什么是恶意软件?

了解最常见的恶意软件形式,以及组织针对恶意软件和恶意软件驱动的网络攻击采取的保护措施。

two engineers working on computer leadspace
什么是恶意软件?

恶意软件是一种软件编码,用于损坏或破坏计算机或网络,或者向计算机、网络或数据提供未经授权的访问以从事邪恶或犯罪活动。 某些形式的恶意软件几乎是所有类型网络攻击的根源所在。

网络犯罪分子使用恶意软件来

  • 劫持用户和组织为人质以获取大笔钱财
  • 对其他人员的计算机或服务器进行未经授权的远程控制
  • 窃取敏感数据 - 个人的银行账户和社会安全号码、公司的知识产权等 - 以进行身份盗用,获取竞争竞争,以及达到其他欺诈用途
  • 对企业、政府机构、公用事业或其他机构运行的系统发起严重攻击

恶意软件相关攻击的成本巨大。 《网络犯罪》(Cybercrime Magazine)杂志报告称,2021 年,仅一种恶意软件造成的全球损失就高达 200 亿美元,并将于 2031 年增长至 2650 亿美元类 (链接位于 ibm.com 外部)。


恶意软件的种类

曾经,大多数恶意软件威胁都属于计算机病毒,这是一种代码,一台计算机“感染”,便会将其副本传播到其他计算机。 史上第一款名为 Creeper 的计算机病毒不断自我复制,最终会填满计算机硬盘,导致计算机瘫痪(1971 年 Creeper 首次出现时传播速度相对较快)。 后续病毒会通过改写或破坏操作系统文件、应用程序文件或磁盘引导区,禁用计算机系统。

当前,恶意软件种类越来越多,对计算机和网络造成的损坏越来越严重,并能更好地避开通过安全工具和恶意软件保护技术进行的检测和补救措施。 以下是对当今流行的一些最常见恶意软件类型的简要描述。

勒索软件

勒索软件是一种恶意软件,它会锁定受害者设备,或加密受害者的部分或全部数据,然后要求支付赎金(通常以加密货币的形式支付),方能解锁设备、解密数据,或防止数据被盗或共享。 根据 2022 年 X-Force 威胁情报指数报告 (PDF,4.1 MB),自 2019 年以来,X-Force 应对的每一起勒索软件事件几乎都涉及“双重勒索”,让受害者面临数据加密和数据被盗的威胁。 而“三重勒索”勒索软件事件,即数据加密、盗窃,以及发起分布式拒绝服务或 DDoS 攻击(见下文的僵尸网络),正在不断攀升。

同一份报告发现,勒索软件攻击在 2021 年占到所有网络攻击的 21%。

勒索软件的受害者和谈判者都不愿意透露支付的赎金额度。 据报道,一家全球保险公司在 2021 年 5 月支付了 4000 万美元的赎金,这是已知数额最大的一笔勒索赎金 (链接位于 IBM.com 外部)。 估计平均支付金额从 10 万美元到 30 万美元不等。 但是对于许多受害者来说,赎金只是最小的一笔开支。 根据 2021 年 IBM 数据泄露成本报告,勒索软件攻击的平均成本(不包括赎金)为 462 万美元。

服务器访问恶意软件

服务器访问恶意软件让攻击者可在未经授权的情况下访问 Web 应用程序服务器。 通常情况下,服务器访问恶意软件是合法软件,经修改用于或滥用于网络攻击;讽刺的是,有些此类软件最初的开发目的是演示服务器或服务器操作系统的安全漏洞。

服务器访问恶意软件的类型包括 Web Shell,它支持攻击者通过网络浏览器以及远程系统管理计划(如 Back Orifice)指挥网络服务器,从而实现对服务器或计算机上的 Microsoft Windows 的远程管理。 攻击者使用这种类型的恶意软件进行各种操作,包括破坏受害者的 Web 站点以及窃取用户凭证和其他敏感数据。 2022 年 X-Force 威胁情报指数报告指出,2021 年的所有网络安全事件中有 11% 为服务器访问攻击。

僵尸网络

从技术上讲,僵尸网络不是恶意软件,而是由恶意软件创建而来。 僵尸网络是一个由连接互联网且被恶意软件感染的设备组成的网络,其中包括电脑、智能手机、物联网 (IoT) 设备网络。 恶意软件创建了一个后门,黑客可以通过该后门远程控制设备。 黑客创建僵尸网络以发起分布式拒绝服务 (DDoS) 攻击,此类攻击用大量欺诈性流量轰炸目标网络,使网络逐渐变慢或完全关闭。

