【安全与风险】恶意软件:概念、攻击和检测

已于 2023-05-02 23:46:36 修改
阅读量1.5k 收藏 8
点赞数 1
分类专栏: 课堂笔记 文章标签: 安全
于 2023-04-16 16:06:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46130027/article/details/130182986
版权

恶意软件:概念、攻击和检测

恶意软件的定义

Malware一词是恶意软件的缩写。

恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。

恶意软件通常是由黑客团队创建的:

  1. 通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。
  2. 然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。

恶意软件的类型

病毒:就像它们的生物学名字一样,病毒将自己附着在另一个对象上(例如,干净的文件)并感染其他对象(例如,其他干净的文件)。它们可以不受控制地传播,破坏系统的核心功能,删除或损坏文件。它们通常以可执行文件(.exe)的形式出现。

特洛伊:这种恶意软件把自己伪装成合法软件,或者隐藏在被篡改过的合法软件中。它倾向于谨慎行事,并在您的安全中创建后门,让其他恶意软件进入。

间谍软件:毫无疑问,间谍软件是用来监视你的恶意软件。它隐藏在后台,记录你在网上做了什么,包括你的密码、信用卡号、冲浪习惯等等。

蠕虫病毒:蠕虫通过网络接口感染整个设备网络,无论是本地的还是跨互联网的。它使用每台连续感染的机器来感染其他机器。与病毒不同,它不需要附着在物体上就能自我复制。

勒索软件:这种恶意软件通常会锁定你的电脑和文件,并威胁要删除一切,除非你支付赎金(即一笔钱)。

广告软件:虽然在本质上并不总是恶意的,攻击性广告软件可以破坏你的安全只是为你提供广告——这可以让其他恶意软件很容易侵入。另外,让我们面对现实吧:弹出窗口真的很烦人。

僵尸网络:僵尸网络是由受感染的计算机组成的网络,它们在攻击者的控制下协同工作。

易损性(弱点)

  1. 软件安全漏洞
    恶意软件利用操作系统设计中的安全缺陷(安全错误或漏洞),应用程序(如浏览器,例如Windows XP支持的旧版Microsoft Internet Explorer),或易受攻击的浏览器插件(如adobeflash Player、adobeacrobat Reader或Java SE)。
  2. 过度过大的用户和过度过大的代码
    设计糟糕的计算机系统中,用户和程序都可能被赋予超出他们应有的权限,恶意软件就可以利用这一点。
    移动应用程序的例子:使用超过所需的传感器,否则无法安装。

如何防范恶意软件:终端用户的观点

除了安装杀毒软件,终端用户如何避免被恶意软件攻击?

  1. 不要相信网上的陌生人!“社交工程”,包括奇怪的电子邮件、突然的警报、虚假的个人资料和逗趣的offers,是传播恶意软件的头号方法。如果你不知道它到底是什么,就不要点击它。
  2. 仔细检查你的下载! 从盗版网站到官方商店,恶意软件经常潜伏在角落里。因此,在下载之前,一定要仔细阅读评论和评论,仔细检查提供者是否值得信赖。
  3. 安装一个广告拦截器! 恶意广告——黑客使用受感染的横幅或弹出式广告感染你的设备——正在上升。你无法知道哪些广告是坏的:所以用可靠的广告拦截器把它们都屏蔽掉会更安全。我推荐AdBlocker Ultimate。
  4. 小心你浏览的地方! 恶意软件可以在任何地方找到,但最常见的是后端安全性差的网站,比如小型本地网站。如果你坚持使用大型、信誉良好的网站,你遇到恶意软件的风险就会大大降低。

不足

不幸的是,即使你完全按照上面的建议去做,你仍然可能会感染恶意软件:黑客已经找到了将病毒潜入网络各个角落的方法。

为了获得真正的安全性,您需要结合:

  1. 健康的上网习惯。
  2. 强大可靠的反恶意软件,如反病毒软件,可以在恶意软件感染您的PC, Mac或移动设备之前检测并停止恶意软件。

防病毒软件

分析系统行为
分析二进制文件以确定它是否是病毒
在这里插入图片描述

基于主机的恶意软件检测

当我们说到恶意软件检测时,我们通常需要主机上的代理。代理需要分析主机上运行的进程、内存映射、系统调用等。

两种主要方法:

  1. 特征检测(signature-based detection)
  2. 启发式检测(Heuristic-based detection)

特征检测

找到一个可以识别病毒的“字符串”

  1. 有效载荷中的字符串
  2. 特定的系统调用

将新样本与已知特征匹配。

优点:

  1. 快速
  2. 在已知样本上准确

缺点:

