恶意软件是一个合成词,指故意设计来对计算机系统或其用户造成损害的任何软件、代码或计算机程序。几乎每个现代的网络攻击都涉及某种类型的恶意软件。这些有害程序的严重程度各不相同,包括具有高度破坏性和代价高昂的勒索软件,以及仅是烦人但无害的广告软件。
每年(ibm.com 外部链接)都有数十亿次针对企业和个人的恶意软件攻击。恶意软件可以感染任何类型的设备或操作系统,包括 Windows、Mac、iPhone 和 Android。
网络罪犯开发和使用恶意软件 (Malware) 来:
虽然恶意软件和病毒这两个词经常互换使用,但并非所有类型的恶意软件都一定是病毒。恶意软件是描述多种类型威胁的总称,例如:
病毒:计算机病毒是一种恶意程序,如果没有点击链接、下载附件、启动特定应用程序或其他各种操作等人机互动,就无法复制。
蠕虫:蠕虫本质上是一种自我复制的病毒,不需要人机互动就能传播,可以深入不同的计算机系统,并在设备之间移动。
僵尸网络:由被称为“僵尸操控者”的单一攻击者控制的被入侵的计算机网络,它们协同工作。
勒索软件:作为最危险的恶意软件类型之一,勒索软件攻击会控制关键计算机系统或敏感数据,锁定用户并要求以比特币等加密货币支付高昂赎金,以换取重新访问权。勒索软件仍然是当今最危险的网络威胁类型之一。
多重勒索软件:如果说勒索软件攻击的威胁性还不够大,那么,多重勒索软件增加了额外层级,会造成进一步破坏或给受害者施加额外的压力,迫使他们屈服。在双重勒索软件攻击中,恶意软件不仅用于加密受害者的数据,还会窃取敏感文件(例如客户信息),然后攻击者威胁要公开发布这些信息。三重勒索攻击甚至会进一步威胁破坏关键系统或将破坏性攻击扩展到受害者的客户或联系人。
宏病毒:宏是命令系列,通常内置于大型应用程序中,用于快速自动执行简单任务。宏病毒利用程序宏,在应用程序文件中嵌入恶意软件,当用户打开相应程序时就会执行。
特洛伊木马:以著名的特洛伊木马命名,伪装成有用的程序或隐藏在合法软件中,诱骗用户安装。
间谍软件:间谍软件在数字间谍活动中很常见,它隐藏在受感染的系统中,秘密收集敏感信息并将其传送回攻击者。
广告软件:广告软件被认为基本无害,通常与免费软件捆绑在一起,并向用户发送不需要的弹出窗口或其他广告的垃圾邮件。但是,某些广告软件可能会收集个人数据或将网络浏览器重定向到恶意网站。
Rootkit:一种恶意软件包,允许黑客以管理员特权级别访问计算机操作系统或其他资产。
由于数量庞大且种类繁多,恶意软件的完整历史记录将相当长。下面我们来看看恶意软件发展过程中几个臭名昭著的时刻。
随着第一台现代计算机的诞生,数学先驱和曼哈顿计划贡献者约翰·冯·诺依曼 (John von Neumann) 正在开发一种可以在整个系统中复制和传播的程序的概念。他的著作《自复制自动机理论》(ibm.com 外部链接)于 1966 年在他去世后出版,为计算机病毒奠定了理论基础。
就在约翰·冯·诺依曼 (John von Neumann) 的理论著作发表五年后,一位名叫 Bob Thomas 的程序员创建了一个名为 Creeper 的实验程序,目的是在现代互联网的前身 ARPANET(ibm.com 外部链接)上的不同计算机之间移动。他的同事 Ray Tomlinson,被认为是电子邮件的发明者,修改了 Creeper 程序,使其不仅可在计算机之间移动,而且还可以将自身从一台计算机复制到另一台计算机。第一个计算机蠕虫就此诞生。
虽然 Creeper 是第一个已知的蠕虫病毒示例,但它实际上并不是恶意软件。作为一种概念验证,Creeper 并非恶意制造,也不会损坏或扰乱所感染的系统,而只显示一条幼稚的消息:“I’M THE CREEPER : CATCH ME IF YOU CAN.”(我是 CREEPER:有本事来抓我)。第二年,Tomlinson 也挑战自我,创建了 Reaper,这是第一个旨在通过在 ARPANET 上移动的类似原理来删除 Creeper 的防病毒软件。
Elk Cloner 程序是由 Rich Skrenta 在 15 岁时开发的,最初只是出于恶作剧目的。作为高中计算机俱乐部的成员,Skrenta 在他的朋友中以更改俱乐部成员之间共享的游戏和其他软件而闻名,以至于许多成员拒绝接受这位恶作剧者的光盘。
为了更改他无法直接访问的磁盘软件,Skrenta 开发了第一个已知的 Apple 计算机病毒。Elk Cloner 就是现在所说的引导扇区病毒,通过感染 Apple DOS 3.3 操作系统进行传播,一旦从受感染的软盘传输过来,就会将自身复制到计算机的内存中。随后将未受感染的磁盘插入计算机时,Elk Cloner 会将自身复制到该磁盘,并迅速在 Skrenta 的大多数朋友中传播。虽然是故意恶作剧,但 Elk Cloner 可能会无意中覆盖和擦除一些软盘。它还包含一条诗意的信息,内容如下:
ELK CLONER:(麋鹿克隆病毒:)
THE PROGRAM WITH A PERSONALITY(这个程序有个性)
IT WILL GET ON ALL YOUR DISKS(它会传染磁盘)
它会渗透到芯片里
YES IT’S CLONER!(是的,它是克隆病毒!)
