在當今高度互聯的世界中,網路犯罪正在蓬勃發展,惡意軟體是其最流行的武器。
惡意軟體有多種形式並具有不同的安全威脅級別。黑客使用它們來攔截裝置、資料洩露、摧毀整個企業、造成嚴重的金錢損失,甚至摧毀整個公司。
那麼,究竟什麼是惡意軟體,你如何對抗它呢?
在這份詳盡的指南中,我們將解釋有關惡意軟體的所有知識、其型別、如何檢測和刪除它,以及如何保護自己免受最惡毒的惡意軟體攻擊。
什麼是惡意軟體?
惡意軟體是惡意軟體的縮寫,是任何破壞或未經授權訪問其他使用者的裝置、網站或網路的軟體,主要用於資料洩露、身份盜竊、間諜活動等險惡目的。
在Yisrael Rada於1990年創造“惡意軟體”一詞之前,“計算機病毒”是首選術語。它們經常被偽裝成乾淨無害的程式。
惡意軟體可以破壞您的服務、刪除您的檔案、將您鎖定在系統之外、竊取您最私人和機密的資訊、將您的裝置變成殭屍,甚至破壞整個網路和網站。
網站惡意軟體
鑑於網站、電子商務解決方案和Web應用程式的指數級增長,網路犯罪分子有無數機會實施他們的惡意計劃並利用任何可能的漏洞。
瀏覽器的“此站點包含惡意軟體”警告(圖片來源:FixMyWP)
網站惡意軟體專門攻擊網站和伺服器。它們通常被開發用於繞過網站或伺服器的安全防禦——或通過不受信任的第三方軟體——並在不被發現的情況下獲得未經授權的訪問。網站惡意軟體示例包括DDoS攻擊、惡意重定向和垃圾郵件內容。
惡意軟體的工作原理
網路犯罪分子使用不同的方式通過惡意軟體滲透並破壞您的系統。那麼你怎麼會被惡意軟體感染呢?以下是一些流行的攻擊途徑。
1. 社會工程學
惡意軟體通常通過社會工程攻擊傳播。社會工程描述了各種各樣的惡意網路攻擊。攻擊者主要依靠誘騙使用者洩露敏感資訊或訪問他們的裝置。
谷歌的網路釣魚警告標誌(圖片來源:FixMyWP)
網路釣魚是網路犯罪分子用來傳播惡意軟體的最流行的社會工程攻擊——通常是通過電子郵件。您知道92%的惡意軟體是通過電子郵件傳遞的嗎?
2. 捆綁軟體
當您下載帶有其他第三方應用程式的免費軟體程式時,您可能會被惡意軟體感染,其中一個應用程式可能包含惡意軟體。許多人成為這種惡意軟體攻擊的受害者,因為他們忘記取消選中這些附加應用程式的安裝。
3. 點對點檔案共享
點對點 (P2P) 檔案共享協議(例如種子檔案)是網路犯罪分子用來分發惡意軟體的主要方法之一。攻擊者可以通過P2P共享的檔案快速傳播他們的惡意程式碼,從而感染儘可能多的網路和系統。
4. 免費軟體
因為獲得免費的東西總是一個有吸引力的選擇,它通常會付出高昂的代價。從未知或不受信任的來源下載的免費軟體通常會感染惡意軟體,這些惡意軟體可能會損壞您的系統並危及您的資料。
5. 同質性
同質性可能會成為惡意軟體攻擊的誘餌。惡意軟體可以通過連線到同一網路並執行同一作業系統的系統迅速傳播。如果一臺裝置被感染,很可能整個網路都受到了威脅。
不同型別的惡意軟體
瞭解您的敵人對於瞭解如何擺脫惡意軟體並保護您的計算機、網站或伺服器非常重要。這些是您應該瞭解的最常見的惡意軟體型別。
1. 病毒
病毒是最明顯和最常見的惡意軟體型別。病毒可以自我複製,但它們也需要人類行動來造成損害。