加密劫持者

加密劫持者是一种恶意软件,它可以远程控制某个设备,并利用该设备“挖掘”加密货币,这是一项计算密集程度较高且费用高昂的任务。 (本质上,加密劫持者创建了加密货币挖掘僵尸网络。) 加密货币向为挖矿提供计算能力的人支付奖励,通常是加密货币形式。 密码劫持让网络犯罪分子能够利用他人的设备获得这些奖励。

无文件恶意软件

无文件恶意软件是在内存中运行并将恶意代码或脚本注入合法应用程序的恶意软件。 由于无文件恶意软件不会留下签名(恶意软件特有的一个字节串),因此无法被传统杀毒软件识别和删除,但许多最新的下一代杀毒软件 (NGAV) 解决方案可以将其捕获。

其他类型的恶意软件

  • 蠕虫是恶意代码,无需人员交互即可复制和传播。 (与病毒相较而言,病毒通常必须由不知情的用户打开,然后才能自我复制和传播。)
  • 木马以神话中的特洛伊木马命名,它是一种恶意代码,会将自己伪装成或隐藏在合法软件中,然后在用户运行合法软件时运行。
  • Rootkit 是恶意软件包,它们会在未经授权的情况下获得对计算机操作系统或其他资产的特权访问,并利用此访问或其他软件来“隐藏”并避免被发现。 (该恶意软件的名源于“root”帐户,即 Linux 或 Unix 系统上的特权访问管理帐户。) Rootkit 可以重新配置操作系统和系统上的其他软件,包括可能识别和删除 Rootkit 的安全软件。
  • 恐吓软件试图吓唬用户做出错误的选择,即下载恶意软件,将个人或敏感信息传给骗子,通常是虚假警告用户他们已经违法,或者,较为讽刺的是,警告用户他们遭到病毒感染。 恐吓软件通常采用屏幕上弹出的形式,在不关闭网络浏览器的情况下很难关闭。
  • 间谍软件就如同其名字一样,是一种隐藏在受感染计算机上的恶意软件,它会收集私人或敏感信息,并将其传回给攻击者。 有一种名为键盘记录器的间谍软件,它可以通过记录用户的击键来获取用户的用户名、密码、银行账户和信用卡号码、社会安全号码以及其他极为敏感的信息。
  • 广告软件会在用户试图使用网络浏览器时,向他们显示多余且令人讨厌的弹出窗口和在线广告。 大多数广告软件都依附于免费软件,当用户下载并安装该软件时,也同时安装了广告软件。 大多数广告软件只是比较烦人,但不会对目标计算机或网络造成伤害。 但有一类称为恶意广告的广告软件,它会利用在线广告向在线广告和广告网络中注入恶意代码。

恶意软件载体:恶意软件攻击是如何发生的

与恶意软件本身一样,恶意软件的传递方法或途径 称为载体 ,其数量众多且不断演进。 跟踪此类策略对恶意软件的预防、检测和响应至关重要。 一些最常用的恶意软件载体包括:

  • 网络钓鱼诈骗和其他社会工程策略:通过电子邮件、短信或文本消息应用程序发送的网络钓鱼消息旨在操控用户下载某个恶意电子邮件附件,或访问某个恶意网站,在用户不知情的情况下将恶意软件传到用户的计算机或移动设备上。 钓鱼消息通常经过精心设计,看起来就像来自某个值得信赖的品牌或个人,它们通常试图引起恐惧(我们在您的手机上发现了 9 个病毒!)、诱发贪婪之心(“有一笔无人认领的款项正在等着您!”) 或制造紧急情况(“领取免费礼物的期限就要过了”),从而让用户采取预期操作。 该组合威力强大,而网络钓鱼是传递勒索软件和其他恶意软件攻击的最常见载体。
  • 系统或设备漏洞:网络犯罪分子不断寻找软件、设备和网络中的未修补漏洞,以便将恶意软件注入目标软件或固件。 物联网设备中有许多在销售和部署时安全性极低或根本没有安全性可言,给网络犯罪分子播撒恶意软件留下了巨大的可乘之机。
  • 可移动介质:用户无法抵抗“发现”USB 驱动器的诱惑,而网络犯罪分子也乐于利用这一点,将带有恶意软件的拇指驱动器留在用户易发现的地方。 最近的一项研究发现,37% 的已知网络威胁旨在利用可移动介质 (链接位于 ibm.com 外部);2022 年 1 月的另一项跟踪表明,9% 的安全事件与 USB 驱动器和其他可移动介质 有关(链接位于 ibm.com 外部)。
  • 文件共享:文件共享网络,特别是用户分享非法视频或游戏副本的网络,是众所周知的网络犯罪分子乐园,他们将恶意软件的有效内容嵌入到主流下载或种子传输中。 但恶意软件也会嵌入到看似合法的软件下载中,特别是免费软件。

