惡意軟件是一個大問題已不是什么秘密,無論是用于家庭銀行業(yè)務(wù)和觀看 Netflix 的受感染筆記本電腦,還是存儲客戶信用卡和銀行詳細(xì)信息的數(shù)百萬英鎊的組織。但是一旦機(jī)器感染了惡意軟件會發(fā)生什么?該問題的答案取決于感染了設(shè)備的惡意軟件類型,因為存在不同類型的惡意軟件,每種惡意軟件都有自己的惡意特征。本文將概述各種類型的惡意軟件并解釋它們的設(shè)計目的。
病毒和蠕蟲
病毒是一種常見的惡意軟件,通常會影響受感染設(shè)備的性能。病毒是能夠在文件系統(tǒng)中自我復(fù)制的惡意軟件的總稱。病毒需要由用戶手動啟動,或者通過感染設(shè)備上正在運(yùn)行的應(yīng)用程序來啟動。
病毒需要用戶交互才能開始運(yùn)行,而蠕蟲的問題可能更大,因為它能夠自動傳播到其他計算機(jī)和網(wǎng)絡(luò),而無需用戶交互。這可能是公司網(wǎng)絡(luò)中的一個問題,因為蠕蟲會枚舉網(wǎng)絡(luò)共享并使用這些共享在網(wǎng)絡(luò)中橫向移動,因此多個服務(wù)器和關(guān)鍵設(shè)備可能會受到感染。
蠕蟲示例 - WannaCry
Wannacry 惡意軟件在發(fā)布時產(chǎn)生了巨大影響,因為它能夠通過搜索面向公眾的 SMB 端口自動傳播。這對世界各地的許多組織構(gòu)成了巨大威脅,因為 SMB 共享被用于合法共享文件和數(shù)據(jù)。
廣告軟件
惡意軟件將在很大程度上試圖逃避檢測,因為它不希望用戶知道他們的設(shè)備已被感染。但是,如果您已經(jīng)感染了廣告軟件,那么您就會知道它,因為您會在設(shè)備上看到大量廣告。這些將顯示在您的瀏覽器上并通過煩人的彈出窗口顯示。
廣告軟件示例 - DeskAd
DeskAd 是一種廣告軟件,一旦它在設(shè)備上站穩(wěn)腳跟,就會逐漸增加它顯示的瀏覽器廣告數(shù)量,并將您的網(wǎng)絡(luò)流量重定向到惡意網(wǎng)站。
間諜軟件
間諜軟件將從您的設(shè)備中整理私人數(shù)據(jù),例如您的瀏覽歷史記錄、位置、密碼和購買。然后可以將這些信息出售給第三方廣告商或使用已泄露的數(shù)據(jù)進(jìn)行銀行欺詐
間諜軟件示例 - Pegasus
Pegasus 間諜軟件是由以色列公司 NSO Group 開發(fā)的,該公司的間諜軟件據(jù)報道以 iPhone 為目標(biāo)。這種間諜軟件特別具有侵入性的原因在于,它的設(shè)計目的是允許訪問設(shè)備的攝像頭和麥克風(fēng)。
勒索軟件
近年來,勒索軟件已成為一個巨大的問題,并為編寫和設(shè)計此類惡意軟件的團(tuán)體帶來了數(shù)百萬英鎊的收入。與大多數(shù)惡意軟件一樣,勒索軟件通常通過偽裝成諸如 Word 文檔或 PDF 文件之類的無辜內(nèi)容的電子郵件進(jìn)行分發(fā)。該文件然后由不知情的用戶啟動,沒有意識到附件的真實意圖。
與大多數(shù)試圖逃避檢測的惡意軟件不同,勒索軟件希望用戶知道設(shè)備已被入侵。由于備份已被刪除,勒索軟件將顯示一條消息,建議所有文件都已加密,檢索數(shù)據(jù)的唯一方法是向壞人支付贖金。這通常在比特幣中,將包括有關(guān)如何使用 Tor 瀏覽器訪問暗網(wǎng)的說明,并提供有關(guān)如何進(jìn)行所需付款的詳細(xì)信息。如果付款,那么壞人建議他們將提供解密密鑰,以便可以解密數(shù)據(jù)。
勒索軟件示例 - BlackMatter、Netwalker、Cerber
