)密信息并掩蓋其痕跡以避免被發(fā)現(xiàn)。

4. 地緣政治緊張局勢升級(jí)，惡意軟件模式隨之發(fā)生變化

分析發(fā)現(xiàn)，惡意軟件類型與世界各地的時(shí)事相關(guān)。在第一季度，Comodo在埃及，印度，伊朗，以色列，土耳其和烏克蘭發(fā)現(xiàn)了與軍事行動(dòng)的相關(guān)性的惡意軟件，以及歐洲，亞洲和非洲的其他趨勢相關(guān)的惡意軟件。

惡意軟件就像網(wǎng)絡(luò)空間本身一樣，僅僅是傳統(tǒng)的‘現(xiàn)實(shí)世界’人類事務(wù)的映射，而惡意軟件總是為犯罪、間諜活動(dòng)、恐怖主義或戰(zhàn)爭等目的而編寫的。

Comodo《全球惡意軟件2018年第一季度報(bào)告》下載地址：

https://blog.comodo.com/comodo-news/comodo-cybersecurity-q1-2018-global-malware-report/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文