恶意软件预防、检测和响应

成功的恶意软件威胁保护需要整个组织群策群力,需要从安全团队、IT 人员,到员工和业务合作伙伴等各个层面的参与。 用户培训、安全政策和网络安全技术都发挥着关键作用。

用户培训

用户是组织的恶意软件防护计划中的第一道防线。 如今,大多数组织会正式培训用户的行为方式,以尽量降低恶意软件和其他网络安全威胁的风险。 课程包括

  • 基本准则 - 比如,“不要打开意外收到的电子邮件附件”、“不要下载未经 IT 部门明确授权使用的软件”。
  • 神话破灭 - 比如,“是的,就算使用 Apple Mac、Apple iOS 或 Google Android 设备,仍然需要警惕恶意软件。”
  • 适当的密码卫生 - 比如,不在多个登录中使用相同或相似的密码
  • 复杂的技术 - 比如, 利用技巧来识别由可信品牌或目标公司高管发送的看似为合法邮件的网络钓鱼邮件。

大多数最终用户安全培训还会指导用户采取具体行动,包括在发生实际或可疑的恶意软件威胁时与谁联系。

安全策略

安全策略为 IT 技术和行为设定了 IT 标准,以尽量减少或消除网络安全威胁的风险。 这些策略规定了诸如电子邮件的加密类型和强度、密码的最小长度和内容,以及网络访问权限等。

专门用于预防恶意软件的策略可能会禁止

  • 限制或彻底禁用 USB 驱动器或其他可移动文件存储设备。
  • 对于下载未经 IT 部门授权的应用软件的正式许可程序。
  • 应对应用程序和安全软件进行更新或打补丁的频率。

网络安全技术

现代网络安全技术分为两大类。

预防性安全工具旨在捕获、隔离和消除已知或可识别的网络安全威胁。 其中许多工具,像防病毒软件(包括下一代防病毒软件,或 NGAV)、反恶意软件和恶意软件清除软件、防火墙、URL 过滤器等,大多数用户都比较熟悉。

检测和响应技术属于企业安全解决方案,可帮助安全团队快速识别和响应恶意软件及其他可避开预防工具的威胁。 这些解决方案通常与预防性安全工具、威胁情报馈订阅源和其他安全相关数据来源相整合。 它们利用先进的分析方法和人工智能来识别恶意软件和其他网络威胁的迹象,即攻击迹象 (IOC)。 此外,它们支持安全团队自动执行某些任务,以加快事件响应并限制或预防造成的损害。

最常用的一些检测和响应技术包括:

  • SOAR(安全统筹与自动化响应)。 SOAR 整合并协调不同的安全工具,使安全团队能够创建半自动或全自动化的“手册”,以应对潜在威胁或实际威胁。
  • EDR(终端检测与响应)。 EDR 从网络中的所有终端持续收集数据,包括桌面和笔记本电脑、服务器、移动设备、物联网设备等。 它会实时关联并分析数据,找出已知威胁或可疑行为的证据。
  • XDR(扩展的检测和响应)。 XDR 是一项新兴技术,它可将组织的整个混合 IT 基础架构内的安全工具相整合,不仅是终端,还包括网络、电子邮件、应用程序、云工作负载等,从而在网络威胁的预防、检测和响应方面实现互操作性和协调性。 

用零信任方法对抗恶意软件

零信任指的是一种网络安全方法,该方法假定恶意软件和其他网络攻击将成功突破网络的外围防御,因此,其重点在于让攻击者更难在整个网络中移动,更难在“侵入”后实现其目标。 与零信任方法相关的网络安全措施包括(但不限于):

  • 用户和管理帐户的最低访问特权策略;
  • 微分段,这涉及将网络划分为更加细粒度的子段,每个子段具有最低访问特权;
  • 多因子认证,即用户使用除密码外的至少一个其他认证因子,或至少用两个其他识别因子代替密码,来验证身份;
  • 自适应身份验证,该方法要求用户根据与不同请求关联的不同风险提供额外的身份验证因子,例如,访问特别敏感的数据,或从其他位置或使用其他设备登入网络。

零信任方法将用户严格限制为仅拥有履行职责所需的访问权限,且用户在任何时候请求额外的访问权限时,都需要更新的或额外的验证。 这样可以大大降低勒索软件和其他恶意软件的影响,这些软件渗透到网络中,潜伏数月,并试图获得更多对数据和其他资源的访问权,以便为攻击做好准备。