根据数据统计资源网站Statista数据,2019年全球恶意软件攻击数量超过了99亿次。恶意软件会损坏或利用其感染的任何设备、网络、软件或服务器。恶意软件开发者即网络犯罪分子,会滥用装有恶意软件的设备来获取财务、个人、专业或政治利益。尽管不同类型的恶意软件的编码方式不同,但是可以根据恶意软件的结构、行为和共同特征对其进行分类,每种类型恶意软件的目标都是以特定方式损害受感染的设备。

本文介绍了三种主要类型的恶意软件:病毒、蠕虫、特洛伊木马,以及其他五种广泛使用的恶意软件:rootkit、键盘记录程序、勒索软件、间谍软件、广告软件,并提供了四种防范恶意软件感染的建议:保持软件更新并安装补丁、识别网络钓鱼邮件、提防垃圾邮件及恶意网站、定期扫描硬件及IoT设备

一、八种不同类型的恶意软件

1、计算机病毒

就像生物病毒一样,计算机病毒通过宿主感染并传播给他人。不过计算机病毒是通过数字格式传播的,并不是通过人类宿主。计算机病毒是隐藏在以下位置的恶意程序:

  • 硬件部件;

  • 软件;

  • 操作系统;

  • 浏览器;

  • 媒体文件(图像、视频、幻灯片、GIF等);

  • 文件(.doc,PDF等)。

一旦用户下载并激活了恶意程序,病毒便会激活并破坏设备。病毒会自我复制,更改受感染设备的程序代码,并获得对设备硬件和软件组件的未经授权的控制。计算机病毒具有许多不同的结构,可用于各种网络犯罪。

计算机病毒的生命周期

当病毒将进入用户设备时,会先保持休眠状态。病毒需要触发器(即主机执行的手动操作)才能激活。通常,触发器可以是激活软件、打开受感染的文件/媒体、启用宏等。

一旦激活,该病毒就会开始搜索其他位置进行自我复制,例如在软件、硬盘驱动器、可移动硬件(如存储卡和USB驱动器)上。病毒会更改计算机程序的原始设置和代码,最后释放其有效负载。有效负载是核心代码,可使病毒能够执行其创建的任务。

网络犯罪分子创建病毒导致的结果有很多,包括:

  • 使目标设备的硬件或操作系统崩溃;

  • 破坏系统;

  • 显示大量不需要的弹出窗口;

  • 访问目标用户的联系人列表和电子邮件联系人。

计算机病毒概览

  • 一些病毒使用数学算法对自身进行加密。因此,防病毒程序无法检查和读取包含病毒的软件内部的代码;

  • 防病毒程序会搜索一些已知的代码串来检测病毒。这些代码也称为“病毒特征”。但是某些病毒的编写方式写得特别好,以至于它们每次感染后都会自行重写并更改其代码。由于缺少相似的字符串模式,因此防病毒程序很难跟踪病毒;

  • 一些新一代病毒使用高级人工智能(AI)来读取用户的请求。当用户开始扫描其设备时,病毒会复制原始文件,并将未受感染的文件副本发送到防病毒扫描程序,从而使感染文件保持隐藏状态。

2、特洛伊木马

特洛伊木马是一种恶意软件,伪装成合法软件并诱骗用户安装它。特洛伊木马程序编写者将恶意代码插入合法软件/文件中,或者开发与合法程序类似的恶意软件。诱使用户在其系统上安装特洛伊木马的方式有很多,例如:

  • 升级:当用户尝试在线访问某些内容时,受感染的网站会限制内容,并要求用户将软件、应用程序、浏览器、媒体播放器等更新为最新版本。但是,当用户单击提供的链接时,木马会与升级的软件一起安装在用户的设备上;

  • 媒体文件:犯罪者在网络钓鱼电子邮件或恶意网站中提供链接,以下载免费的图像、mp3文件、游戏、幻灯片或视频。但是,当用户尝试下载时,设备中下载的是木马感染的版本或完全不同的程序;

  • 电子邮件附件:攻击者发送带有特洛伊木马感染附件的网络钓鱼电子邮件。

木马无法自我复制,因此,它们会保留在本地(在其最初存储的程序/文件中)。然而,如今市场上存在将木马与病毒或蠕虫结合在一起的混合恶意软件。病毒和蠕虫为木马了提供复制功能,因此其破坏力倍增。

