恶意软件与程序

本文已收录至《全国计算机等级考试——信息 安全技术》专栏

恶意软件（Malicious Software，简称 Malware）是指旨在危害计算机系统或其用户的任何程序，例如勒索软件、特洛伊木马和间谍软件。

什么是恶意软件？

恶意软件（Malicious Software，简称 Malware）是指故意编写的旨在损害计算机系统或其用户的任何软件代码或计算机程序。几乎所有现代网络攻击都涉及某种类型的恶意软件。这些恶意程序可以采取多种形式，包括采用具有高度破坏性和成本高昂的勒索软件以及仅采用令人讨厌的广告软件，具体取决于网络罪犯的目的。

网络罪犯开发和使用恶意软件来：

劫持设备、数据或整个企业网络以获取巨额赎金

未经授权访问敏感数据或数字资产

窃取登录凭证、信用卡卡号、知识产权或其他有价值的信息

扰乱企业和政府机构所依赖的关键系统

每年都会发生数十亿次恶意软件攻击，恶意软件感染可能发生在任何设备或操作系统上。Windows、Mac、iOS 和 Android 系统都可能成为受害者。

恶意软件攻击越来越多地针对企业而不是个人用户，因为黑客已经意识到攻击组织更有利可图。公司可能会被勒索更多金钱，而且黑客通常持有大量个人数据，这些数据可用于身份盗用或在暗网上销售。

恶意软件类型

网络犯罪是一个庞大的产业。一项估计显示，网络犯罪将成为仅次于美国和中国的世界第三大经济体，预计到 2025 年将花费 10.5 万亿美元。 

在这个产业中，黑客不断开发具有新特性和功能的新病毒。随着时间的推移，这些恶意软件病毒会产生新变体，以更好地避开安全软件。据估计，自 20 世纪 80 年代以来，黑客已创建超过 10 亿种恶意软件病毒和变体，使得网络安全专业人员难以应对。

黑客经常通过设计开放式源代码或将其出售给其他犯罪分子来分享恶意软件。恶意软件即服务安排在勒索软件开发人员中很普遍，因此即使是缺乏技术专业知识的犯罪分子也能通过网络犯罪获得回报。

尽管情况总是在变化，但恶意软件病毒可以分为几种常见类型。

计算机病毒

术语“恶意软件”和“计算机病毒”通常用作同义词，但从技术上讲，病毒是一种特定类型的恶意软件。具体来说，病毒是一种恶意代码，它会劫持合法软件以进行破坏并传播自身副本。

病毒不能自行行动。相反，它们将代码片段隐藏在其他可执行程序中。当用户启动程序时，病毒也会开始运行。病毒通常旨在删除重要数据、破坏正常操作并将自身副本传播到受感染计算机上的其他程序。

大多数最早的恶意软件威胁都是病毒。Elk Cloner 可能是第一个通过公共设备传播的恶意软件，它是一种针对 Apple 计算机的病毒。

勒索软件

勒索软件会锁定受害者的设备或数据，并要求受害者支付赎金（通常以加密货币的形式）后才能解锁其设备或数据。根据 IBM 的 X-Force Threat Intelligence Index，勒索软件是第二个最常见的网络攻击类型，占攻击的 17%。

最基本的勒索软件攻击会导致资产在支付赎金之前无法使用，但网络罪犯可能会使用其他策略来增加受害者的压力。

在双重勒索攻击中，网络罪犯会窃取数据，并威胁受害者：如果不支付赎金，就会泄露数据。在三重勒索攻击中，黑客会对受害者的数据进行加密、窃取，并威胁受害者：他们会通过分布式拒绝服务 (DDoS) 攻击使系统脱机。

赎金要求从数万美元到数百万美元不等。一份报告显示，平均赎金金额为 812,360 美元。即使受害者不支付赎金，勒索软件也会导致高昂成本。IBM 的数据泄露成本报告发现，勒索软件攻击的平均成本为 454 万美元，其中不包括赎金本身。

远程访问恶意软件

黑客使用远程访问恶意软件，通过创建或利用后门访问计算机、服务器或其他设备。根据 X-Force Threat Intelligence Index，植入后门是黑客最常见的目标，占攻击的 21%。

网络罪犯可以利用后门进行多种攻击。他们可以窃取数据或凭证、控制设备或安装勒索软件等更危险的恶意软件。一些黑客使用远程访问恶意软件创建后门，然后将其出售给其他黑客，每个后门可以卖到数千美元。

某些远程访问恶意软件（例如 Back Orifice 或 CrossRAT）是出于恶意目的故意设计的。黑客还可以修改或滥用合法软件来远程访问设备。尤其是，已知网络罪犯会使用窃取的 Microsoft 远程桌面协议 (RDP) 凭证作为后门。