病毒造成的損害包括破壞資料檔案、關閉系統或竊取網路內的機密資訊。病毒還可以發起其他網路攻擊,例如DDoS攻擊甚至勒索軟體攻擊。
受感染的檔案、網站或應用程式必須正在執行,病毒才能喚醒並開始執行。否則,它將保持休眠狀態,直到受害者使用者執行它。大多數病毒會爬起來並隱藏在.exe或.com等常見副檔名中。
如果有權訪問儀表盤的使用者使用受感染的裝置,甚至WordPress網站也可能被感染。
巨集病毒
巨集病毒以軟體而不是作業系統為目標,其巨集語言與其目標感染的軟體(例如MS Word和Excel)相同。因此,這種型別的病毒可以感染任何作業系統,從而給您的組織帶來嚴重的安全風險。
巨集病毒可以通過網路釣魚電子郵件、受感染網路的下載、惡意P2P服務或受感染的行動式儲存裝置進行傳播。
2. 勒索軟體
您可能聽說過威脅政府、個人和組織的可怕勒索軟體攻擊。但也許您不確定勒索軟體到底是什麼以及它是如何工作的。
簡單來說,勒索軟體會劫持目標受害者的裝置或網站,拒絕他們訪問他們的檔案,直到他們支付贖金以獲得解密金鑰(儘管即使您付費也不能保證)。
自2017年通過WannaCry加密蠕蟲傳播以來,勒索軟體已演變成不同的變體。讓我們看一些勒索軟體變種的例子。
Ryuk
Ryuk是一種加密目標系統檔案的勒索軟體。這種勒索軟體變種針對使用Microsoft作業系統的企業和組織,而不是個人。Ryuk價格昂貴,因為其背後的組織要求以比特幣等加密貨幣支付超過100萬美元的贖金。
LockBit
LockBit是勒索軟體的贖金即服務 (RaaS) 變體,可在被安全系統和IT團隊檢測到之前攻擊並快速加密大型組織的資料。支付贖金後,LockBit團伙將收益與指導攻擊的會員分攤。
LockBit的支援頁面(圖片來源:DFIR報告)
作為RaaS惡意軟體,LockBit團伙通過附屬服務傳遞惡意軟體。一旦它感染了一臺主機,它就會掃描網路。它可以使用與Windows系統相關的協議快速傳播到其他裝置,因此很難被識別為威脅。
WordPress勒索軟體
顧名思義,WordPress勒索軟體以WordPress網站為目標,並在要求贖金的情況下通過它們傳播。WordPress網站越大,它就越能吸引勒索軟體網路犯罪分子。
最近,許多合法的WordPress網站被黑客入侵併注入了惡意程式碼,這些惡意程式碼通過將訪問者引導到帶有核攻擊工具包的惡意網站來傳播TeslaCrypt勒索軟體。
3.蠕蟲
計算機蠕蟲是一種令人討厭的、自包含型別的惡意軟體,由於其快速傳播能力,它是一場噩夢。第一個計算機蠕蟲,莫里斯蠕蟲,建立於1988年,旨在通過利用電子郵件協議漏洞來突出網路弱點。
與病毒一樣,蠕蟲可以自我複製,但與病毒不同的是,蠕蟲不需要任何人為干預、檔案或主機程式即可在網路上從一臺裝置傳播到另一臺裝置並造成嚴重破壞。
蠕蟲佔據整個系統併吞噬磁碟空間/頻寬/記憶體,修改或刪除檔案,將您鎖定在資料夾之外,甚至安裝其他惡意軟體並竊取資料。網路攻擊者通常會設計蠕蟲來安裝後門軟體程式以訪問受害者的裝置(計算機、手機、平板電腦等)。
蠕蟲利用目標系統的漏洞,通過LAN(網際網路)、電子郵件附件、即時訊息、惡意連結、可移動儲存驅動器、種子,甚至檔案共享平臺,像野火一樣從一臺裝置傳播到另一臺裝置。
