您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
恶意软件是指任何蓄意编写以损害计算机系统或其用户的软件代码或计算机程序,包括勒索软件、特洛伊木马和间谍软件。
几乎所有现代网络攻击都涉及某种类型的恶意软件。这些恶意程序可以采取多种形式,包括采用具有高度破坏性和成本高昂的勒索软件以及仅采用令人讨厌的广告软件,具体取决于网络罪犯的目的。
网络罪犯开发和使用恶意软件 (Malware) 来:
每年都会发生数十亿次恶意软件攻击,且恶意软件感染可能会在任意设备或操作系统上出现。Windows、Mac、iOS 和 Android 系统都可能成为受害者。
恶意软件攻击越来越多地针对企业而不是个人用户,因为黑客已经意识到攻击组织更有利可图。公司通常持有大量的个人数据,黑客利用这一事实向他们勒索巨额资金。黑客可以使用这些个人数据进行身份盗窃或在暗网上出售。
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
网络犯罪是一个庞大的产业。一项估计显示,网络犯罪将成为仅次于美国和中国的世界第三大经济体,预计到 2025 年将为其花费 10.5 万亿美元。
在这个产业中,黑客不断开发具有新特性和功能的新恶意软件病毒。随着时间的推移,这些恶意软件病毒会产生新变体,以更好地避开安全软件。据估计,自 20 世纪 80 年代以来,黑客已创建超过 10 亿种不同的恶意软件病毒和变体,使得网络安全专业人员难以持续应对。
黑客经常通过设计开源代码或将其出售给其他犯罪分子来分享恶意软件。恶意软件即服务安排在勒索软件开发人员中很普遍,因此即使是缺乏技术专业知识的犯罪分子也能通过网络犯罪获得回报。
尽管情况总是在变化,但恶意软件 (Malware) 病毒可以分为几种常见类型。
术语“恶意软件” (Malware) 和“计算机病毒”通常用作同义词,但从技术上讲,病毒是一种特定类型的恶意软件。具体来说,病毒是一种恶意代码,它会劫持合法软件以进行破坏并传播自身副本。
病毒不能自行行动。相反,它们将代码片段隐藏在其他可执行程序中。当用户启动程序时,病毒也会开始运行。病毒通常旨在删除重要数据、破坏正常操作并将自身副本传播到受感染计算机上的其他程序。
大多数最早的恶意软件威胁都是病毒。Elk Cloner 可能是第一个通过公共设备传播的恶意软件,它是一种针对 Apple 计算机的病毒。
勒索软件会锁定受害者的设备或数据,并要求受害者支付赎金(通常以加密货币的形式)后才能解锁其设备或数据。根据 IBM 的 X-Force Threat Intelligence Index,勒索软件是第二常见的网络攻击类型,占攻击的 17%。
最基本的勒索软件攻击会导致资产在支付赎金之前无法使用,但网络罪犯可能会使用其他策略来增加受害者的压力。
在双重勒索攻击中,网络罪犯会窃取数据,并威胁受害者:如果不支付赎金,就会泄露数据。在三重勒索攻击中,黑客会对受害者的数据进行加密、窃取,并威胁受害者:他们会通过分布式拒绝服务 (DDoS) 攻击使系统脱机。
赎金要求从数万美元到数百万美元不等。一份报告 显示,平均赎金金额为 812,360 美元。即使受害者不支付赎金,勒索软件也会导致高昂成本。IBM 的《数据泄露成本》报告发现,勒索软件攻击涉及执法的平均成本为 438 万美元,而不涉及执法的平均成本为 537 万美元,而这些成本数字还不包括赎金本身。
黑客使用远程访问恶意软件,通过创建或利用后门访问计算机、服务器或其他设备。根据 X-Force Threat Intelligence Index,植入后门是黑客最常见的目标,占攻击的 21%。
