什么是恶意软件?

旨在破坏设备正常运行的软件

Share facebook icon linkedin icon twitter icon email icon

恶意软件

学习目标

阅读本文后,您将能够:

  • 定义恶意软件
  • 探索并区分常见的恶意软件攻击
  • 了解恶意软件攻击的潜在风险以及如何减少漏洞

什么是恶意软件?

恶意软件(Malware)从恶意(malicious)和软件(software)这两个词合并而来,是一个通用术语,可以指代病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和其他类型的有害软件。恶意软件的主要区别在于它必须是故意为恶;任何无意间造成损害的软件均不视为恶意软件。

恶意软件的总体目标是破坏设备的正常运行。这种破坏目的范围很广,例如未经许可在设备上显示广告,或者获得计算机 root 访问权限。恶意软件可能试图向用户进行自我掩饰,从而暗自收集信息,或者可能锁定系统和截留数据以进行勒索。在 DDoS 攻击中,Mirai 等恶意软件会感染易受攻击的设备,在攻击者的控制下将其转变为机器人。遭到篡改后,这些设备便可作为僵尸网络的一部分来用于进行 DDoS 攻击。

恶意软件的诞生源于计算机程序员的实验和恶作剧,但在发现其带来的商业潜力后,恶意软件开发已变成了有利可图的黑市行业。如今,许多攻击者为了谋取报酬而主动制造恶意软件和/或发动恶意软件攻击。

常见的恶意软件类型有哪些?

  • 间谍软件 - 顾名思义,间谍软件用于窥探用户的行为。间谍软件可用于监视用户的 Web 浏览活动,向用户显示不想要的广告,以及修改联盟营销推广流。一些间谍软件使用所谓的“键盘记录器”来记录用户的击键,从而使攻击者能够访问包括用户名和密码在内的敏感信息。
  • 病毒 - 病毒是一种可以嵌入到操作系统或软件中的恶意程序;受害者需要运行操作系统或打开受感染的文件才能受到影响。
  • 蠕虫 - 与病毒不同,蠕虫会自我复制并通过网络传播,因此用户无需运行任何软件就能成为受害者,只要连接到受感染的网络便已足够。
  • 特洛伊木马 - 这一类恶意软件隐藏在其他有用的软件中,诱使用户安装它们。流行软件的盗版副本常常会感染特洛伊木马。
  • Rootkit - 这些软件包旨在修改操作系统,以便对用户隐藏他们不想要的安装。一个著名的例子是 2005 年的 Sony Rootkit 丑闻,Sony 售出的 2200 万张音乐 CD 感染了 Rootkit,可以秘密安装旨在破坏购买者计算机上 CD 复制功能的软件。这个 Rootkit 为其他攻击者打开了大门,让他们能够通过其他恶意软件使受感染的计算机成为攻击目标。
  • 勒索软件 - 这种软件可以对文件乃至计算机或网络上的整个操作系统进行加密,并让它们保持加密状态,直到向攻击者支付了赎金为止。随着比特币和其他加密货币的兴起,勒索软件攻击泛滥成灾,因为攻击者可以匿名接受货币并且最大程度地降低被逮捕的风险。

恶意软件感染的风险因素有哪些?

  • 安全漏洞 - 操作系统、Web 浏览器和浏览器插件等软件可能会包含漏洞,从而被攻击者利用。
  • 用户错误 - 用户从未知软件打开软件或从不受信任的硬件启动计算机会造成严重的风险。
  • OS 共享 - 网络上的每台计算机使用单一操作系统也会增加恶意软件感染的风险;如果所有计算机都运行同一操作系统,则一种蠕虫便有可能将它们全部感染。

如何阻止恶意软件?

没有人可以对恶意软件攻击无动于衷;新的攻击不断滋生,即使最安全的系统也会受到威胁。但是,有很多方法可以最大程度地降低易受恶意软件攻击的风险,其中包括:

  • 防病毒和防恶意软件 - 若要在威胁蔓延之前检测威胁,定期对计算机或网络运行扫描至关重要。
  • 网站安全扫描 - 拥有网站的人员应注意,恶意软件可以将网站的软件作为目标,以查看私密文件、劫持站点,甚至可能通过强制下载恶意软件来危害站点的访问者。定期对网站进行安全扫描可以帮助捕获这些威胁。
  • Web 应用程序防火墙(WAF) - 网站管理员的另一个好资源是 WAF,它可以在网络的边缘阻止恶意软件,防止其到达站点的源站服务器
  • 气隙隔离 - 气隙隔离被认为是万不得已的方法,它意味着禁用任何使通讯成为可能的硬件,从而切断计算机或网络与所有外部网络和 Internet 通信的连接。但这不是万无一失的防御措施,也受到“掉落驱动器”攻击(将优盘丢入公司的停车场,希望好奇的员工找到并将它插到联网的计算机上,从而使隔离的网络感染上恶意软件)等策略的破坏。