僵尸网络

僵尸网络是指由黑客控制的连接互联网、感染恶意软件的设备组成的网络。僵尸网络可以包括 PC、移动设备、物联网 (IoT) 设备等。受害者通常不会注意到自己的设备何时进入僵尸网络。黑客经常使用僵尸网络发起 DDoS 攻击，这种攻击会用大量流量轰炸目标网络，导致目标网络速度缓慢或完全关闭。

Mirai 是最著名的僵尸网络之一，它是 2016 年针对域名系统提供商 Dyn 发起大规模攻击的恶意软件，该提供商关闭了面向美国和欧洲数百万用户的 Twitter 和 Reddit 等热门网站。

挖矿型网络袭击

挖矿型网络袭击是一种恶意软件，它可以在所有者不知情的情况下控制设备并使用它来挖掘比特币等加密货币。从本质上讲，挖矿型网络袭击会创建加密采矿僵尸网络。

挖掘加密货币是一项极端的计算密集型和代价高昂的任务。网络罪犯从中获利，而受感染计算机的用户却遭遇性能下降和崩溃。挖矿型网络袭击通常以企业云基础架构为目标，因此它们能够比针对个人计算机调度更多的资源来进行加密货币挖掘。

无文件恶意软件

无文件恶意软件是一种利用 Web 浏览器和词处理器等合法软件程序中的漏洞将恶意代码直接注入计算机内存的攻击。由于代码在内存中执行，因此不会在硬盘驱动器上留下任何痕迹。由于它使用合法软件，因此经常会避开检测。

许多无文件恶意软件攻击使用 PowerShell，这是一种内置于 Microsoft Windows 操作系统中的命令行界面和脚本编制工具。黑客可以执行 PowerShell 脚本来更改配置、窃取密码或造成其他损害。

恶意宏是无文件攻击的另一个常见媒介。Microsoft Word 和 Excel 等应用程序支持用户定义宏，即自动执行格式化文本或执行计算等简单任务的命令集。黑客可以在这些宏中存储恶意脚本；当用户打开文件时，这些脚本就会自动执行。

其他类型的恶意软件

蠕虫病毒是一种自我复制的恶意程序，无需人员交互即可在应用程序和设备之间传播。（与病毒相比，病毒只有在用户运行受感染的程序时才能传播。）虽然有些蠕虫病毒除了传播之外什么也不做，但许多蠕虫病毒会造成更严重的后果。例如，WannaCry 勒索软件造成了估计 40 亿美元的损失，该蠕虫病毒通过在连接的设备之间自动传播来实现其影响最大化。

特洛伊木马将自己伪装成有用的程序或隐藏在合法软件中以欺骗用户进行安装。远程访问特洛伊木马 (RAT) 会在受感染的设备上创建秘密后门。另一种类型的特洛伊木马称为“dropper”，它一旦站稳脚跟就会安装其他恶意软件。Ryuk 是近期最具破坏性的勒索软件病毒之一，它使用 Emotet 特洛伊木马来感染设备。

Rootkit 是恶意软件数据包，允许黑客获得对计算机操作系统或其他资产的特权、管理员级别的访问权限。然后，黑客可以使用这些提升的权限来做几乎任何他们想做的事，例如添加和删除用户或重新配置应用程序。黑客经常使用 Rootkit 来隐藏恶意进程或禁用可能捕获它们的安全软件。

假冒安全软件会通过恐吓让用户下载恶意软件或将敏感信息传递给欺诈者。假冒安全软件通常会突然弹出一条紧急消息，通常会警告用户他们已经违法或其设备有病毒。该弹出窗口指示用户支付“罚款”或下载虚假安全软件，而这些软件实际上是恶意软件。

间谍软件隐藏在受感染的计算机上，它会秘密收集敏感信息并将其传输给攻击者。一种常见的间谍软件名为击键记录器 (Keylogger)，它会记录用户的所有击键，从而使黑客能够获取用户名、密码、银行帐户和信用卡卡号、社会保障编号以及其他敏感数据。

广告软件通过不需要的弹出广告向设备发送垃圾邮件。广告软件通常包含在免费软件中，而用户并不知情。当用户安装程序时，他们也会不知不觉地安装广告软件。大多数广告软件只不过是一种烦人的东西，但有些广告软件会收集个人数据，将 Web 浏览器重定向到恶意网站，甚至在用户单击其中一个弹出窗口时将更多恶意软件下载到用户的设备上。

恶意软件检测

勒索软件等一些恶意软件感染会自行宣布入侵成功。然而，大多数人恶意软件在造成严重破坏时都试图避开人们的视线。尽管如此，恶意软件感染通常会留下网络安全团队可以用来识别它们的迹象。其中包括：