网络罪犯可以利用后门进行多种攻击。他们可以窃取数据或凭证、控制设备或安装勒索软件等更危险的恶意软件 (Malware)。一些黑客使用远程访问恶意软件 (Malware) 创建后门,然后将其出售给其他黑客,每个后门可以卖到数千美元。
某些远程访问恶意软件(例如 Back Orifice 或 CrossRAT)是出于恶意目的故意设计的。黑客还可以修改或滥用合法软件来远程访问设备。特别是,网络罪犯会利用窃取的 Microsoft 远程桌面协议 (RDP) 凭据作为后门。
僵尸网络是指由黑客控制的连接互联网、感染恶意软件 (Malware) 的设备组成的网络。僵尸网络可以包括 PC、移动设备、物联网 (IoT) 设备等。受害者通常不会注意到自己的设备何时进入僵尸网络。黑客经常使用僵尸网络发起 DDoS 攻击,这种攻击会用大量流量轰炸目标网络,导致目标网络速度缓慢或完全关闭。
Mirai 是最著名的僵尸网络之一,曾在 2016 年对域名系统提供商 Dyn 发起大规模攻击。此次攻击导致向美国和欧洲数百万用户关闭了 Twitter 和 Reddit 等热门网站。
挖矿型网络袭击是一种恶意软件,可以在所有者不知情的情况下控制设备并将其用于挖掘比特币等加密货币。从本质上讲,挖矿型网络袭击会创建加密采矿僵尸网络。
挖掘加密货币是一项极端的计算密集型和代价高昂的任务。网络罪犯从中获利,而受感染计算机的用户却遭遇性能下降和崩溃。挖矿型网络袭击通常以企业云基础架构为目标,因此它们能够比针对个人计算机调度更多的资源来进行加密货币挖掘。
无文件恶意软件是一种利用 Web 浏览器和文字处理器等合法软件程序中的漏洞将恶意代码直接注入计算机内存的攻击。由于代码在内存中执行,因此不会在硬盘驱动器上留下任何痕迹。由于它使用合法软件,因此经常会避开检测。
许多无文件恶意软件攻击使用 PowerShell,这是一种内置于 Microsoft Windows 操作系统中的命令行界面和脚本编制工具。黑客可以执行 PowerShell 脚本来更改配置、窃取密码或造成其他损害。
恶意宏是无文件攻击的另一个常见媒介。Microsoft Word 和 Excel 等应用程序支持用户定义宏,即自动执行格式化文本或执行计算等简单任务的命令集。黑客可以在这些宏中存储恶意脚本;当用户打开文件时,这些脚本就会自动执行。
蠕虫病毒是一种自我复制的恶意程序,无需人员交互即可在应用程序和设备之间传播。(与病毒相比,病毒只有在用户运行受感染的程序时才能传播。)虽然有些蠕虫病毒除了传播之外什么也不做,但许多蠕虫病毒会造成更严重的后果。例如,WannaCry 勒索软件造成了估计 40 亿美元的损失,该蠕虫病毒通过在连接的设备之间自动传播来实现其影响最大化。
特洛伊木马会伪装成有用的程序,或者隐藏在合法软件中,以欺骗用户进行安装。远程访问特洛伊木马 (RAT) 会在受感染的设备上创建秘密后门。另一种类型的特洛伊木马称为“dropper”,它一旦稳定植入,就会安装其他恶意软件。Ryuk 是近期最具破坏性的勒索软件病毒之一,使用 Emotet 特洛伊木马来感染设备。
Rootkit 是恶意软件数据包,允许黑客获得对计算机操作系统或其他资产的特权、管理员级别的访问权限。黑客可以使用这些提升的权限来完成几乎任何他们想完成的事,例如添加和删除用户或重新配置应用程序。黑客经常使用 Rootkit 来隐藏恶意进程或禁用可能会捕获它们的安全软件。
恐吓软件会通过恐吓让用户下载恶意软件,或将敏感信息传递给欺诈者。恐吓软件通常会突然弹出一条紧急消息,且通常会警告用户他们已经违法或其设备存在病毒。该弹窗将指示用户支付“罚款”或下载虚假安全软件,而这些软件实际上是恶意软件。
间谍软件隐藏在受感染的计算机上,会秘密收集敏感信息并将其传回给攻击者。有一种常见的间谍软件名为“击键记录器”,它会记录用户的所有击键操作,从而支持黑客获取用户名、密码、银行账户和信用卡卡号、社会保障编号以及其他敏感数据。
