恶意软件是任何类型的恶意软件的总称,其设计用于在最终用户不知情的情况下损害或破坏计算机、服务器、客户端或计算机网络和/或基础设施。
网络攻击者出于多种不同的原因创建、使用和出售恶意软件,但最常用于窃取个人、财务或商业信息。尽管动机各异,但网络攻击者几乎总是将其战术、技术和程序(TTP)集中在获取特权凭据和帐户的访问权上,以执行其任务。
恶意软件分类
大多数恶意软件类型可以归为以下类别之一:
- 病毒:执行计算机病毒后,可以通过修改其他程序并插入其恶意代码来复制自身。它是唯一可以“感染”其他文件的恶意软件,并且是最难清除的恶意软件之一。
- 蠕虫:蠕虫无需最终用户的操作即可自动复制,并且可以通过从一台机器移动到另一台机器来快速感染整个网络。
- 特洛伊木马:特洛伊木马恶意软件会伪装成合法程序,这使其成为最难检测的恶意软件类型之一。这种类型的恶意软件包含恶意代码和指令,一旦被受害者执行,便可以隐秘运行。它通常用于使其他类型的恶意软件进入系统。
- 混合恶意软件:现代恶意软件通常是恶意软件类型的“混合”或组合。例如,“机器人”首先以特洛伊木马的形式出现,一旦执行后便会采取蠕虫的行为方式。它们经常用于在较大范围网络攻击中锁定个人用户。
- 广告软件:广告软件向最终用户提供不需要的且烦人的广告(例如,弹出广告)。
- 恶意广告:恶意广告利用合法广告向最终用户的计算机投放恶意软件。
- 间谍软件:间谍软件对未察觉的最终用户进行间谍活动、收集凭据和密码,浏览历史记录等等。
- 勒索软件: 勒索软件会感染计算机、加密文件并通过解密密钥向受害者勒索赎金。针对企业和政府实体的勒索软件攻击正在日益增加,因为需要向攻击者支付钱财以恢复重要系统,致使组织付出了数百万美元的代价。Cyptolocker、Petya和Loky是最常见且最广为人知的勒索软件家族。
恶意软件示例
以下只是网络攻击者用来锁定敏感数据的多种恶意软件中的几种:
- Pony恶意软件是最常用于窃取密码和凭据的恶意软件。它有时被称为Pony Stealer、Pony Loader或FareIT。Pony恶意软件以Windows计算机为目标,收集有关系统和连接到该系统的用户的信息。它可用于下载其他恶意软件或窃取凭据并将其发送到命令和控制服务器。
- Loki或Loki-Bot是一种信息窃取恶意软件,其目标是大约80个程序(包括所有已知的浏览器、电子邮件客户端、远程控制程序和文件共享程序)的凭据和密码。它首次出现在2016年,至今仍然是网络攻击者窃取凭据和访问个人数据的常用方法。
- Krypton Stealer首次出现在2019年初,在国外论坛上以恶意软件即服务(MaaS)的形式出售,售价仅为100美元加密货币。它针对运行Windows 7及更高版本的计算机,并且无需管理员权限即可窃取凭据。该恶意软件的目标还包括信用卡号和存储在浏览器中的其他敏感数据,例如浏览历史记录、自动完成、下载列表、Cookie和搜索历史记录。
- Triton恶意软件在2017年破坏了中东一家关键基础设施的运营,这是此类恶意软件攻击的最早记录之一。该恶意软件以其目标系统– Triconex安全仪表系统(SIS)控制器命名。这些系统用于在出现问题(例如设备故障、爆炸或火灾)时关闭核设施、石油和天然气工厂的运营。Triton恶意软件设计用于禁用这些故障安全机制,这可能导致对关键基础架构的物理攻击和潜在的人身伤害。
如何降低恶意软件的风险
为了加强对恶意软件的抵御和检测,而又不对业务生产力造成负面影响,组织通常采取以下步骤:
- 使用防病毒工具防御常见和已知的恶意软件。
- 利用端点检测和响应技术持续监视最终用户计算机上的恶意软件攻击和其他网络威胁并做出响应。
- 遵循应用程序和操作系统(OS)补丁最佳实践。
- 实施最小权限和即时访问原则提升帐户权限以执行特定授权任务,从而在仅提供必要权限的情况下使用户保持生产效率。
- 移除标准用户帐户的本地管理员权限以减少攻击面。
- 对用户端点应用应用程序灰名单,以防止未知应用程序(例如新的勒索软件实例)访问Internet并获得加密文件所需的读取、写入和修改权限。
- 在服务器上应用应用程序白名单,以最大程度地提高这些资产的安全性。
- 定期自动备份来自端点和服务器的数据,以实现有效的灾难恢复。
