惡意軟件是一個大問題已不是什么秘密,無論是用于家庭銀行業務和觀看 Netflix 的受感染筆記本電腦,還是存儲客戶信用卡和銀行詳細信息的數百萬英鎊的組織。但是一旦機器感染了惡意軟件會發生什么?該問題的答案取決于感染了設備的惡意軟件類型,因為存在不同類型的惡意軟件,每種惡意軟件都有自己的惡意特征。本文將概述各種類型的惡意軟件并解釋它們的設計目的。
病毒和蠕蟲
病毒是一種常見的惡意軟件,通常會影響受感染設備的性能。病毒是能夠在文件系統中自我復制的惡意軟件的總稱。病毒需要由用戶手動啟動,或者通過感染設備上正在運行的應用程序來啟動。
病毒需要用戶交互才能開始運行,而蠕蟲的問題可能更大,因為它能夠自動傳播到其他計算機和網絡,而無需用戶交互。這可能是公司網絡中的一個問題,因為蠕蟲會枚舉網絡共享并使用這些共享在網絡中橫向移動,因此多個服務器和關鍵設備可能會受到感染。
蠕蟲示例 - WannaCry
Wannacry 惡意軟件在發布時產生了巨大影響,因為它能夠通過搜索面向公眾的 SMB 端口自動傳播。這對世界各地的許多組織構成了巨大威脅,因為 SMB 共享被用于合法共享文件和數據。
廣告軟件
惡意軟件將在很大程度上試圖逃避檢測,因為它不希望用戶知道他們的設備已被感染。但是,如果您已經感染了廣告軟件,那么您就會知道它,因為您會在設備上看到大量廣告。這些將顯示在您的瀏覽器上并通過煩人的彈出窗口顯示。
廣告軟件示例 - DeskAd
DeskAd 是一種廣告軟件,一旦它在設備上站穩腳跟,就會逐漸增加它顯示的瀏覽器廣告數量,并將您的網絡流量重定向到惡意網站。
間諜軟件
間諜軟件將從您的設備中整理私人數據,例如您的瀏覽歷史記錄、位置、密碼和購買。然后可以將這些信息出售給第三方廣告商或使用已泄露的數據進行銀行欺詐
間諜軟件示例 - Pegasus
Pegasus 間諜軟件是由以色列公司 NSO Group 開發的,該公司的間諜軟件據報道以 iPhone 為目標。這種間諜軟件特別具有侵入性的原因在于,它的設計目的是允許訪問設備的攝像頭和麥克風。
勒索軟件
近年來,勒索軟件已成為一個巨大的問題,并為編寫和設計此類惡意軟件的團體帶來了數百萬英鎊的收入。與大多數惡意軟件一樣,勒索軟件通常通過偽裝成諸如 Word 文檔或 PDF 文件之類的無辜內容的電子郵件進行分發。該文件然后由不知情的用戶啟動,沒有意識到附件的真實意圖。
與大多數試圖逃避檢測的惡意軟件不同,勒索軟件希望用戶知道設備已被入侵。由于備份已被刪除,勒索軟件將顯示一條消息,建議所有文件都已加密,檢索數據的唯一方法是向壞人支付贖金。這通常在比特幣中,將包括有關如何使用 Tor 瀏覽器訪問暗網的說明,并提供有關如何進行所需付款的詳細信息。如果付款,那么壞人建議他們將提供解密密鑰,以便可以解密數據。
勒索軟件示例 - BlackMatter、Netwalker、Cerber
Blackmatter Ransomware似乎是REvil和 Darkside 團體的合并,這些團體是 2020 年和 2021 年最多產的兩個勒索軟件團體。它們被歸因于針對 Colonial Pipeline 和 JBS 的具有里程碑意義的攻擊,以及臭名昭著的 Travelex 事件。該組織及其客戶遭受數月的中斷。
Netwalker Ransomware由名為“Circus Spider”的網絡犯罪組織于 2019 年創建。Circus Spider 是“Mummy Spider”網絡犯罪組織的新成員之一。從表面上看,Netwalker 的行為與大多數其他勒索軟件變體一樣,通過網絡釣魚電子郵件建立最初的立足點,然后竊取和加密敏感數據以獲取巨額贖金。
不幸的是,Netwalker 不僅僅是將受害者的數據作為人質。為了表明他們是認真的,Circus Spider 會在網上泄露一份被盜數據的樣本,聲稱如果受害者沒有及時滿足他們的要求,他們會將其余的數據發布到暗網上。Circus Spider 將一名受害者的敏感數據泄露到暗網上的一個受密碼保護的文件夾中,并在線發布了密鑰。
鍵盤記錄器
鍵盤記錄功能對惡意軟件作者特別有價值,因為它會記錄任何擊鍵。因此,如果輸入密碼或輸入銀行詳細信息進行購買,則惡意軟件將捕獲此信息并將其傳輸給壞人,以便他們可以重復使用此信息。
木馬和老鼠