  1. 对新样品不利
  2. 容易可规避的

启发式检测

分析程序行为

  1. 网络访问
  2. 文件打开
  3. 试图删除文件
  4. 尝试修改引导扇区

发现异常行为时发出警报

优点:更适合捕捉新的恶意软件
缺点:仍然会错过一些东西和规避一些东西

数据收集挑战

无论采用何种方法,关键的挑战之一是收集有关病毒/恶意软件的数据:

  1. 行为
  2. 配置文件
  3. 伤害

沙箱分析

收集恶意软件数据的主要方式
在受控环境中运行恶意软件(通常是虚拟环境)
记录所有系统调用,内存使用,网络流量
沙盒输出可用于构建签名
在这里插入图片描述

蜜罐

设置易损机器
可在互联网上访问
等待感染发生
运行沙盒,收集数据
对新的恶意软件很好
在这里插入图片描述

Acknowledgements: Jiangtao Wang

甜瓜瓜哥
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 三十五.恶意代码攻击检测恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
恶意软件检测基础知识
学-> 思->用
05-10 767
恶意软件检测难度是因为恶意软件高度扩散和不同的变体,使得基于签名和图像文件哈希的方法是行不通的. 我们通常说的二进制文件不仅仅是指可执行文件,而且指隐藏在其他文件格式的中的代码,比如(.png格式或者.zip格式),同样文本文档也可以成为恶意软件的载体,尽管他们不是可行性文件格式 .方法整体分为:静态方法和动态恶意软件分析方法。
恶意软件样本行为分析——Process Monitor和Wireshark
weixin_49816179的博客
12-21 1519
介绍了Process Monitor和Wireshark的基本使用。
恶意软件检测与分析:挑战与研究机遇
博客
05-01 715
说明 恶意代码分类 恶意软件隐藏技术 恶意软件检测与分析系统 通用恶意软件检测系统由四个主要模块组成:特征提取、特征选择、分类/聚类和决策。 A软件分析 恶意软件分析可通过以下三种方式进行: 静态分析 [5]提出了一种基于调用码图挖掘的静态分析方案,用于区分Windows环境下恶意软件的变体。 [6]使用DLLs函数列表、系统调用和十六进制转储等特性来检测新的和看不见的恶意可执行文件。 [7]设计了一种恶意软件检测方法,使用Java文件中的第三方API调用和多目标优化分类。 [8]开发了一个多视图(MKLD
什么是勒索软件攻击?如何防患勒索软件攻击?(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
04-11 1096
勒索软件攻击是一种恶意网络攻击攻击者对受害者的文件进行加密或将其锁定在自己的系统之外,要求支付赎金以换取恢复访问权限。以下是勒索软件攻击通常如何运作的分步概述:传播:勒索软件通常通过网络钓鱼电子邮件、恶意下载、受感染的网站或漏洞利用工具包传播。攻击者可能会使用社会工程技术来诱骗受害者点击恶意链接或下载受感染的文件。执行:一旦勒索软件被传送到受害者的系统,它就会执行并开始加密本地计算机或连接的网络驱动器上的文件。一些复杂的勒索软件菌株还可以在网络中横向传播,感染多个设备和系统。
【计算机系统和网络安全技术】第六章:恶意软件
ymx520haha的博客
02-25 1190
恶意软件:一种被植入系统,以损害数据应用程序或操作系统机密性、完整性、可用性或对用户实行骚扰妨碍的程序相关术语:高级持续性威胁,广告软件攻击工具包,Auto-rooter,后门,下载器,路过式下载,漏洞攻击程序恶意软件粗略分类:基于如何传播或传播以达到的预期目标也可以分为:需要宿主程序的(寄生代码,病毒),独立自包含的程序(蠕虫,木马,机器人),不能复制的恶意软件(木马,垃圾邮件),复制的恶意软件(病毒,蠕虫)传播机制:对现有的可执行程序的感染由病毒翻译并随后传播至其他内容,利用软件漏洞来允许恶意软件自我
恶意软件攻击
m0_73146715的博客
04-05 549
恶意软件攻击的三种类型(病毒、木马、勒索软件)在应对方式上存在一些共同点和不同点。以下是它们的共同点和不同点的总结:共同点:1. 使用防病毒软件:所有类型的恶意软件攻击都需要使用防病毒软件检测和阻止恶意软件的传播。2. 用户教育:教育用户识别和避免下载可疑软件或点击不明链接,这是应对所有类型恶意软件攻击的重要措施。3. 数据备份:定期备份重要数据,以便在遭受攻击时能够恢复,减少恶意软件攻击的影响。
网络安全基础整理
qq_52010394的博客
12-01 1356
网络安全基础整理
Security+ 学习笔记1 恶意软件
tushanpeipei的博客
09-12 3733