IT WILL STICK TO YOU LIKE GLUE(它会如影随形)
IT WILL MODIFY RAM TOO(还会修改内存)
SEND IN THE CLONER!(继续传染吧!)
虽然 Creeper 蠕虫能够在 ARPANET 上的计算机之间移动,但在互联网普及之前,大多数像 Elk Cloner 这样的恶意软件都是通过软盘传播的。然而,虽然 Elk Cloner 的影响仅限于一家小型计算机俱乐部,但 Brain 病毒却传播到了全世界。
Brain 由巴基斯坦医疗软件分销商 Amjad Farooq Alvi 和 Basit Farooq Alvi 兄弟编写,被认为是 IBM 个人计算机的第一个病毒,最初是为防止侵犯版权而开发的。该病毒旨在防止用户使用他们的软件的复制版本。安装后,Brain 会显示一条消息,提示盗用者给兄弟俩打电话来接种疫苗。Alvis 兄弟俩低估了他们的盗版问题的严重性,他们接到的第一个电话来自美国,随后又接到了来自全球各地的许多其他电话。
Morris 蠕虫是另一种早期恶意软件,它的初衷并非是为了造成恶意破坏,而是为了进行概念验证。不幸的是,这种蠕虫所产生的负面影响远远超出了麻省理工学院学生 Robert Morris 在创造它时所预想的情况。当时,只有大约 60,000 台计算机可以访问互联网,而且这些计算机主要在大学和军队内使用。通过利用 Unix 系统中的后门漏洞并且保持隐藏状态,这种蠕虫病毒迅速传播,并多次进行自我复制,导致高达 10% 的联网计算机受到感染。
由于该蠕虫不仅将自身复制到其他计算机,还会在所感染的计算机上反复复制自身,因而无意中耗尽了内存,并导致多台 PC 突然停止运行。作为世界上首次大范围的互联网网络攻击,据估计,该事件造成的损失达数百万美元。Robert Morris 是美国有史以来第一个因网络欺诈而被定罪的网络罪犯。
虽然破坏性不像 Morris 蠕虫那么大,但约十年后,Melissa 展示了恶意软件通过电子邮件传播的速度有多快,预计会感染一百万个电子邮件帐户和至少 10 万台工作场所计算机。它是当时传播速度最快的蠕虫,造成 Microsoft Outlook 和 Microsoft Exchange 电子邮件服务器严重过载,导致包括 Microsoft、五角大楼计算机应急小组和大约 250 个其他组织在内的 300 多家公司和政府机构的系统运行缓慢。
需求是发明之母,当 24 岁的菲律宾居民 Onel de Guzman 发现自己无力承担拨号上网服务的费用时,他编写了一个宏病毒来窃取他人的密码,使 ILOVEYOU 成为第一个影响重大的彻头彻尾的恶意软件。该攻击是社会工程和网络钓鱼的早期示例。De Guzman 利用心理学抓住了人们的好奇心,操纵他们下载伪装成情书的恶意电子邮件附件。“我发现很多人都想要一个男朋友,他们彼此需要,他们想要爱。”de Guzman 说道。
一旦被感染,该蠕虫不仅会窃取密码,还会删除文件,造成了数百万美元的损失,甚至导致英国议会的计算机系统短时间关闭。尽管 de Guzman 最终被抓获逮捕,但所有指控都被撤销,因为他实际上并没有违反任何当地法律。
与 ILOVEYOU 类似,Mydoom 蠕虫也利用电子邮件进行自我复制,并感染世界各地的系统。获取 Root 权限后,Mydoom 就会劫持受害者的计算机,以通过电子邮件发送更多自己的副本。Mydoom 垃圾邮件非常有效,曾经占全球发送的所有电子邮件的 25%,这一记录从未被打破,最终造成了 350 亿美元的损失。经通货膨胀调整后,它仍然是有史以来代价最高昂的恶意软件。
除了劫持电子邮件程序以感染尽可能多的系统外,Mydoom 还使用受感染的计算机创建僵尸网络并发起分布式拒绝服务 (DDoS) 攻击。尽管 Mydoom 具有影响,但 Mydoom 背后的网络罪犯从未被抓获甚至被识别。
Zeus 于 2007 年首次被发现,它通过网络钓鱼和偷渡式下载感染个人计算机,并展示了一种可以传播许多不同类型的恶意软件的特洛伊木马类型病毒的危险潜力。2011 年,其源代码和使用手册泄露,为网络安全专业人士和其他黑客提供了宝贵的数据。
CryptoLocker 是勒索软件的最早实例之一,以其快速传播和强大的(在当时)非对称加密功能而闻名。CryptoLocker 通过 Zeus 病毒捕获的恶意僵尸网络进行传播,系统地加密受感染 PC 上的数据。如果受感染的 PC 是本地网络中的客户端,例如图书馆或办公室,则任何共享资源都会首先成为目标。