七种木马程序

(1)勒索木马

此类型的木马会加密、破坏、修改、复制、锁定、和删除数据。此类木马将用户系统中的数据作为勒索条件,并在用户支付赎金后将其释放。

(2)Mail-Finder木马

此类型木马的任务是从其目标的电子邮件客户端中查找所有电子邮件联系人。该木马可将列表发送给其创建者。在某些情况下,会通过网络钓鱼电子邮件在受害者不知情的情况下通过网络钓鱼电子邮件将自己转发给这些联系人,从而进行自我传播。

(3)伪造的防病毒木马

此类木马会向用户发送虚假消息,告知其设备已感染病毒。有时会使用复杂的报告和扫描结果,显示出很高的威胁级别,从而使用户感到恐慌。然后,该木马作者向用户收取病毒清除服务费用。

(4)下载木马

此类木马的目的是在设备所有者不知情的情况下从互联网下载其他恶意软件。

(5)僵尸网络木马

僵尸网络木马用于破坏Web浏览器,感染其他设备,迫使其加入僵尸网络大军,并执行各种网络犯罪。

(6)后门/远程访问木马

此类木马可使网络犯罪分子远程访问控制入侵的设备,例如:

  • 访问和修改文件;

  • 重新启动目标系统;

  • 安装或卸载其他软件;

  • 与其他连接的物联网设备发送和接收信息;

  • 获得许多其他类似的特权。

(7)间谍木马

此类木马也称间谍软件,会监视用户的行为,如上网行为以及用户在网站和设备上键入的内容(如个人信息、财务数据、登录凭据等)。之后此类信息将用于执行身份盗用犯罪、财务欺诈或勒索软件攻击。

3、电脑蠕虫

蠕虫是一种可以自我复制并迅速传播到其他连接的设备、文件和软件上的恶意软件。因此,这意味着蠕虫是具有高度传染性的独立计算机程序。与需要触发才能激活的病毒不同,蠕虫是自主的,一旦被插入用户的设备中,就可以开始自我复制,不需要用户操作即可激活。

基本蠕虫会占用主机设备的过多带宽和资源,从而使其运行缓慢或无法正常运行。它还会耗尽设备的RAM和内部存储器,并使共享互联网络过载。但更糟糕的是,许多现代蠕虫通常与木马和病毒等其他类型的恶意软件配对使用。这些混合蠕虫具有以下功能:

  • 提供远程访问权限;

  • 加密文件;

  • 发送垃圾邮件和网络钓鱼电子邮件;

  • 从互联网上下载恶意软件;

  • 删除文件;

  • 以闪电般的速度危害主机设备。

蠕虫和木马的组合可用于执行:

  • 僵尸网络攻击;

  • 浏览器中间人攻击;

  • 暴力攻击;

  • DDoS攻击。

蠕虫是需要大量感染设备的网络攻击的理想选择。

4、Rootkits

rootkit是一种计算机程序,可使犯罪分子无需任何必要的凭据即可未经授权访问文件/软件。软件的某些核心组件需要用户身份验证才能访问它们,例如:

  • 密码(Passwords);

  • 一次性密码(One-time passwords,OTPs);

  • 密码(Secret codes);

  • 安全问题。

然而,当rootkit安装在用户设备上时,会破坏系统,包括硬件和软件,使其作者可以绕过身份验证过程并在用户不知情的情况下获得管理权限。

尽管某些防病毒程序可以检测到rootkit,但是一旦将其插入设备的核心组件中,仍然很难将其删除。如果它存储在内核中,则需要重新安装整个操作系统来摆脱它。如果rootkit隐藏在硬件中(也称为固件rootkit),则必须替换整个硬件组件才能将其删除。

5、键盘记录器

术语“键盘记录器”是指监视用户键盘活动的一种基于软件或硬件的程序。每当按下键盘上的按键时,就在创建击键。这就是使用者与设备进行通信的方式。键盘记录程序会记录进行的每个按键记录(因此得名键盘记录程序Keylogger)。

基于软件的键盘记录程序隐藏在操作系统、内核级程序、正在运行的应用程序以及受感染设备的Web浏览器中。尽管它们对计算机或其他设备没有威胁,但基于它们窃取的信息类型,会对使用它们的人员和组织构成威胁。