在過去的幾十年裡,蠕蟲造成的損害是巨大的。例如,2004年針對企業的MyDoom蠕蟲造成了大約400億美元的損失。2017年,臭名昭著的WannaCry蠕蟲啟動了勒索軟體,其目的是從被黑使用者的檔案中索取贖金。
4.特洛伊木馬
特洛伊木馬,或簡稱木馬,是一種惡意軟體程式,它偽裝成合法軟體,讓網路攻擊者訪問使用者的系統。
這個詞來源於古希臘關於木馬作為入侵特洛伊市的禮物的故事。特洛伊木馬易於編寫和傳播,使其難以防禦。
木馬可以偽裝成網站、媒體檔案或任何吸引您注意的軟體程式,將其安裝在您的裝置上。它甚至看起來像一個防病毒程式,警告您您的裝置已被感染,並敦促您執行程式來清理它。
木馬也可以作為合法網站或帶有受感染連結的電子郵件出現。一些流行的特洛伊木馬示例包括Magic Lantern、WARRIOR PRIDE、FinFisher、Beast、Tiny Banker、Zeus、Netbus、Beast和Shedun。
與計算機病毒不同,木馬不會自我複製。它的任務是為黑客和詐騙者開啟一扇門,以竊取您的資訊,例如密碼、IP地址和銀行詳細資訊。木馬惡意軟體將潛伏在受感染的系統中,直到受害者執行它。
遠端訪問木馬 (RAT)
遠端訪問木馬 (RAT) 是網路犯罪開發人員發明的一種惡意工具,用於獲得對受害者裝置的完全訪問和遠端控制,例如檔案訪問、網路遠端訪問以及鍵盤和滑鼠控制。
RAT允許攻擊者繞過常見的防火牆和身份驗證系統以靜默瀏覽您裝置的檔案和應用程式。
它們甚至可以感染整個網路,例如2015年在烏克蘭發生的臭名昭著的攻擊,網路犯罪分子使用RAT惡意軟體切斷了80,000人的電源並控制了基礎設施。
5. Gootloader
Gootloader針對Google和WordPress使用者。它是Gootkit惡意軟體家族的成員——一種複雜型別的銀行惡意軟體,可以從受害者的瀏覽器中竊取資料,並用於傳播勒索軟體等惡意程式碼。
論壇中的Gootloader示例(圖片來源:Sophos)
Gootloader是一個基於JavaScript的惡意框架,主要用於分發Gootkit惡意軟體。但是,它已經過改進並擴大了其有效負載,以覆蓋Gootkit並進入基於NodeJS的惡意軟體,從而導致SEO中毒。
新的Gootloader惡意軟體可以欺騙Google將受感染(被黑)的網站視為可信網站,包括排名靠前的Google和WordPress網站。那麼,這怎麼可能呢?
Gootloader攻擊者首先針對眾多網站,並將它們維護在大約400臺伺服器的網路上。之後,他們更改了這些網站的CMS,以使用特定的SEO術語和策略出現在Google的熱門搜尋結果中,以吸引更多受害者。
當涉及到WordPress網站時,Gootloader通過將程式碼行注入網站頁面的檔案來進行攻擊。在執行時,這些程式碼行會執行特定命令,以強制受感染的網站下載大量帶有虛假內容的頁面作為誘餌。同時,攻擊者執行其惡意計劃——未被發現。
6. 無檔案惡意軟體
如果勒索軟體不好,無檔案惡意軟體就更糟了。最近的研究表明,無檔案惡意軟體的比率在2020年最後一個季度增長了近900%!
