【安全与风险】恶意软件-概念、攻击和检测

恶意软件:概念、攻击和检测

• 恶意软件的定义
• 恶意软件的类型
• 易损性（弱点）
• 如何防范恶意软件:终端用户的观点
• 不足
• 防病毒软件

• * 基于主机的恶意软件检测
  

  •   * 特征检测
    

    • 启发式检测
• 数据收集挑战
• 沙箱分析
• 蜜罐

恶意软件的定义

Malware一词是恶意软件的缩写。

恶意软件是任何以破坏设备、窃取数据为目的编写的软件，通常会造成混乱。

恶意软件通常是由黑客团队创建的:

1. 通常，他们只是想赚钱，要么自己传播恶意软件，要么把它卖给暗网上出价最高的人。
2. 然而，创建恶意软件也可能有其他原因——它可以被用作抗议的工具，一种测试安全性的方法，甚至是政府之间的战争武器。

恶意软件的类型

病毒
：就像它们的生物学名字一样，病毒将自己附着在另一个对象上(例如，干净的文件)并感染其他对象(例如，其他干净的文件)。它们可以不受控制地传播，破坏系统的核心功能，删除或损坏文件。它们通常以可执行文件(.exe)的形式出现。

特洛伊 ：这种恶意软件把自己伪装成合法软件，或者隐藏在被篡改过的合法软件中。它倾向于谨慎行事，并在您的安全中创建后门，让其他恶意软件进入。

间谍软件 ：毫无疑问，间谍软件是用来监视你的恶意软件。它隐藏在后台，记录你在网上做了什么，包括你的密码、信用卡号、冲浪习惯等等。

蠕虫病毒
：蠕虫通过网络接口感染整个设备网络，无论是本地的还是跨互联网的。它使用每台连续感染的机器来感染其他机器。与病毒不同，它不需要附着在物体上就能自我复制。

勒索软件 ：这种恶意软件通常会锁定你的电脑和文件，并威胁要删除一切，除非你支付赎金(即一笔钱)。

广告软件 ：虽然在本质上并不总是恶意的，攻击性广告软件可以破坏你的安全只是为你提供广告—— 这可以让其他恶意软件很容易侵入
。另外，让我们面对现实吧:弹出窗口真的很烦人。

僵尸网络 ：僵尸网络是由受感染的计算机组成的网络，它们在攻击者的控制下协同工作。

易损性（弱点）

1. 软件安全漏洞
   恶意软件利用操作系统设计中的安全缺陷(安全错误或漏洞)，应用程序(如浏览器，例如Windows XP支持的旧版Microsoft Internet
   Explorer)，或易受攻击的浏览器插件(如adobeflash Player、adobeacrobat Reader或Java SE)。

2. 过度过大的用户和过度过大的代码
   设计糟糕的计算机系统中，用户和程序都可能被赋予超出他们应有的权限，恶意软件就可以利用这一点。
   移动应用程序的例子:使用超过所需的传感器，否则无法安装。

如何防范恶意软件:终端用户的观点

除了安装杀毒软件，终端用户如何避免被恶意软件攻击?

1. 不要相信网上的陌生人! “社交工程”，包括奇怪的电子邮件、突然的警报、虚假的个人资料和逗趣的offers，是传播恶意软件的头号方法。如果你不知道它到底是什么，就不要点击它。
2. 仔细检查你的下载! 从盗版网站到官方商店，恶意软件经常潜伏在角落里。因此，在下载之前，一定要仔细阅读评论和评论，仔细检查提供者是否值得信赖。
3. 安装一个广告拦截器! 恶意广告——黑客使用受感染的横幅或弹出式广告感染你的设备——正在上升。你无法知道哪些广告是坏的:所以用可靠的广告拦截器把它们都屏蔽掉会更安全。我推荐AdBlocker Ultimate。
4. 小心你浏览的地方! 恶意软件可以在任何地方找到，但最常见的是后端安全性差的网站，比如小型本地网站。如果你坚持使用大型、信誉良好的网站，你遇到恶意软件的风险就会大大降低。

不足

不幸的是，即使你完全按照上面的建议去做，你仍然可能会感染恶意软件:黑客已经找到了将病毒潜入网络各个角落的方法。

为了获得真正的安全性，您需要结合:

1. 健康的上网习惯。
2. 强大可靠的反恶意软件，如反病毒软件，可以在恶意软件感染您的PC, Mac或移动设备之前检测并停止恶意软件。

防病毒软件

分析系统行为
分析二进制文件以确定它是否是病毒

基于主机的恶意软件检测

当我们说到恶意软件检测时，我们通常需要主机上的代理。代理需要分析主机上运行的进程、内存映射、系统调用等。

两种主要方法:

1. 特征检测（signature-based detection）
2. 启发式检测（Heuristic-based detection）

特征检测

找到一个可以识别病毒的“字符串”

1. 有效载荷中的字符串
2. 特定的系统调用

将新样本与已知特征匹配。

优点：

1. 快速
2. 在已知样本上准确

缺点：

1. 对新样品不利
2. 容易可规避的

启发式检测

分析程序行为

1. 网络访问
2. 文件打开
3. 试图删除文件
4. 尝试修改引导扇区

发现异常行为时发出警报

优点：更适合捕捉新的恶意软件
缺点：仍然会错过一些东西和规避一些东西

数据收集挑战

无论采用何种方法，关键的挑战之一是收集有关病毒/恶意软件的数据：

1. 行为
2. 配置文件
3. 伤害

沙箱分析

收集恶意软件数据的主要方式
在受控环境中运行恶意软件(通常是虚拟环境)
记录所有系统调用，内存使用，网络流量
沙盒输出可用于构建签名

蜜罐

设置易损机器
可在互联网上访问
等待感染发生
运行沙盒，收集数据
对新的恶意软件很好

Acknowledgements: Jiangtao Wang

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！