广告软件会通过不需要的弹出广告向设备发送垃圾邮件。广告软件通常包含在免费软件中,而用户并不知情。当用户安装程序时,他们也会不知不觉地安装广告软件。大多数广告软件只不过是一种烦人的东西。但是,某些广告软件会收集个人数据,将 Web 浏览器重定向到恶意网站,甚至在用户点击其中一个弹出窗口时将更多恶意软件下载到用户的设备上。
恶意软件攻击有两个组成部分:恶意软件有效载荷和攻击媒介。有效载荷是黑客想要植入的恶意代码,攻击媒介是用于将有效载荷传递到其目标的方法。
一些最常见的恶意软件 (Malware) 媒介包括:
社会工程攻击旨在从心理上操纵人们做他们不应该做的事情,比如下载恶意软件。网络钓鱼攻击使用欺诈性电子邮件或短信来欺骗用户,这种攻击特别常见。根据 X-Force Threat Intelligence Index,网络钓鱼是导致 41% 的恶意软件感染的一个因素。
网络钓鱼电子邮件和消息通常经过精心设计,看起来像是来自值得信赖的品牌或个人。这类邮件和消息通常试图唤起受害者的强烈情绪,例如恐惧(“我们在您的手机上发现了九种病毒!”)、贪婪(“您有一笔无人认领的付款等您认领!”)或紧迫感(“您领取免费礼物的时间不多了!”),以便让用户采取所需的行动。通常,所需的行动就是打开恶意电子邮件附件或访问将恶意软件 (Malware) 加载到其设备上的恶意网站。
网络罪犯不断寻找软件、设备和网络中未修补的漏洞,他们能够通过这些漏洞将恶意软件注入目标的软件或固件中。IoT 设备(其中很多回在安全性极低或没有安全性的情况下出售和部署)是网络罪犯传播恶意软件的沃土。
黑客可能会使用一种名为诱饵 (Baiting) 的计策,将受感染的 USB 驱动器放置在公共场所,例如联合办公空间或咖啡店,并贴上引人注目的标签。因受到这些驱动器的吸引,毫无戒心的用户可能会将它们插入自己的设备以查看其中包含的内容,然后恶意软件就会感染他们的系统。最近的一项研究发现,37% 的已知网络威胁旨在利用可移动介质。
特洛伊木马和广告软件等许多形式的恶意软件会将自己伪装成有用的软件或电影和音乐的免费副本。具有讽刺意味的是,它们经常伪装成免费的防病毒程序或可提高设备性能的应用程序。虽然用户共享盗版媒体的种子网络是网络罪犯臭名昭著的游乐场,但隐藏的恶意软件也可以进入合法市场。最近,Goldoson 恶意软件能够通过隐藏在 Google Play 商店提供的应用程序中来感染数百万个设备。
恶意广告是指黑客在合法广告网络中投放恶意广告或劫持合法广告以传播恶意代码。例如,Bumblebee 恶意软件传播通过伪装成 Cisco AnyConnect 的恶意 Google 广告进行传播。搜索真实内容的用户会在搜索结果中看到该广告,点击后即会不知不觉地下载恶意软件。
通过使用一种称为“偷渡式下载”的相关技术,用户甚至不必单击任何内容也会下载恶意软件:只要他们访问恶意网站,就会自动开始下载。
在企业网络中,用户的个人设备可能是主要的恶意软件媒介。用户的智能手机和笔记本电脑可能会在个人使用设备连接到不安全的网络时受到感染,并且无法利用公司的安全解决方案。当用户将这些设备带到工作中时,恶意软件可能会传播到企业网络。
如果供应商的网络遭到入侵,恶意软件可能会传播到使用该供应商产品和服务的公司网络。例如,网络罪犯利用 Kaseya VSA 平台中的缺陷打着合法软件更新的幌子向客户传播勒索软件。
勒索软件等一些恶意软件感染会自行宣布入侵成功。然而大多数病毒在造成严重破坏时都试图避开人们的视线。尽管如此,恶意软件感染通常会留下网络安全团队可以用来识别它们的迹象。这些迹象包括:
性能下降:恶意软件程序使用受感染计算机的资源来运行,通常会占用存储空间并破坏合法进程。IT 支持团队可能会注意到,用户的设备运行速度变慢、崩溃或弹出窗口泛滥,导致相关用户收到大量工单。