顧名思義,無檔案惡意軟體是一種險惡的隱身攻擊,不需要儲存在檔案中或通過任何軟體直接安裝在裝置上。相反,無檔案惡意軟體會直接進入記憶體並開始執行程式碼或提取資料而不會引起注意,這使得即使是防病毒軟體也很難追蹤和刪除。
無檔案惡意軟體攻擊通過社會工程方法以受害者為目標。讓我們看看下面的那些主要方法。
網路釣魚電子郵件和受感染的連結
當您點選垃圾郵件、惡意下載或受感染的網站時,您允許惡意軟體載入到您裝置的記憶體中,從而為攻擊者開啟一扇門,通過指令碼載入程式碼,從而竊取您的敏感資料。
記憶體程式碼注入
這種型別的無檔案惡意軟體遠端感染受信任的作業系統軟體,例如Microsoft PowerShell和Windows Management Instrumentation (WMI)。例如,Purple Fox是一種記憶體程式碼注入惡意軟體,它通過注入惡意程式碼在系統中傳播來感染PowerShell。Purple Fox已經感染了至少30,000個系統。
登錄檔操作
該惡意軟體通過將惡意程式碼注入Windows登錄檔來工作。一個著名的例子是針對Windows系統的Kovtermalware。它經常未被檢測到,因為它通過瞄準計算機的登錄檔來儲存其配置資料來逃避檔案掃描。
7. 間諜軟體
間諜軟體會在您不同意或不知情的情況下安裝在您的計算機上。它訪問瀏覽習慣、網際網路活動、擊鍵、pin、密碼、財務資訊等等。它不僅限於計算機。您使用的任何連線到網際網路的裝置都容易受到此類惡意軟體的攻擊,甚至是智慧手機。
收集到的資訊隨後會在未經您同意或不知情的情況下被轉發給犯罪者,犯罪者可以使用或將其出售給第三方。間諜軟體本身不會對您的計算機有害。但是,您的資訊的收集和盜竊是首要問題。間諜軟體的存在也表明您的裝置安全存在弱點。
間諜軟體造成的損害範圍很廣,從將您的資訊出售給廣告商這樣簡單的事情一直到完成身份盜竊。例如,間諜軟體DarkHotel在連線到公共酒店WiFi時以企業主和政府官員為目標。然後,網路犯罪分子使用它從這些目標的裝置中獲取敏感資訊。
8. 廣告軟體
廣告軟體與間諜軟體略有相似,因為它也收集諸如瀏覽活動之類的資訊。儘管如此,它並不會跟蹤擊鍵,它的唯一目的是為您量身定製廣告。但是,某些廣告軟體可能更具攻擊性,甚至會更改您的瀏覽器設定、搜尋引擎偏好等。
一些廣告軟體侵入性較小,在收集資訊之前會徵得您的許可。再說一次,一旦收集到資訊,以後可以在未經您同意的情況下將其出售給其他廣告商。
9. 惡意廣告
惡意廣告是指網路犯罪分子將惡意軟體隱藏在合法廣告中。在這種情況下,攻擊者會花錢在合法網站上新增廣告。點選廣告後,您要麼被重定向到惡意網站,要麼惡意軟體會自動安裝在您的計算機上。
在某些情況下,廣告中嵌入的惡意軟體可能會自動執行,您甚至無需點選廣告——這被稱為“路過式下載”。
一些網路犯罪分子甚至可以滲透到負責向幾個大型知名網站投放廣告的合法和大型廣告網路。這使他們所有的受害者都處於危險之中。
10. 鍵盤記錄器
鍵盤記錄器是一種惡意軟體,可監控受感染使用者的線上活動。但是,鍵盤記錄器在某些情況下具有合法用途。例如,一些企業使用它們來跟蹤員工的活動,一些父母監控孩子的線上行為。
在其他情況下,網路犯罪分子使用鍵盤記錄器來竊取密碼、財務資料或敏感資訊。網路犯罪分子使用網路釣魚、社交工程或惡意下載將鍵盤記錄器引入您的系統。
鍵盤記錄器的一個著名例子是Olympic Vision,它針對來自世界各地的企業高管。這些攻擊被標記為商業電子郵件洩露 (BEC)。Olympic Vision依靠魚叉式網路釣魚和社會工程技術來訪問其目標系統、竊取資訊和監視商業交易。
11. 機器人/殭屍網路
機器人是通常遠端控制的軟體應用程式,可以根據命令執行任務。它們可以有合法用途,例如索引搜尋引擎。儘管如此,它們也可以通過連線回中央伺服器的自倍增惡意軟體的形式被惡意使用。
