Account 登录
Illustration of security badge with 1 and 0's and webpapges behind
Jump to section

什么是恶意软件?

复制 URL

恶意软件包括任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备,还可能会影响与受感染设备通信的其他设备。

恶意软件涵盖从最简单的电脑蠕虫和木马程序,到最复杂的电脑病毒等,都包括在内。恶意软件、病毒和恶意代码相关但不相同,因此只用一种防病毒软件或反恶意软件可能无法抵挡所有威胁。它们可能会出现在台式电脑、笔记本电脑和移动设备上。根据设备所用操作系统的不同(Windows、Android、iOS 或 Apple MacOS),恶意软件可能还会以不同方式发动攻击和呈现出来。世界上不存在绝对安全的设备。无论是专业设备还是个人设备,采取恶意软件防护措施通常都是有用的。

有效的 IT 安全防护可以减少企业受恶意软件攻击的风险。常见的网络安全防护做法有补丁管理(用于封堵系统漏洞)和访问控制(用于限制恶意软件的危害)。此外,经常备份独立于主生产系统的数据也可以让您快速、安全地从恶意软件感染中恢复。

假设您在一个普通的办公室工作。一天早上,您来到办公室,沏好咖啡,然后打开电脑。这时一切都开始不对了。

正常的电脑桌面没有出现,取而代之的是一个带有挂锁和倒计时钟表的血红色屏幕。"您的文件已被加密",上面写道。"如果不在 7 天内付款,你将无法恢复文件。" 环顾四周,每一个同事都在自己的电脑上看到了同样的消息。无一例外。

2017 年 5 月,这种情景反复出现在全球各地的工作场所中,一个叫" WannaCry"的恶意软件先后攻击了企业、政府,甚至包括医院等重要公共服务机构。

但并非所有恶意软件都喜欢这么高调地显露身份。您也可能会遇到非常隐蔽、令人毫无察觉的恶意软件,它会悄然拖慢您的系统速度,或者侵犯您的隐私。网络犯罪分子通常会设计这些程序来规避检测,并且只在准确满足相关条件时才有明显活动。

您可能无法阻止恶意软件,但可以通过及时获取信息并保持合理的安全措施,降低其破坏运维的可能性。

为了更好地了解恶意软件的行为及降低风险的途径,我们可以将常见类型的恶意软件划分为若干类别。如有不慎,这些类型的恶意软件可以渗透到包括安卓移动设备和苹果笔记本电脑在内的任何设备当中。

恶意软件需要传播途径以及用于实现预期目标的代码。您可以将其理解为交付系统和攻击负载。以下是该结构的基本摘要,随后还将给出更详细的解释。

交付系统

特洛伊木马:诱使用户进行安装

蠕虫病毒:自我复制


它们可以组合成以下攻击方式:

漏洞利用:利用软件漏洞攫取对系统和敏感数据的访问权限

网络钓鱼:诱使用户提供可用于获取访问权限的信息

Rootkit 或 Bootkit:攫取管理访问权限,以规避检测并获得更多控制权

攻击负载

广告软件:显示令人讨厌的广告

僵尸网络:将设备置于外部控制之下

加密货币挖矿机:利用计算能力从事加密货币挖矿

勒索软件:索取钱财

间谍软件: 通过键盘记录器或其他方式秘密收集数据

其他损害:数据损坏、故意破坏、蓄意捣乱

特洛伊木马

特洛伊木马,通常称为木马病毒,通过社交工程的方式传播。木马病毒将自己伪装成其他的东西,从而说服不知情的用户进行安装。一种常见的策略是攻击者诱使用户打开用于安装恶意软件的文件或 Web 链接。例如,像恐吓性软件之类的木马病毒会诱导用户认为特定程序有助于保护其计算机,而事实恰好相反。 

此外,用户可能会安装一个看起来很有用的应用,例如一个漂亮的浏览器工具栏或一套有趣的表情包,但它同时也包藏着恶意软件。另一项木马病毒技术会将自动安装的恶意软件写入 U 盘(或 USB 驱动器),随着 U 盘的流动传递给不知情的用户。当远程访问木马病毒(RAT)恶意软件渗入到您的设备后,网络犯罪分子便可利用它操控您的设备。

蠕虫病毒

蠕虫病毒就像虫子一样慢慢蠕动,闯入别人的地方。20 世纪 70 年代出现了第一批试验性电脑蠕虫病毒,当时它们只是简单地复制自己。80 年代出现了更具破坏性的蠕虫病毒,它们成为第一批广为人知的电脑病毒。这些病毒通过软盘在 PC 间传播,感染可以访问的文件。随着互联网的普及,恶意软件开发人员和黑客将蠕虫病毒设计为可以跨网络自我复制,使其成为了联网的企业和用户在早期受到的一大威胁。

漏洞利用

漏洞利用是指非法利用软件中的漏洞,以使软件执行其设计意图之外的某些操作。恶意软件可能会利用漏洞进入系统,或从系统的某处移动到另一处。许多漏洞利用都依赖于已知的漏洞(也称为 CVE),因为很多用户都不会及时装上安全补丁来保持系统为最新状态。"零时差漏洞利用"是另一种不太常见的情况,它会利用还没被软件维护人员修复的重大漏洞。

网络钓鱼

网络钓鱼是一种社会工程形式,攻击者试图通过欺骗性请求(例如伪造的电子邮件或录用骗局)诱使用户移交敏感信息或个人数据。网络钓鱼攻击作为获取密码和登录凭据的一种策略,有时是恶意软件攻击的先兆。

