What is a malicious payload?

恶意有效负载是网络攻击中造成危害的部分。恶意有效负载可能在计算机或网络上休眠数秒钟甚至数月,然后才会被触发。

学习目标

阅读本文后,您将能够:

  • 定义恶意有效负载
  • 描述一些分发和执行恶意有效负载的方法
  • 了解防范恶意有效负载的方法

复制文章链接

什么是恶意有效负载?

在网络攻击中,有效负载是对受害者造成伤害的攻击组成部分。就像在特洛伊木马故事中隐藏在木马中的希腊士兵一样,恶意有效负载可能会休眠一段时间,不造成任何危害,直到被触发。

Attack vectors such as viruses, wurms, and malware can all contain one or more malicious payloads. Malicious payloads can also be found in email attachments, in fact Symantec has reported that one in every 359 emails in existence contains a malicious payload, and this ratio is trending upward.

恶意有效负载如何给受害者造成损害?

以下是恶意有效负载造成损坏的方式的一些典型示例:

  • 数据盗窃:特别常见的是通过各种形式的数据泄露盗窃敏感信息(如登录凭据或财务信息)。
  • 活动监视:恶意有效负载被执行后,可能会监控计算机上的用户活动,以实现监视、勒索用户,或收集可出售给广告商的用户活动等目的。
  • 展示广告:某些恶意负载会向受害者持久展示有害广告,例如弹出窗口和背后弹出窗口。
  • 删除或修改文件 :这是恶意有效负载引起的最严重后果之一。恶意有效负载可能会删除或修改文件,从而影响计算机的行为,甚至禁用操作系统和/或启动进程。例如,某些恶意有效负载专门“阻塞”智能手机,导致用户无法再打开或以任何方式使用手机。
  • 下载新文件:一些恶意有效负载以极轻便文件的形式存在,易于传播,但一旦执行,便会开始下载更大型的恶意软件。
  • 运行后台进程:恶意有效负载被触发后,也可能悄无声息地在后台运行进程,例如加密货币挖掘或数据存储进程。

恶意有效负载如何执行?

Attackers must first find a method to deliver the malicious payload onto the victim’s computer. Social engineering attacks and DNS hijacking are two common examples of payload delivery techniques.

有效负载进入受害者的计算机后,通常会处于休眠状态,直到被执行。攻击者可以通过许多不同的方法执行恶意负载。执行恶意有效负载的一些常见方法:

  • 打开可执行文件:例如,受害者下载他们以为是盗版软件的电子邮件附件,然后双击安装文件,导致系统执行有效负载。
  • 引发一系列特定的行为条件:这称为逻辑炸弹。例如,一个不道德的员工可能将逻辑炸弹集成到其公司网络中,该逻辑炸弹会不断检查该员工是否仍在工资单中。当他不再在工资单上时,逻辑炸弹将满足执行条件,从而执行恶意有效负载。
  • 打开某些不可执行的文件:即使某些不可执行的文件也可能包含恶意负载。例如,有些攻击将恶意有效负载隐藏在 .PNG 图像文件中。当受害者打开这些图像文件时,就会执行有效负载。

How to stop malicious payloads

As there are so many different methods for the distribution and execution of malicious payloads, there’s no simple panacea to mitigate them. In addition to being wary of phishing scams and other social engineering attacks, security measures should be taken whenever downloading files or receiving any kind of data from the Internet. A good general rule is to always run a virus scan on downloaded files, even if they appear to be from a trusted source.