侵權(quán)投訴
訂閱
糾錯
加入自媒體

當你被攻擊時發(fā)現(xiàn)和刪除惡意軟件的基本建議

你認為你了解惡意軟件嗎?這里有一個簡單的回顧,可以確保你知道你在談?wù)撌裁矗有一些當你被攻擊時發(fā)現(xiàn)和刪除惡意軟件的基本建議。

人們對安全術(shù)語的理解往往過于隨意。然而,弄清楚惡意軟件的分類是很重要的,因為了解各種類型的惡意軟件是如何傳播的對遏制和消除它們非常重要。

當你和極客們在一起的時候,這個簡潔的惡意軟件寓言集將幫助你正確理解你的惡意軟件術(shù)語。

1.病毒

計算機病毒是大多數(shù)媒體和普通終端用戶對新聞中所報道的每一個惡意軟件程序的稱呼。幸運的是,大多數(shù)惡意軟件程序并不是病毒。計算機病毒會修改其他合法的主機文件(或指向它們的指針),當受害者的文件被執(zhí)行時,病毒也會被執(zhí)行。

純粹的計算機病毒在今天并不常見,它只占所有惡意軟件的不到10%。這是一件好事:病毒是唯一能“感染”其他文件的惡意軟件。這使得它們特別難以清除,因為惡意軟件必須從合法程序中執(zhí)行。這一直是不簡單的,即使在今天也幾乎是不可能的。最好的反病毒程序都很難做到這一點,在許多(如果不是大多數(shù))情況下,只能夠隔離或刪除受感染的文件。

2.蠕蟲

蠕蟲存在的時間甚至比計算機病毒還要長,可以一直追溯到大型機時代。電子郵件在20世紀90年代末成為了時尚,而近十年來,計算機安全專家們就一直在被作為郵件附件的惡意蠕蟲所包圍。只要有一個人打開了一封被蠕蟲感染的電子郵件,整個公司就很快會被感染。

電腦蠕蟲的獨特之處在于它可以自我復制。以臭名昭著的Iloveyou蠕蟲為例:當它爆發(fā)時,它幾乎攻擊了世界上每一個電子郵件用戶,使電話系統(tǒng)過載(用欺詐手段發(fā)送短信),癱瘓電視網(wǎng)絡(luò),甚至把我每天下午的報紙都延遲了半天。其他幾個蠕蟲病毒,包括SQL Slammer和MS Blaster,也確保了其在計算機安全歷史中的地位。

一個有效的蠕蟲之所以具有如此大的破壞力,是因為它能夠在最終用戶不采取行動的情況下傳播。相比之下,病毒要求最終用戶至少需要在病毒試圖感染其他無辜文件和用戶之前將其啟動。蠕蟲則利用其他文件和程序來完成這些活動。例如,SQL Slammer蠕蟲利用了Microsoft SQL中的一個(修補過的)漏洞,在大約10分鐘內(nèi)就可以使幾乎每一臺連接到互聯(lián)網(wǎng)的未修補的SQL服務(wù)器發(fā)生緩沖區(qū)溢出,這一速度記錄至今仍保持不變。

3.木馬

電腦蠕蟲已被木馬惡意軟件程序所取代,成為了黑客的首選武器。特洛伊木馬會被偽裝成合法程序,但包含了惡意指令。它們已經(jīng)存在了很久,甚至比計算機病毒還要長,但它們比任何其他類型的惡意軟件都更能控制當前的計算機。

特洛伊木馬程序必須由其受害者執(zhí)行才能工作。木馬通常會通過電子郵件到達,或者在用戶訪問受感染的網(wǎng)站時被推送。最受歡迎的木馬類型是假的防病毒程序,它會彈出并聲稱你已被感染,然后指示你運行一個程序來清理你的電腦。用戶吞下誘餌,木馬就會生根發(fā)芽。

特別是遠程訪問木馬(RAT)在網(wǎng)絡(luò)犯罪分子中非常流行。RAT允許攻擊者遠程控制受害者的計算機,通常是為了橫向移動并感染整個網(wǎng)絡(luò)。這種類型的木馬是為避免被檢測而設(shè)計的。威脅腳本甚至不需要自己去寫。地下市場上有數(shù)百個現(xiàn)成的RAT。