殭屍程式通常大量執行,統稱為殭屍程式網路或殭屍網路。這些用於發起遠端控制的大量攻擊,例如DDoS攻擊。
例如,Mirai殭屍網路可以通過輸入裝置的預設使用者名稱和密碼來訪問所有連線到網際網路的裝置,包括印表機、智慧裝置、DVR等。
12. Rootkit
rootkit被認為是最危險的惡意軟體之一——它是一個後門程式,允許網路犯罪分子獲得完全訪問許可權並控制受感染的裝置,包括管理許可權。
然後,滲透者可以監視目標裝置、更改其配置、竊取敏感資料以及幾乎其他任何事情。所有這些都是遠端完成的。Rootkit通常注入到應用程式、核心、管理程式或韌體中。
Rootkit可以通過網路釣魚、惡意附件、惡意下載和受到威脅的共享驅動器進行傳播。此外,rootkit 可以隱藏其他惡意軟體,例如鍵盤記錄程式。
例如,一個名為Zacinlo的rootkit隱藏在一個虛假的VPN應用程式中,並在使用者下載該應用程式時感染使用者的系統。
13. SQL隱碼攻擊 (SQLi)
SQL隱碼攻擊(SQLi) 是最常見的資料庫攻擊之一,自1998年發現以來一直是開發人員嚴重關注的問題。
當攻擊者利用應用程式程式碼中的漏洞並將惡意SQL查詢注入到目標網站上的任何輸入欄位(例如登入欄位、聯絡表單、站點搜尋欄和評論部分)時,就會發生SQL隱碼攻擊。
成功的SQLi攻擊使黑客能夠訪問敏感資料、恢復系統檔案、在您的網站資料庫上執行管理任務、修改資料庫資訊。他們甚至可以向作業系統的核心資料庫發出和執行命令。
2018年,攻擊者在Cisco Prime License Manager中發現了一個漏洞,該漏洞使他們能夠通過shell訪問許可證管理器的系統,其中一次廣泛的SQL隱碼攻擊針對的是Cisco。SQL隱碼攻擊的其他知名受害者是Tesla和Fortnite。
如何檢測惡意軟體
鑑於惡意軟體型別和變體的廣泛性,以及惡意軟體攻擊的日益複雜,檢測它們從未如此困難,尤其是隨著無檔案惡意軟體等特別惡意威脅的增長。
儘管如此,一些關鍵的警告標誌可以判斷您的裝置是否感染了惡意軟體:
- 您的裝置速度變慢、突然崩潰或頻繁顯示錯誤訊息。
- 您無法刪除特定軟體。
- 您的裝置不會關閉或重新啟動。
- 您發現您的裝置正在傳送不是您編寫的電子郵件。
- 程式會自動開啟和關閉。
- 沒有明顯原因,您的儲存空間不足。
- 您的預設瀏覽器和程式會不斷變化,無需您採取任何行動。
- 效能下降,而電池消耗增加。
- 您會在意想不到的地方看到很多彈出視窗和廣告,例如在政府網站上。
- 您無法登入您的網站。
- 您注意到您沒有對您的網站進行的更改。
- 您的網站重定向到另一個網站。
由於無檔案惡意軟體非常難以檢測,因此您能做的最好的事情就是密切關注網路模式並分析易受感染的應用程式。您還需要使您的軟體程式和瀏覽器保持最新,並定期搜尋任何網路釣魚電子郵件。
如何擺脫惡意軟體
如果您被惡意軟體感染,請務必不要驚慌。有幾個選項您仍然可以儲存您的裝置或網站。請記住,不同型別的惡意軟體需要不同的刪除程式。
從裝置中刪除惡意軟體
如果您發現您的計算機或移動裝置出現上述部分或全部惡意軟體感染跡象,請首先確定惡意軟體的型別,然後開始採取以下措施:
- 病毒或木馬:如果您的裝置感染了病毒或木馬,您需要安裝可靠的防病毒或反惡意軟體程式,以執行深度掃描。定期更新防病毒軟體很重要。部署強大的防火牆並在單擊電子郵件附件和Web連結時要小心。
- 蠕蟲:儘管它具有危害性,但您可以像清除病毒一樣清除計算機蠕蟲。安裝功能強大的反惡意軟體,可以檢測蠕蟲並讓它完成所有工作。如果您的瀏覽器被感染,請使用另一臺計算機,安裝反惡意軟體,然後將其燒錄到CD上。
- 垃圾郵件:如今的電子郵件服務包括反垃圾郵件功能。但是,您仍然可以安裝反垃圾郵件軟體來幫助您擺脫垃圾郵件並保護您。