Blackmatter Ransomware似乎是REvil和 Darkside 團(tuán)體的合并,這些團(tuán)體是 2020 年和 2021 年最多產(chǎn)的兩個勒索軟件團(tuán)體。它們被歸因于針對 Colonial Pipeline 和 JBS 的具有里程碑意義的攻擊,以及臭名昭著的 Travelex 事件。該組織及其客戶遭受數(shù)月的中斷。
Netwalker Ransomware由名為“Circus Spider”的網(wǎng)絡(luò)犯罪組織于 2019 年創(chuàng)建。Circus Spider 是“Mummy Spider”網(wǎng)絡(luò)犯罪組織的新成員之一。從表面上看,Netwalker 的行為與大多數(shù)其他勒索軟件變體一樣,通過網(wǎng)絡(luò)釣魚電子郵件建立最初的立足點(diǎn),然后竊取和加密敏感數(shù)據(jù)以獲取巨額贖金。
不幸的是,Netwalker 不僅僅是將受害者的數(shù)據(jù)作為人質(zhì)。為了表明他們是認(rèn)真的,Circus Spider 會在網(wǎng)上泄露一份被盜數(shù)據(jù)的樣本,聲稱如果受害者沒有及時滿足他們的要求,他們會將其余的數(shù)據(jù)發(fā)布到暗網(wǎng)上。Circus Spider 將一名受害者的敏感數(shù)據(jù)泄露到暗網(wǎng)上的一個受密碼保護(hù)的文件夾中,并在線發(fā)布了密鑰。
鍵盤記錄器
鍵盤記錄功能對惡意軟件作者特別有價值,因為它會記錄任何擊鍵。因此,如果輸入密碼或輸入銀行詳細(xì)信息進(jìn)行購買,則惡意軟件將捕獲此信息并將其傳輸給壞人,以便他們可以重復(fù)使用此信息。
木馬和老鼠
特洛伊木馬的名字來源于歷史上的特洛伊木馬。原因是木馬惡意軟件通常會偽裝成可能吸引用戶的軟件,例如游戲,在某些情況下甚至是防病毒軟件!這增加了惡意軟件安裝在設(shè)備上的可能性,該軟件通常看起來合法,但惡意軟件將在后臺運(yùn)行。這通常會導(dǎo)致壞人遠(yuǎn)程訪問受感染的設(shè)備,這些類型的木馬被稱為 RAT(遠(yuǎn)程訪問木馬)。這使攻擊者可以遠(yuǎn)程訪問它已經(jīng)破壞的設(shè)備并泄露他們在文件系統(tǒng)上找到的任何數(shù)據(jù)。
木馬和老鼠例子 - Emotet, Zeus
在著名的歐洲刑警組織關(guān)閉其基礎(chǔ)設(shè)施之后,Emotet惡意軟件最近的活動激增,表明該惡意軟件背后的組織并未完全消失。這種臭名昭著的 RAT 已經(jīng)存在多年,并且一直是世界各地組織的普遍問題。多年來,該惡意軟件已被開發(fā)出來,并經(jīng)常用于提供額外的有效負(fù)載,例如Trickbot惡意軟件。
盡管它經(jīng)過多年的發(fā)展和發(fā)展,但 Zeus 銀行木馬將針對存儲在已安裝的 Web 瀏覽器中的數(shù)據(jù),例如銀行信息和存儲的憑據(jù)。然后這些將被惡意軟件竊取,以便可以通過暗網(wǎng)使用或出售。
Rootkit
我之前介紹的惡意軟件類型都針對設(shè)備的操作系統(tǒng)。然而 Rootkit 的一個共同特點(diǎn)是它會針對操作系統(tǒng)的底層內(nèi)核,這使得 Rootkits 特別聰明。通過針對內(nèi)核,即操作系統(tǒng)和設(shè)備硬件之間的層,它可以高度規(guī)避并且很難被防病毒解決方案檢測到,因為 AV 解決方案將在總體操作系統(tǒng)而不是底層內(nèi)核上運(yùn)行。
Rootkit 示例 - Necurs
Necurs rootkit 自 2012 年以來一直存在,并且是一種流行的力量,用于分發(fā)惡意軟件的大規(guī)模電子郵件活動。
機(jī)器人/僵尸網(wǎng)絡(luò)