特洛伊木馬很難防御有兩個原因:它們很容易編寫(網(wǎng)絡(luò)犯罪分子通常會制作和兜售木馬構(gòu)建工具包),并會通過欺騙最終用戶來進行傳播--補丁、防火墻和其他傳統(tǒng)防御措施無法阻止。惡意軟件編寫者每月都會放出數(shù)百萬個木馬。反惡意軟件供應商則會盡最大努力來對抗特洛伊木馬,但簽名太多,無法跟上。

4.混血兒和外來物種

如今,大多數(shù)惡意軟件都是傳統(tǒng)惡意程序的組合,通常包括特洛伊木馬和蠕蟲的一部分,偶爾還包括了病毒。通常,惡意軟件程序在最終用戶看來都是一個特洛伊木馬,但一旦執(zhí)行,它就會像蠕蟲一樣通過網(wǎng)絡(luò)來攻擊其他受害者。

今天的許多惡意軟件程序都會被認為是rootkit或隱形程序。從本質(zhì)上來說,惡意軟件程序總是試圖修改底層操作系統(tǒng),以獲得最終控制權(quán),并躲避反惡意軟件程序。要刪除這些類型的程序,你就必須從內(nèi)存中刪除控制組件,并從反惡意軟件掃描開始。

僵尸程序本質(zhì)上是特洛伊木馬/蠕蟲的組合,它們試圖使單個被攻擊的客戶端成為更大惡意網(wǎng)絡(luò)的一部分。僵尸主控機有一個或多個“命令和控制”服務(wù)器,僵尸客戶端則可以通過這些服務(wù)器接收更新后的指令。僵尸網(wǎng)絡(luò)的規(guī)模可以從幾千臺受損的計算機到由一個僵尸網(wǎng)絡(luò)主機控制的數(shù)十萬個系統(tǒng)組成的巨大網(wǎng)絡(luò)。這些僵尸網(wǎng)絡(luò)經(jīng)常會被出租給其他犯罪分子,然后他們將其用于自己的邪惡目的。

5.勒索軟件

在過去的幾年中,加密數(shù)據(jù)并將其作為人質(zhì)等待加密貨幣回報的惡意程序在惡意軟件中占了很大比例,而且這個比例還在不斷增長。勒索軟件經(jīng)常會癱瘓公司、醫(yī)院、警察部門,甚至是整個城市。

大多數(shù)勒索軟件程序都是特洛伊木馬,這意味著它們必須通過某種形式的社會工程來進行傳播。一旦被執(zhí)行,其大多數(shù)會在幾分鐘內(nèi)查找并加密用戶的文件,盡管現(xiàn)在有一些也采取了“觀望”的方法。通過在啟動加密程序前觀察用戶幾個小時,惡意軟件管理員可以準確計算出受害者可以支付多少贖金,并確保刪除或加密其他據(jù)稱安全的備份。

勒索軟件可以像其他類型的惡意軟件程序一樣被阻止,但是一旦被執(zhí)行,如果沒有一個好的、經(jīng)過驗證的備份,就很難扭轉(zhuǎn)損失。根據(jù)一些研究,大約四分之一的受害者會支付贖金,其中,大約30%的人仍然無法解鎖他們的文件。不管怎樣,如果可能的話,解鎖加密文件需要特殊的工具、解密密鑰和更多的運氣。最好的建議是確保所有關(guān)鍵文件都有一個好的離線備份。

6.無文件惡意軟件

無文件惡意軟件實際上并不是一個不同類別的惡意軟件,但更多的是對它們?nèi)绾卫靡约白巫我郧蟮拿枋。傳統(tǒng)惡意軟件需要通過文件系統(tǒng)傳播并感染新的系統(tǒng)。無文件惡意軟件目前占所有惡意軟件的50%以上,而且還在不斷增長,它是不直接使用文件或文件系統(tǒng)的惡意軟件。它們僅在內(nèi)存中使用或使用其他“非文件”操作系統(tǒng)對象(如注冊表鍵、API或計劃任務(wù))。