特洛伊木馬的名字來源于歷史上的特洛伊木馬。原因是木馬惡意軟件通常會偽裝成可能吸引用戶的軟件,例如游戲,在某些情況下甚至是防病毒軟件!這增加了惡意軟件安裝在設備上的可能性,該軟件通常看起來合法,但惡意軟件將在后臺運行。這通常會導致壞人遠程訪問受感染的設備,這些類型的木馬被稱為 RAT(遠程訪問木馬)。這使攻擊者可以遠程訪問它已經破壞的設備并泄露他們在文件系統上找到的任何數據。
木馬和老鼠例子 - Emotet, Zeus
在著名的歐洲刑警組織關閉其基礎設施之后,Emotet惡意軟件最近的活動激增,表明該惡意軟件背后的組織并未完全消失。這種臭名昭著的 RAT 已經存在多年,并且一直是世界各地組織的普遍問題。多年來,該惡意軟件已被開發出來,并經常用于提供額外的有效負載,例如Trickbot惡意軟件。
盡管它經過多年的發展和發展,但 Zeus 銀行木馬將針對存儲在已安裝的 Web 瀏覽器中的數據,例如銀行信息和存儲的憑據。然后這些將被惡意軟件竊取,以便可以通過暗網使用或出售。
Rootkit
我之前介紹的惡意軟件類型都針對設備的操作系統。然而 Rootkit 的一個共同特點是它會針對操作系統的底層內核,這使得 Rootkits 特別聰明。通過針對內核,即操作系統和設備硬件之間的層,它可以高度規避并且很難被防病毒解決方案檢測到,因為 AV 解決方案將在總體操作系統而不是底層內核上運行。
Rootkit 示例 - Necurs
Necurs rootkit 自 2012 年以來一直存在,并且是一種流行的力量,用于分發惡意軟件的大規模電子郵件活動。
機器人/僵尸網絡
被稱為機器人的受感染設備用于自動執行命令和任務。一旦感染了這種類型的惡意軟件,該設備(現在稱為機器人)將自動調用壞人的基礎設施,即 C2。這是命令和控制的縮寫,因為攻擊者現在可以控制該設備并且能夠發出將在該設備上執行的命令。
部署此類惡意軟件的攻擊者將尋求將其部署到數以千計的設備上,這些設備統稱為僵尸網絡。然后,這允許攻擊者從每個設備生成流量,并使用他們積累的僵尸網絡基礎設施創建有針對性的DDoS 攻擊。
僵尸網絡示例 - Mirai
Mirai 惡意軟件是一個著名的僵尸網絡,用于感染物聯網設備(物聯網)。當冰箱和咖啡機等家用物品在幾乎沒有身份驗證的情況下獲得 WiFi 功能時,這成為一個問題。安全性最初并不是這些產品的優先事項,這意味著任何人都可以驗證并連接到這些設備。Mirai 背后的惡意軟件作者利用了這一安全漏洞,這些設備感染了 Mirai 并用于 DDoS 攻擊等惡意活動。
無文件惡意軟件
無文件惡意軟件最常使用 PowerShell 對您的系統執行攻擊而不會留下任何痕跡。這種類型的攻擊也稱為零足跡攻擊,并且特別難以檢測,因為它不依賴于將外部惡意(和可檢測)二進制文件滲透到您的系統中。
無文件惡意軟件示例 - PowerSploit
基于 PowerShell 的攻擊者工具很容易被攻擊者使用和使用。PowerSploit 是 PowerShell 模塊的集合,每個模塊都包含一組獨特的腳本,可用于攻擊的多個階段,以執行偵察、提升權限和橫向移動。
預防與緩解
要保護組織免受最新的惡意軟件威脅,傳統的 AV 解決方案已不足以保護組織。原因是這些類型的安全解決方案依賴于基于簽名的惡意軟件檢測。這意味著反病毒供應商依賴于擁有他們已識別并可以檢測到的惡意軟件樣本的最新數據庫。如果新樣本出現并且沒有簽名,則 AV 無法阻止惡意軟件。
EDR(端點檢測和響應)解決方案現在是一種更強大、更受歡迎的方法,可以防止和減輕針對組織的惡意軟件攻擊。EDR 解決方案持續監控設備的所有運行進程、網絡連接、注冊表更改和行為,以確保設備免受我在本文中確定的各種惡意軟件威脅。這種基于機器學習的方法意味著,如果一個惡意軟件確實在未被檢測到的情況下攻擊了設備的文件系統,那么它不太可能成功感染設備以導致其隨后表現出的行為死亡。
惡意軟件最常見的威脅媒介是通過電子郵件,用戶意識是識別和防止員工打開惡意電子郵件的關鍵,無論它發生什么。一種常見的技術是利用惡意 Word 文檔,因為人們在工作中經常會在他們的電子郵件中收到 Word 文檔,因此它們更有可能被最終用戶打開。惡意 Word 文檔通常會包含在后臺運行腳本的宏,這些腳本將惡意軟件下載到現在受到攻擊的設備上。
利用 EDR 解決方案將檢測正在加載的宏,識別正在運行的腳本及其連接的位置,并停止運行宏。這種基于行為的深入分析是保護組織免受最新惡意軟件威脅的關鍵。