为了重获这些加密资源的访问权限,CryptoLocker 的开发者要求支付两个比特币的赎金,当时这些比特币的价值约为 715 美元。幸运的是,在 2014 年,司法部与国际机构合作,成功控制了恶意僵尸网络并免费解密了被劫持的数据。不幸的是,CyrptoLocker 程序还通过基本的网络钓鱼攻击进行传播,并且仍然是一个持续的威胁。
Emotet 特洛伊木马曾被德国联邦信息安全局局长 Arne Schoenbohm 称为“恶意软件之王”,它是所谓的多态恶意软件的一个典型例子,信息安全专家很难完全根除它。多态恶意软件的工作原理是在每次复制时稍微修改自己的代码,创建的不是精确的副本,而是同样危险的变体。实际上,它更危险,因为多态特洛伊木马更难被反恶意软件程序识别和阻止。
与 Zeus 特洛伊木马一样,Emotet 始终作为模块化程序来传播其他形式的恶意软件,并经常通过传统的网络钓鱼攻击进行共享。
随着计算机不断发展,从台式机扩展到笔记本电脑、移动设备和各种联网设备,恶意软件也在不断发展。随着物联网的兴起,智能物联网设备呈现出大量新漏洞。Mirai 僵尸网络由大学生 Paras Jha 开发,被发现时已接管了大量主要支持物联网且安全性较弱的闭路电视摄像头。
Mirai 僵尸网络最初设计用于针对游戏服务器进行 DoS 攻击,其强大程度超出了 Jha 的预期。它曾针对一家主要的 DNS 提供商,有效地将美国东海岸的大片地区与互联网隔绝了近一整天。
尽管恶意软件多年来已经在网络战中扮演重要角色,但 2017 年是国家支持的网络攻击和虚拟间谍活动的标志性年份,首先出现的是一种名为 Petya 的相对不起眼的勒索软件。虽然很危险,但 Petya 勒索软件通过网络钓鱼传播,在被修改为 NotPetya 擦除器蠕虫之前并不具有特别的传染性,该蠕虫是一个看起来像勒索软件的程序,但是,即使支付了赎金,也会破坏用户数据。同年,出现了 WannaCry 勒索软件(ibm.com 外部链接)蠕虫,袭击了欧洲许多备受瞩目的目标,尤其是英国国家医疗服务体系。
NotPetya 据信与俄罗斯情报部门有关,后者可能修改了 Petya 病毒来攻击乌克兰,而 WannaCry 可能与朝鲜政府的类似敌对部门有关。这两种恶意软件攻击有哪些共同点呢?这两种软件都利用了 Microsoft Windows 漏洞 Eternalblue,该漏洞最早由美国国家安全局 (NSA) 发现。尽管 Microsoft 最终自己发现并修复了该漏洞,但他们批评 NSA 没有在黑客能够利用该漏洞之前进行报告。
近年来,勒索软件的数量先是增加继而减少。不过,虽然勒索软件攻击成功的实例可能正在减少,但黑客正在瞄准更多引人注目的目标并造成更大的损害。现在,勒索软件即服务是一个令人不安的趋势,近年来势头强劲。RaaS 通过暗网交易,它提供了一种即插即用协议,专业黑客可以利用该协议发起勒索软件攻击来赚取报酬。虽然以前的恶意软件攻击需要一定程度的高级技术技能,但提供 RaaS 的是一群唯利是图的人,会将它卖给任何有恶意的人,只要愿意花钱即可。
第一次令人瞩目的双重勒索软件攻击发生在 2019 年,当时黑客渗透到安全人事代理机构 Allied Universal,一边加密他们的数据,一边威胁要在网上发布被盗的数据。这意味着,即使 Allied Universal 能够解密他们的文件,仍会遭受破坏性的数据泄露。虽然这次攻击值得注意,但 2021 年的 Colonial Pipeline 攻击因其隐含威胁的严重性而更为臭名昭著。当时,Colonial Pipeline 占美国东部汽油和喷气燃料市场的 45%。此次袭击持续数天,影响了东海岸的公共和私营部门,并促使拜登总统宣布进入临时紧急状态。
尽管勒索软件攻击似乎有所减少,但高度针对性和有效的攻击仍会构成令人恐惧的威胁。2022 年,哥斯达黎加遭受了一系列勒索软件攻击(ibm.com 外部链接),首先使财政部陷入瘫痪,甚至影响了民用的进出口业务。随后的一次攻击导致国家医疗系统脱机,可能直接影响到该国的每一位公民。因此,哥斯达黎加创造了历史,成为第一个宣布全国紧急状态以应对网络攻击的国家。
深入了解 QRadar SIEM 勒索软件解决方案