許多無文件攻擊始于利用現(xiàn)有的合法程序,以成為新啟動的“子進程”,或者通過使用操作系統(tǒng)中內(nèi)置的現(xiàn)有合法工具(如Microsoft的PowerShell)。最終結(jié)果是無文件攻擊更難被檢測和阻止。如果你還不熟悉常見的無文件攻擊技術(shù)和程序,你應該去熟悉,如果你想在計算機安全領(lǐng)域工作的話。

7.廣告軟件

如果幸運的話,你接觸到的唯一惡意軟件程序就是廣告軟件,它試圖將受到損害的最終用戶暴露在不需要的、潛在的惡意廣告中。常見的廣告軟件程序可能會將用戶的瀏覽器搜索重定向到包含其他產(chǎn)品促銷的相似網(wǎng)頁。

8.惡意廣告

不要與廣告軟件相混淆,惡意廣告是指使用合法廣告或廣告網(wǎng)絡(luò)向不知情的用戶計算機秘密發(fā)送惡意軟件。例如,網(wǎng)絡(luò)罪犯可能會花錢在合法網(wǎng)站上投放廣告。當用戶點擊廣告時,廣告中的代碼要么會將他們重定向到惡意網(wǎng)站,要么會在他們的計算機上安裝惡意軟件。在某些情況下,嵌入在廣告中的惡意軟件可能會在用戶不采取任何行動的情況下自動執(zhí)行,這種技術(shù)被稱為“路過式下載”。

眾所周知,網(wǎng)絡(luò)犯罪分子還會破壞向許多網(wǎng)站發(fā)送廣告的合法廣告網(wǎng)絡(luò)。紐約時報、Spotify和倫敦證券交易所等受歡迎的網(wǎng)站經(jīng)常會成為惡意廣告的載體,使其用戶處于危險之中。

當然,使用惡意廣告的網(wǎng)絡(luò)罪犯的目標是賺錢。惡意廣告可以傳播任何類型的賺錢惡意軟件,包括勒索軟件、密碼挖掘腳本或是銀行特洛伊木馬。

9.間諜軟件

間諜軟件最常被那些想檢查親人電腦活動的人使用。當然,在有針對性的攻擊中,罪犯可以使用間諜軟件記錄受害者的擊鍵,并獲得密碼或知識產(chǎn)權(quán)。

廣告軟件和間諜軟件程序通常是最容易被刪除的,這通常是因為它們的意圖不像其他類型的惡意軟件那樣邪惡。找到惡意的可執(zhí)行文件并防止它被執(zhí)行--你就完成了。

一個比實際的廣告軟件或間諜軟件更令人擔憂的是它被用來利用計算機或用戶的機制,不管是社會工程、未修補的軟件,還是其他十幾個root exploit原因。這是因為盡管間諜軟件或廣告軟件程序的意圖并不像后門遠程訪問特洛伊木馬那樣惡意,但它們都使用著相同的方法進行入侵。廣告軟件/間諜軟件程序的存在應該被作為一個警告,即在真正的惡意到來之前,設(shè)備或用戶存在某種需要被糾正的弱點。

查找并刪除惡意軟件

不幸的是,找到并刪除單個惡意程序組件可能是一件愚蠢的差事。你很容易搞錯并錯過一個組件。另外,你也不知道惡意軟件程序是否修改了系統(tǒng),這會使得它不可能被再次完全信任。

除非你在惡意軟件清除和取證方面受過良好的培訓,否則就請備份數(shù)據(jù)(如果需要),格式化驅(qū)動器,并在計算機上發(fā)現(xiàn)惡意軟件時重新安裝程序和數(shù)據(jù)。修補好它,確保最終用戶知道他們做錯了什么。這樣,你就又有了一個值得信賴的計算機平臺,又可以在戰(zhàn)斗中前進,而不會有任何揮之不去的風險或問題了。

版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

作者:Roger A. Grimes   來源:企業(yè)網(wǎng)D1Net

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負責,如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號