然而按键记录并非在所有情况下都是非法的。例如,某些组织选择使用键盘记录器来跟踪其员工的工作。然而当出于窃听和窃取信息目的将键盘记录程序安装在用户设备上时,就属于恶意软件类别。

其他一些类型的恶意软件(蠕虫、病毒、特洛伊木马)也具有击键记录功能。用户被诱骗下载隐藏了键盘记录程序的软件,安装并激活后,按键记录器会跟踪并记录用户的按键。

键盘记录窃取了什么

网络罪犯使用这些工具来窃取个人身份信息(PII)、财务数据、密码、个人通信、甚至媒体文件。犯罪者可以使用它来执行:

  • 身份盗用:这种类型的犯罪包括在使用他人名字的同时开设银行账户、借贷、提交纳税申报表等;

  • 财务欺诈:此类欺诈包括滥用付款卡和银行信息进行未经授权的资金转移;

  • 勒索软件攻击:网络犯罪分子会威胁如果不支付赎金,就会传播或删除个人或组织的数据。

  • 有时,攻击者会收集用户的个人数据,并将其在暗网出售。

6、勒索软件

勒索软件是将目标数据作为人质的恶意软件。为了使受害者重新获得对其文档、图像、视频及其他重要数据的访问权,他们必须首先支付指定的费用(通常以加密货币支付)。

通常,勒索软件使用加密密钥对数据进行加密,没有相应的密钥,任何人都无法访问此类加密数据。有时,勒索软件会锁定或关闭整个系统,并且需要支付勒索赎金才能重新启动系统。

勒索软件也可以针对网站。攻击者会锁定网站的所有文件、数据库、甚至备份,从而有效地锁定了网站所有者。这就是诸如CodeGuard之类的网站和数据备份产品可以成为救命稻草的地方,CodeGuard会自动将备份存储在第三方云平台中,并在存储之前扫描每个备份中的恶意软件。

勒索软件通过网络钓鱼电子邮件或恶意网站以特洛伊木马或计算机蠕虫的形式传播。

7、间谍软件

顾名思义,这种类型的恶意软件会在受害者不知情和未经其同意的情况下窃听受害者的行为。间谍软件是一个广义术语,包括监视用户的任何类型的恶意软件(特洛伊木马、键盘记录程序、跟踪cookie等)。

间谍软件会窃取用户的以下内容:

  • 个人和职业信息;

  • 登录信息;

  • 支付卡号;

  • 联系人列表;

  • 银行信息;

  • 有关其他已连接设备的信息;

  • 用户系统中的漏洞等。

它还可以监视受害者的浏览行为。

当间谍软件插入公司网络或政府网站后,可能会窃听和泄漏机密数据、军事信息、商业机密、技术知识以及所有其他类型的敏感信息。

网络犯罪分子将此类信息滥用于身份盗窃、财务欺诈、勒索或引起政治动荡,还可在暗网中将此类信息出售给其他网络犯罪分子。

8、广告软件

广告软件在用户浏览互联网或使用应用程序/软件时在他们的设备上显示广告。一些软件发行商免费或以较低的价格提供软件,并从广告中收回开发和升级成本。

发布与广告软件捆绑在一起的软件是合法的,该软件跟踪用户的地理位置并相应地显示广告,从而为开发人员产生“点击付费”的收入。然而,广告软件设计成:

  • 使用“无法关闭”的窗口生成不需要的弹出窗口;

  • 跟踪用户操作;

  • 窃取用的个人信息或登录凭据。

有时,病毒或蠕虫会集成到执行各种网络犯罪的广告软件中。

二、现代恶意软件呈现出不断变化的威胁趋势

所有不同类型的恶意软件都会随着时间的流逝而发展演变,然而也有些类型的恶意软件会自行更改以逃避检测。多态和变态恶意软件(Polymorphic and Metamorphic Malware)是指每一次插入都能改变其特征码和密码的恶意软件。根据Webroot的研究结果,94%的恶意可执行文件是多态的。

  • 多态恶意软件(Polymorphic malware)会更改其部分编码,同时保留一部分主要代码。这使得它可以被某些类型的反恶意软件程序跟踪,但实际上无法被传统的模式匹配网络安全工具检测到;