一、对比病毒(Viruses)、蠕虫(Worms)、木马(Trojans) 1.恶意软件的两个组成部分 传播机制(propagation mechanism) 有效载荷(payload) 传播机制指的是恶意软件如何从一个系统传播到另外一个系统中。有效载荷则指的是恶意软件具体的恶意动作,不同的恶意软件对象可以携带不同的有效载荷。 2.恶意软件按照传播机制分类 恶意软件可以分类为病毒,蠕虫,木马: 病毒:以人为操作的方式,从一个系统传播到另外一个系统的恶意软件。人为操作,如打开E-mail附件,打开一个
软件安全课程设计报告与源码.zip
11-24
在本项目中,我们关注的是“软件安全课程设计”,具体来说是通过Qt平台实现的软件同源性分析与漏洞检测系统。Qt是一个跨平台的应用程序开发框架,它提供了丰富的库和工具,使得开发者可以在多种操作系统上构建图形...
威胁检测与紫队建设2022企业信息安全峰会(脱敏)共35页
11-22
这包括了解最新的攻击手法、恶意软件趋势和网络犯罪模式。 4. 安全运营中心(SOC):如何建立和优化SOC,使其能有效监测、分析和响应安全事件,是威胁检测的关键。 5. 法规遵从:企业在威胁检测和紫队建设中需考虑...
恶意软件自动分析工具malheur
05-25
Malheur是一个自动化的恶意软件分析工具,它在沙箱(sandbox)中记录恶意软件的程序行为。开发Malheur的目的除了支持常规意义 上的恶意软件行为分析,还有就是关注恶意软件检测和防范方法的发展。Malheur能够识别具有类似行为的恶意软件,还能够发现未知的恶意软件。 Malheur 支持检测报告自动生成,报告格式类似于流行的恶意软件沙箱CWSandbox,Anubis,Norman,Sandbox和joebox。
微软文档:勒索软件和敲诈勒索-62页
04-28
人为操作的勒索软件往往涉及凭据盗窃和横向移动,攻击者会利用系统漏洞和安全配置错误深入网络,对关键资源部署勒索软件。 为了防御勒索软件,组织需要采取一系列措施。首先,准备工作是关键,包括建立备份和恢复...
第01天:基础入门-概念名词1
08-03
- **架构漏洞安全测试**:从WEB层面开始,因为这是用户和恶意攻击者最常接触的部分。 - **WEB相关安全漏洞**:包括源码类漏洞(如SQL注入、上传漏洞、XSS、代码执行等)、中间件漏洞、数据库漏洞和系统层漏洞。 **...
Web-安全渗透全套教程文件包含漏洞渗透攻击.zip
05-22
渗透测试是一种授权的模拟攻击行为,目的是检测系统的安全弱点。在针对文件包含漏洞的渗透测试中,攻击者可能会尝试以下几种常见的攻击手段: 1. **本地文件包含**:攻击者试图包含服务器上的本地文件,如系统配置...
恶意软件及其类型(病毒、蠕虫、木马、间谍软件、勒索软件、恐吓软件、Bots和Rootkits等)的介绍
四个菜
02-12 9937
恶意软件指有目的地实现攻击者有害意图的软件程序[1]。 这些恶意的意图包括:扰乱系统的正常工作、试图获取计算机系统和网络的资源以及在未获得用户的许可时得到其私人的敏感信息等。因此,恶意软件对主机的安全性、网络的安全性和隐私的安全性都带来了巨大的威胁[2]。 恶意软件能够以多种方式和渠道入侵系统,大致有: (1)利用网络的漏洞,对可攻击的系统实施自动感染; (2)利用浏览器的漏洞,其通过网络被用户下...
http中的净荷 payload(有效载荷、有效负载)是什么?(信元、信头)
Dontla的博客
01-17 6534
1、在计算和电信中,有效载荷是作为实际预期消息的传输数据的一部分。 有效载荷不包括仅用于促进有效载荷传送的任何标题或元数据。 2、在计算机安全方面,有效载荷是恶意软件的一部分,例如执行恶意行为的蠕虫或病毒; 删除数据,发送垃圾邮件或加密数据。 除了有效载荷之外,这样的恶意软件通常还具有旨在简单地扩展自身或避免检测的开销代码。 3、在计算机网络中,要发送的数据是有效负载,但是几乎总是封装在由帧位和帧校验序列组成的某种类型的“帧”中。例如是以太网帧,点到点协议(PPP) 帧,光纤通道帧和V.42调制解.
检测和缓解PLC恶意软件的过程计算方法
jiangdie666的博客
10-31 493
A process calculus approach to detection and mitigation of PLC malware
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 337
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
计算机网络信息安全理论与实践教程.pptx
11-16
计算机网络信息安全理论与实践教程.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值