勒索軟體:如果您的組織沒有支付贖金,您需要為當局記錄攻擊證據,然後立即斷開受感染的裝置。之後,如果您仍然可以訪問,請建立系統備份,禁用任何系統清理或優化程式以保留勒索軟體檔案以進行診斷。最後,開始使用強大的網路安全軟體刪除勒索軟體,並聘請網路安全專家指導您完成恢復檔案的過程。
- 廣告軟體:可以使用具有廣告軟體刪除功能的反惡意軟體程式來清除廣告軟體。請務必禁用瀏覽器上的彈出視窗並預設禁用安裝其他軟體。
從WordPress網站中刪除惡意軟體
儘管WordPress為成長中的企業帶來了很多好處,但它仍然存在一些安全漏洞。如果您的WordPress網站受到惡意軟體感染,請按照我們推薦的步驟將其刪除,就像熟練的網路管理員一樣。
您可以利用很多WordPress安全外掛來保護您的網站。
如何保護自己免受惡意軟體的侵害
正如您現在可能已經意識到的那樣,惡意軟體攻擊是一件大事,學習如何保護自己免受攻擊並避免被它們感染對於個人和企業來說都是必不可少的。
在大多數情況下,惡意軟體感染需要您採取行動,例如下載惡意內容或單擊受感染的連結。以下是您可以採取的主要預防措施,以避免受到不同型別的惡意軟體的攻擊。
1.安裝反惡意軟體或防病毒軟體
在您的系統上安裝強大的反惡意軟體或防病毒軟體並定期更新非常重要。執行頻繁的掃描,尤其是深度掃描,以確保您的裝置沒有受到感染。反惡意軟體程式有不同的保護級別:
- 瀏覽器級保護:某些網路瀏覽器(例如Google Chrome)具有內建的反惡意軟體保護功能,可保護您免受不同的惡意軟體威脅。您也可以安裝自己的以保護您的瀏覽器。
- 網路級保護:如果您在組織內擁有計算機網路,則安裝網路級反惡意軟體是保護連線裝置免受來自網路流量的惡意威脅的最佳選擇。為此特別推薦使用防火牆。
- 裝置級保護:這些工具有助於保護使用者的裝置免受惡意威脅。
- 伺服器級保護:如果您有一個大型組織,這種型別的反惡意軟體可以保護您的伺服器網路免受惡意網路攻擊。
2. 不要開啟來自不受信任來源的電子郵件
避免網路釣魚從一個重要步驟開始:不要開啟帶有可疑附件的可疑電子郵件。
如果您不確定是否可以遵守此規則,或者您不相信您的員工會遵循此黃金建議,那麼請投資電子郵件安全工具。您可以使用反垃圾郵件工具和S/MIME證書來保護您的電子郵件通訊。
AS/MIME證書是一種基於PKI的工具,使您能夠與其他S/MIME證書使用者交換加密和數字簽名的電子郵件。這樣,您和您的收件人就會知道這些電子郵件是安全且合法的。
3.提防惡意下載和彈出視窗
與可疑電子郵件一樣,必須注意您下載的內容以及從何處下載。單擊連結以從不受信任的來源下載應用程式或遊戲是對網路犯罪分子和惡意攻擊的邀請。
彈出視窗也不例外。如前所述,網路犯罪分子使用操縱方式誘騙您點選受感染的連結。
4. 執行網站和檔案安全檢查
保護您的網站應該是您的首要任務。無論您的網站是小型網站還是大型網站,都必須定期進行網站安全檢查,以免被任何型別的惡意軟體感染。
您還應該密切關注構成您網站的各個檔案。可靠且定期執行的檔案完整性監控程式可以幫助您在潛在攻擊被觸發之前發現它們。
如果您的網站不安全,它不僅可能被惡意軟體感染,還可能引發對其他網站和使用者裝置的一系列惡意攻擊。更重要的是,它會降低您在Google上的SEO排名。您最不想做的就是在網際網路上展開惡意軟體攻擊攤牌!
5. 維護定期資料備份
備份個人或公司計算機上的資料至關重要。即使備份資料不會保護您免受惡意軟體攻擊,但如果您受到勒索軟體或任何其他惡意威脅的感染,它將幫助您恢復資料。
要執行健康的資料備份,請保留一份以上的資料副本。最好使用兩種不同的媒體型別來儲存您的資料檔案,以防發生不止一種攻擊。您甚至可以選擇將一份資料檔案副本儲存在安全的異地位置。
小結
既然您已經全面瞭解了不同型別的惡意軟體以及如何對抗它們,我們強烈建議您投資於可靠且值得信賴的資料安全措施。
我們還建議及時瞭解最新的網路安全風險並定期更新您的系統和程式。
評論留言