性能下降：恶意软件程序使用受感染计算机的资源来运行，通常会占用存储空间并破坏合法进程。IT 支持团队可能会注意到，设备运行速度变慢、崩溃或弹出窗口泛滥的用户会收到大量凭单。

新的和意想不到的网络活动：IT 和安全人员可能会注意到奇怪的模式，例如进程使用的带宽比平时多、设备与未知服务器通信，或者用户帐户访问它们通常不使用的资产。

更改配置：某些恶意软件病毒会更改设备配置或禁用安全解决方案以避开检测。例如，IT 和安全团队可能会注意到防火墙规则已更改或帐户权限已提升。

安全事件警报：对于拥有威胁检测解决方案的组织，恶意软件感染的第一个迹象可能是安全事件警报。入侵检测系统 (IDS)、安全信息和事件管理 (SIEM) 平台以及防病毒软件等解决方案可以举报潜在的恶意软件活动，供事件响应团队审查。

恶意软件防护和移除

恶意软件攻击不可避免，但组织可以采取一些措施来加强防御。其中包括：

安全意识培训：许多恶意软件感染是由用户下载虚假软件或落入网络钓鱼诈骗造成的。安全意识培训可以帮助用户识别社会工程攻击、恶意网站和虚假应用程序。安全意识培训还可以指导用户在怀疑存在恶意软件威胁时该怎么做以及与谁联系。

安全策略：通过不安全的 Wi-Fi 访问敏感资产时需要强密码、多重身份验证和 VPN，这样有助于限制黑客访问用户帐户。定期制定补丁管理、漏洞评估和渗透测试的时间表也有助于在网络罪犯利用软件和设备漏洞之前发现这些漏洞。管理 BYOD 设备和防止影子 IT 的策略可以帮助防止用户在不知不觉中将恶意软件带入企业网络。

备份：保存敏感数据和系统映像的更新备份（最好是在硬盘驱动器或其他可以与网络断开连接的设备上），可以更轻松地从恶意软件攻击中恢复。

零信任网络体系结构：零信任是一种网络安全方法，在该体系结构中，用户永远不被信任且始终需要经过验证。尤其是，零信任实现最小特权、网络微分段和持续自适应身份验证的原则，以确保用户或设备不可以访问他们不应访问的敏感数据或资产。如果恶意软件进入网络，这些控制措施即可限制其传播。

事件响应计划：提前针对不同类型的恶意软件制定事件响应计划可以帮助网络安全团队更快地消除恶意软件感染。

恶意软件和网络安全技术

除了上述手动策略之外，网络安全团队还可以使用安全解决方案来自动执行恶意软件移除、检测和预防的工作。常用工具包括：

防病毒软件：也称为“反恶意软件”软件，防病毒程序会扫描系统以查找感染迹象。除了提醒用户之外，许多防病毒程序还可以在检测到恶意软件时自动隔离和移除恶意软件。

防火墙：防火墙可以首先阻止一些恶意流量到达网络。如果恶意软件确实进入网络设备，防火墙可以帮助阻止黑客的传出通信，就像击键记录器 (Keylogger) 将击键发送给攻击者一样。

安全信息和事件管理 (SIEM) 平台：SIEM 从内部安全工具收集信息，将其聚合在中央日志中并标记异常。由于 SIEM 集中了多个来源的警报，因此可以更轻松地发现恶意软件的微妙迹象。

安全编排、自动化和响应 (SOAR) 平台：SOAR 集成和协调不同的安全工具，支持安全团队创建半自动或全自动的运行手册来实时响应恶意软件。

端点检测和响应 (EDR) 平台：EDR 监控智能手机、笔记本电脑和服务器等端点设备是否存在可疑活动迹象，并且可以自动响应检测到的恶意软件。

扩展检测和响应 (XDR) 平台：XDR 集成跨所有安全层（用户、端点、电子邮件、应用程序、网络、云工作负载和数据）的安全工具和操作。XDR 可以帮助自动化复杂的恶意软件预防、检测、调查和响应流程，包括主动威胁搜寻。

攻击面管理 (ASM) 工具：ASM 工具持续发现、分析、修复和监控组织网络中的所有资产。ASM 可帮助网络安全团队捕获可能携带恶意软件的未经授权的影子 IT 应用程序和设备。

统一端点管理 (UEM)：UEM 软件监控、管理和保护组织的所有最终用户设备，包括台式机、笔记本电脑和移动设备。许多组织使用 UEM 解决方案来帮助确保员工的 BYOD 设备不会将恶意软件带入企业网络。