  • 变态恶意软件(Metamorphic malware)是可以自我重塑的高级恶意软件。每次迭代后,它都会更改其所有代码,从而使其无法被安全软件跟踪。

三、防止恶意软件感染IT系统的四种方法

安全软件的重要性:强大的安全软件可以检测并删除大多数常见类型的恶意软件,如杀毒软件、反恶意软件、反间谍软件和防火墙之类的软件对于抵御常见和知名恶意软件的防护是必不可少的。尽管安全软件很难检测某些高级恶意软件,但至少可以在设备上有任何可疑下载或访问受感染的网站时引起注意并发出警报。

1、保持软件更新并安装补丁

每当软件发布者发现并修复软件漏洞时,都会发布软件的更新版本。网络罪犯一直在寻找仍在使用未打补丁或旧系统的设备,以利用其漏洞。换言之,旧版本中的漏洞就像黑客将其用作将恶意软件插入系统的入口点。

预防措施:一旦收到有关所使用的操作系统、浏览器或任何类型的软件程序的更新通知,请立即安装更新版本。

2、识别网络钓鱼电子邮件

网络钓鱼诈骗涉及犯罪者在冒充他人的同时发送未经请求的电子邮件。攻击者将恶意软件隐藏在此类电子邮件中,或将收件人重定向到恶意网站。

网上诱骗电子邮件及其附件的设计看起来不错,就像来自合法的人和公司一样。例如,网络钓鱼电子邮件可能看起来像是来自同事或HR的电子邮件,要求提供有关业务或机密文件的一些机密信息。但实际上,这些类型的电子邮件来自网络犯罪分子,其附件通常包含各种类型的恶意软件。

有时,攻击者会在电子邮件中发送带有欺骗性文本的恶意链接,诱骗用户点击。当不知情的用户单击此类链接时,恶意软件会在不知情的情况下自动下载到用户的设备上。

预防措施:始终检查发件人的电子邮件地址。它必须来自公司的官方电子邮件地址,并在“@”符号后包含域名。例如,如果电子邮件来自亚马逊,则发件人的电子邮件地址必须包含“@amazon.com”。切勿从未经请求的电子邮件中下载任何内容,但是如果必须下载,至少在下载前使用反恶意软件扫描附件。

3、提防垃圾邮件和恶意网站

黑客制作一些网站的目的是分发恶意软件或诱骗用户共享其机密信息。尽管某些网站属于合法企业,但是黑客却在网站所有者不知情的情况下将恶意软件插入了其链接、媒体、表格中。每当用户从此类网站下载任何内容或点击受感染的链接时,恶意软件就会安装在他们的系统上。

预防措施:每次从互联网上下载某些内容时(特别是免费软件、歌曲、视频、图像、文件等),请使用功能强大的防病毒或反恶意软件程序对其进行扫描。另外,应定期检查下载内容以及C:/ Program Files和C:/ Program Files(x86)文件夹。通常,新软件会自动存储在这些位置。如果发现任何未知软件,请对其进行调查。如果没有任何用途请将其删除。

4、定期扫描硬件和物联网设备

攻击者会感染硬件组件,如存储卡、USB、CD、DVD等。每当用户将受感染的硬件插入其设备时,恶意软件就会将自身插入其中。

预防措施:将上述所有工具插入设备后,请立即使用强大的安全软件进行扫描。

四、关于不同类型的恶意软件及其防范方法的最终思考

恶意软件开发者每天都在想出聪明和创新的方法来开发各种类型的恶意软件。尽管安全软件制造商正在竭尽全力追赶上先进的恶意软件,但是在网上冲浪和从互联网下载东西时也必须保持足够的警惕。如果不幸成为网络犯罪的受害者,或者怀疑设备受到威胁,请立即采取必要措施,请专业人员清理系统,或将问题报告给相关部门。

天地和兴工业网络安全研究院编译

参考资源

【1】 https://sectigostore.com/blog/different-types-of-malware/

【2】 https://www.statista.com/statistics/873097/malware-attacks-per-year-worldwide/

【3】 https://www-cdn.webroot.com/9315/2354/6488/2018-Webroot-Threat-Report_US-ONLINE.pdf

声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。