新的和意想不到的网络活动:IT 与安全人员可能会注意到奇怪的模式,例如进程使用比平时更多的带宽、设备与未知服务器通信,或是用户帐户访问其通常不使用的资产。
更改配置:某些恶意软件会更改设备配置或禁用安全解决方案以避开检测。例如,IT 与安全团队可能会注意到防火墙规则已更改或帐户权限已提升。
安全事件警报:对于拥有威胁检测解决方案的组织,恶意软件感染的第一个迹象可能是安全事件警报。入侵检测系统 (IDS)、安全信息和事件管理 (SIEM) 平台以及防病毒软件等解决方案可以举报潜在的恶意软件活动,供事件响应团队审查。
恶意软件攻击不可避免,但组织可以采取一些措施来加强防御。这些措施包括:
安全意识培训:许多恶意软件感染是由用户下载虚假软件或落入网络钓鱼诈骗造成的。安全意识培训可以帮助用户识别社会工程攻击、恶意网站和虚假应用程序。安全意识培训还可以指导用户在怀疑存在恶意软件威胁时应采取的措施,以及相应的联络对象。
安全策略:通过不安全的 Wi-Fi 访问敏感资产时需要强密码、多重身份验证和 VPN,这有助于限制黑客访问用户帐户。定期制定补丁管理、漏洞评估和渗透测试的时间表也有助于在网络罪犯利用软件和设备漏洞之前发现这些漏洞。管理 BYOD(自带设备)设备和防止影子 IT 的策略有助于防止用户在不知情的情况下将恶意软件带入公司网络。
备份:保存敏感数据和系统映像的更新备份(最好是在硬盘驱动器或其他可以与网络断开连接的设备上),可以更轻松地从恶意软件攻击中恢复。
零信任网络架构:零信任是一种网络安全方法;在此方法中,用户永远不被信任,且始终需要经过验证。尤其是,零信任会执行最小权限、网络微分段和持续自适应身份验证的原则。这有助于确保任何用户或设备不可以访问他们不应访问的敏感数据或资产。如果恶意软件进入网络,这些控制措施即可限制其横向移动。
事件响应计划:提前针对不同类型的恶意软件制定事件响应计划可以帮助网络安全团队更快地消除恶意软件感染。
除了上述手动策略之外,网络安全团队还可以使用安全解决方案来自动执行恶意软件移除、检测和预防的工作。常用工具包括:
防病毒软件:也称为“反恶意软件 (Malware) ”软件,防病毒程序会扫描系统以查找感染迹象。除了提醒用户之外,许多防病毒程序还可以在检测到恶意软件 (Malware)时自动隔离和移除恶意软件。
防火墙:防火墙可以首先阻止一些恶意流量到达网络。如果恶意软件确实进入网络设备,防火墙可以帮助阻止向黑客传出通信,就像阻止击键记录器将击键操作发送给攻击者。
安全信息和事件管理 (SIEM) 平台:SIEM 从内部安全工具收集信息,将其聚合到中央日志中,并标记异常情况。由于 SIEM 集中了多个来源的警报,因此可以更轻松地发现恶意软件的微妙迹象。
安全编排、自动化和响应 (SOAR) 平台:SOAR 可集成和协调不同的安全工具,使安全团队能够创建半自动或全自动运行手册来实时响应恶意软件。
端点检测和响应 (EDR) 平台:EDR 监控智能手机、笔记本电脑和服务器等端点设备是否存在可疑活动迹象,并且可以自动响应检测到的恶意软件。
扩展检测和响应 (XDR) 平台:xDR 集成了所有安全层(用户、端点、电子邮件、应用程序、网络、云工作负载和数据)的安全工具和操作。XDR 可以帮助自动执行复杂的恶意软件预防、检测、调查和响应流程,包括主动威胁搜寻。
攻击面管理 (ASM) 工具:ASM 工具持续发现、分析、修复和监控组织网络中的所有资产。ASM 可帮助网络安全团队捕获可能携带恶意软件、未经授权的影子 IT 应用程序和设备。
统一终端管理 (UEM):UEM 软件监控、管理和保护组织的所有最终用户设备,包括台式机、笔记本电脑和移动设备。许多组织使用 UEM 解决方案来帮助确保员工的 BYOD 设备不会将恶意软件带入企业网络。