被稱為機(jī)器人的受感染設(shè)備用于自動執(zhí)行命令和任務(wù)。一旦感染了這種類型的惡意軟件,該設(shè)備(現(xiàn)在稱為機(jī)器人)將自動調(diào)用壞人的基礎(chǔ)設(shè)施,即 C2。這是命令和控制的縮寫,因為攻擊者現(xiàn)在可以控制該設(shè)備并且能夠發(fā)出將在該設(shè)備上執(zhí)行的命令。
部署此類惡意軟件的攻擊者將尋求將其部署到數(shù)以千計的設(shè)備上,這些設(shè)備統(tǒng)稱為僵尸網(wǎng)絡(luò)。然后,這允許攻擊者從每個設(shè)備生成流量,并使用他們積累的僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施創(chuàng)建有針對性的DDoS 攻擊。
僵尸網(wǎng)絡(luò)示例 - Mirai
Mirai 惡意軟件是一個著名的僵尸網(wǎng)絡(luò),用于感染物聯(lián)網(wǎng)設(shè)備(物聯(lián)網(wǎng))。當(dāng)冰箱和咖啡機(jī)等家用物品在幾乎沒有身份驗證的情況下獲得 WiFi 功能時,這成為一個問題。安全性最初并不是這些產(chǎn)品的優(yōu)先事項,這意味著任何人都可以驗證并連接到這些設(shè)備。Mirai 背后的惡意軟件作者利用了這一安全漏洞,這些設(shè)備感染了 Mirai 并用于 DDoS 攻擊等惡意活動。
無文件惡意軟件
無文件惡意軟件最常使用 PowerShell 對您的系統(tǒng)執(zhí)行攻擊而不會留下任何痕跡。這種類型的攻擊也稱為零足跡攻擊,并且特別難以檢測,因為它不依賴于將外部惡意(和可檢測)二進(jìn)制文件滲透到您的系統(tǒng)中。
無文件惡意軟件示例 - PowerSploit
基于 PowerShell 的攻擊者工具很容易被攻擊者使用和使用。PowerSploit 是 PowerShell 模塊的集合,每個模塊都包含一組獨(dú)特的腳本,可用于攻擊的多個階段,以執(zhí)行偵察、提升權(quán)限和橫向移動。
預(yù)防與緩解
要保護(hù)組織免受最新的惡意軟件威脅,傳統(tǒng)的 AV 解決方案已不足以保護(hù)組織。原因是這些類型的安全解決方案依賴于基于簽名的惡意軟件檢測。這意味著反病毒供應(yīng)商依賴于擁有他們已識別并可以檢測到的惡意軟件樣本的最新數(shù)據(jù)庫。如果新樣本出現(xiàn)并且沒有簽名,則 AV 無法阻止惡意軟件。
EDR(端點(diǎn)檢測和響應(yīng))解決方案現(xiàn)在是一種更強(qiáng)大、更受歡迎的方法,可以防止和減輕針對組織的惡意軟件攻擊。EDR 解決方案持續(xù)監(jiān)控設(shè)備的所有運(yùn)行進(jìn)程、網(wǎng)絡(luò)連接、注冊表更改和行為,以確保設(shè)備免受我在本文中確定的各種惡意軟件威脅。這種基于機(jī)器學(xué)習(xí)的方法意味著,如果一個惡意軟件確實在未被檢測到的情況下攻擊了設(shè)備的文件系統(tǒng),那么它不太可能成功感染設(shè)備以導(dǎo)致其隨后表現(xiàn)出的行為死亡。
惡意軟件最常見的威脅媒介是通過電子郵件,用戶意識是識別和防止員工打開惡意電子郵件的關(guān)鍵,無論它發(fā)生什么。一種常見的技術(shù)是利用惡意 Word 文檔,因為人們在工作中經(jīng)常會在他們的電子郵件中收到 Word 文檔,因此它們更有可能被最終用戶打開。惡意 Word 文檔通常會包含在后臺運(yùn)行腳本的宏,這些腳本將惡意軟件下載到現(xiàn)在受到攻擊的設(shè)備上。
利用 EDR 解決方案將檢測正在加載的宏,識別正在運(yùn)行的腳本及其連接的位置,并停止運(yùn)行宏。這種基于行為的深入分析是保護(hù)組織免受最新惡意軟件威脅的關(guān)鍵。
