什么是恶意有效负载?

恶意有效负载是网络攻击中造成危害的部分。恶意有效负载可能在计算机或网络上休眠数秒钟甚至数月,然后才会被触发。

Share facebook icon linkedin icon twitter icon email icon

恶意有效负载

学习目标

阅读本文后,您将能够:

  • 定义恶意有效负载
  • 描述一些分发和执行恶意有效负载的方法
  • 了解防范恶意有效负载的方法

什么是恶意有效负载?

在网络攻击中,有效负载是对受害者造成伤害的攻击组成部分。就像在特洛伊木马故事中隐藏在木马中的希腊士兵一样,恶意有效负载可能会休眠一段时间,不造成任何危害,直到被触发。

病毒、蠕虫和恶意软件等攻击媒介都可能包含一个或多个恶意有效负载。恶意有效负载还可能出现在电子邮件附件中,事实上,Symantec 报告称,每 359 封电子邮件中就有一封包含恶意附件,并且这一比例呈上升趋势。

恶意有效负载如何给受害者造成损害?

以下是恶意有效负载造成损坏的方式的一些典型示例:

  • 数据盗窃:特别常见的是通过各种形式的数据泄露盗窃敏感信息(如登录凭据或财务信息)。
  • 活动监视:恶意有效负载被执行后,可能会监控计算机上的用户活动,以实现监视、勒索用户,或收集可出售给广告商的用户活动等目的。
  • 展示广告:某些恶意负载会向受害者持久展示有害广告,例如弹出窗口和背后弹出窗口。
  • 删除或修改文件 :这是恶意有效负载引起的最严重后果之一。恶意有效负载可能会删除或修改文件,从而影响计算机的行为,甚至禁用操作系统和/或启动进程。例如,某些恶意有效负载专门“阻塞”智能手机,导致用户无法再打开或以任何方式使用手机。
  • 下载新文件:一些恶意有效负载以极轻便文件的形式存在,易于传播,但一旦执行,便会开始下载更大型的恶意软件。
  • 运行后台进程:恶意有效负载被触发后,也可能悄无声息地在后台运行进程,例如加密货币挖掘或数据存储进程。

恶意有效负载如何执行?

攻击者必须先找到一种方法,将恶意有效负载植入受害者的计算机。社会工程学攻击和 DNS 劫持是传播有效负载的两种常用方法。

有效负载进入受害者的计算机后,通常会处于休眠状态,直到被执行。攻击者可以通过许多不同的方法执行恶意负载。执行恶意有效负载的一些常见方法:

  • 打开可执行文件:例如,受害者下载他们以为是盗版软件的电子邮件附件,然后双击安装文件,导致系统执行有效负载。
  • 引发一系列特定的行为条件:这称为逻辑炸弹。例如,一个不道德的员工可能将逻辑炸弹集成到其公司网络中,该逻辑炸弹会不断检查该员工是否仍在工资单中。当他不再在工资单上时,逻辑炸弹将满足执行条件,从而执行恶意有效负载。
  • 打开某些不可执行的文件:即使某些不可执行的文件也可能包含恶意负载。例如,有些攻击将恶意有效负载隐藏在 .PNG 图像文件中。当受害者打开这些图像文件时,就会执行有效负载。

如何阻止恶意负载

由于分发和执行恶意有效负载的方法很多,因此也没有一招通用的防护方法。除了警惕网络钓鱼诈骗和其他社会工程学攻击外,每次下载文件或从 Internet 接收任何类型的数据时,都应采取安全措施。一个好的经验法则是,即使下载的文件看似来自受信任的来源,也须对其进行病毒扫描。