Rootkit 和 Bootkit

Rootkit 是一组旨在获得对系统的完全控制,继而隐匿踪迹的软件工具。Rootkit 可实际取代系统的正常管理控制。Bootkit 是一种高级 Rootkit,它可以在内核级别上感染系统,因而具有更多的控制权,也更难以检测到。

广告软件和间谍软件

广告软件会向您的设备投放大量不需要的广告,比如 Web 浏览器中的弹出窗口。间谍软件是它的近亲,主要是收集您的信息并将其传送至其他地方。间谍软件既包括监控您互联网活动的跟踪器,也包括复杂的间谍工具。间谍软件可以包括击键记录器或键盘记录器,它们记录用户键入的任何内容。除了侵犯您的隐私之外,间谍软件和广告软件还会拖慢您的系统速度并阻塞您的网络。

僵尸网络

僵尸网络恶意软件会将设备的控制权转交给外部方,从而使该设备成为由受感染设备构成的大型网络的一员。僵尸网络通常用于执行分布式拒绝服务(DDoS)攻击、发送垃圾邮件或进行加密货币的挖矿。网络上任何不安全的设备都很容易受到感染。僵尸网络通常都有办法来扩张其设备网络,而且其复杂程度足以同时或按顺序进行多种恶意活动。例如,2016 年的 Mirai 恶意软件攻击就是利用由互联网连接的摄像头和家用路由器形成了一个庞大的 DDoS 僵尸网络。

勒索软件

勒索软件是要求用户为某个东西付费的恶意软件。许多常见的勒索软件都是对用户系统上的文件进行加密,并要求用比特币作为赎金来换取解密密钥。勒索软件的问题从 2000 年中期开始变得较为突出。至今,勒索软件攻击仍是最严重和最普遍的电脑安全威胁之一。 

其他损害

有时,恶意软件开发人员或操作人员的目标是销毁数据或破坏某些内容。早在勒索软件构成问题之前,第一个引起大众媒体关注的恶意软件程序是 1992 年的米开朗基罗病毒。该病毒曾试图在某个特定日期(3 月 6 日)覆盖受感染 PC 的磁盘驱动器。多年后,2000 年,ILOVEYOU 病毒以 Visual Basic 脚本的形式在用户之间广泛传播(作为电子邮件的附件发送)。运行时,它会删除各种文件,并将自己的副本通过电子邮件发送给用户地址簿中的每个人。

而以现代恶意软件的标准来看,有些病毒却非常古怪。比如 Stuxnet 就是其中的典型。2010 年,安全防护社区发现了一种令人费解且高度复杂的蠕虫病毒,其设计意图是篡改特定类型的工业设备。许多安全专家至今都认为 Stuxnet 是由美国和以色列政府设计的,旨在破坏伊朗的核武器计划。(没有任何政府正式承认对此事负责。)如果猜测属实,那么这就是一个新兴恶意软件的案例:一次由国家资助的网络攻击。

防范恶意软件的最佳方法就是不被感染。除了防病毒或反恶意软件可以提供帮助,您如今还可以采取许多其他措施来提高弹性。

减少攻击面

最大限度减少向互联网开放的系统、应用及端口的数量。

用户教育

用户应该学会对电子邮件中的链接和附件抱有疑心,无论它们看起来有多么真实可信。通过用户教育还可以解释内部威胁将如何导致恶意软件攻击。

检测

越早发现恶意软件感染,就能越早修复受感染的系统。请记住,有些恶意软件真的是深藏不露。防病毒或反恶意软件工具需要定期更新其检测签名,而且最好使用多种恶意软件检测方法。

补丁管理

由于软件维护人员通常会尽快修补安全漏洞,因此运行最新版的软件可以降低被恶意软件感染的风险。采用有效的补丁管理,您就可以确保整个企业的所有系统都能及时获取安全补丁。请经常检查并应用更新,以防已知的漏洞被利用。

访问控制

管理员控制权限应仅提供给受信任的应用和真正需要使用它的用户。这样,即便有恶意软件攻击您的电脑,也会难以感染系统的核心功能。请定期检查您的管理员控制权限。

数据备份和加密

在恶意软件攻击期间,正确的数据安全防护可以发挥巨大的作用。即使出现最坏的情况——也就是恶意软件攻破了您的系统,您也可以通过故障切换而转移到感染前的干净备份上。简单来说,这就表示备份数据可以保持隔离状态,因此恶意软件无法损坏或删除它。此外,最好对数据进行加密,这样恶意软件所泄露的任何数据就毫无用处。实际上,根据企业规模和复杂程度,您可能需要一系列组合策略。对于大型企业而言,在备份和加密方案中,混合云环境下的软件定义存储解决方案提供了极大的灵活性。

所有计算机系统都存在漏洞,而这正是恶意软件开发人员一直在全力寻找和利用的目标。所以恶意软件安全防护是一个永不停止的主题。

红帽 IT 安全技术指南提供了有关如何制定安全策略、流程和规程的更多信息。

继续阅读

文章

什么是 DevSecOps?

如果您想要充分发挥出 DevOps 的敏捷性和响应力,则必须在应用的整个生命周期内兼顾 IT 安全性。

文章

云安全有何不同之处

一些重大安全问题同时影响着传统 IT 和云系统。了解它们的不同之处。

文章

什么是 SOAR?

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。

详细了解安全防护

Illustration - mail

获取更多类似的内容

免费订阅我们的 Red Hat Shares 通讯邮件