常见恶意软件类型及危害

专注IP定位
• 阅读 432

前言:信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个需要引起高度重视的问题。

信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个需要引起高度重视的问题。设备如果感染了恶意软件,将会造成什么危害?这取决于设备感染了哪种恶意软件,因为每种恶意软件都有其不同的目的与行为特征。

下面我们就来介绍一下常见的恶意软件及这些软件都在用户的设备上做些什么做了。

1、病毒与蠕虫

病毒是能够在整个文件系统中复制自身的恶意软件的通称。病毒是一种非常常见的恶意软件,通常会影响被感染设备的性能。病毒需要由用户手动启动,或者通过被感染设备上正在运行的应用程序来启动。

虽然病毒需要用户交互才能开始运行,但蠕虫可能存在更大的问题,因为蠕虫能够无需用户交互就自动传播到其他计算机和网络。这会在一个单位内部网络中形成快速的传播,因为蠕虫可能通过单位内部网络的共享机制实现快速横向传播,感染多台服务器和关键设备。

蠕虫示例 - WannaCry

Wannacry在发布时产生了巨大影响,它能够通过搜索面向公众的中小型企业端口实现自动传播,从而对世界范围内的大量企业和政府都造成了巨大的威胁,并且导致了被感染单位的严重损失。

2、广告软件

恶意软件在很大程度上会试图逃避检测,因为它们不希望用户知道自己的设备已经被感染。但是,如果用户设备感染了广告软件,由于设备上将看到大量广告,用户通常会感受到该恶意软件的存在。

广告软件示例 - DeskAd

DeskAd是一个典型的广告软件,一旦用户设备感染该软件,它将逐步增加浏览器显示的广告量,并将用户的网络流量重定向到恶意网站。

3、间谍软件

间谍软件将整理被感染设备的隐私数据,如浏览器历史记录、GPS信息、密码、网购信息等。然后,将这些信息出售给第三方广告商,或利用这些信息实施网络诈骗。

间谍软件示例 - Pegasus

Pegasus间谍软件由以色列公司NSO开发,该软件以iPhone为攻击目标,通过该软件,能够获取用户手机的摄像头和麦克风使用权限。

4、勒索软件

近年来,勒索软件已经成为了一个重要的网络安全问题,这类恶意软件也为其设计生产人员带来了大量非法收入。

与大多数恶意软件一样,勒索软件通常通过邮件分发,并被伪装成doc、pdf等文件形式。不知内情的用户一旦打开该文件,就会被感染。

与大多数恶意软件通常试图逃避检测不同,勒索软件往往希望用户知道设备已经被感染。勒索软件将首先删除用户设备上的文件备份,然后将磁盘上的所有文件进行加密,使其无法访问。

由于文件备份都已经被删除,勒索软件将显示一条消息,告诉用户,所有文件都已加密,打开文件的唯一办法是向攻击者支付赎金。赎金一般需要以比特币形式支付,勒索软件一般还会指导用户如何访问暗网并进一步支付赎金等。

勒索软件示例 - BlackMatter、Netwalker、Cerber

Blackmatter由REvil和Darkside两个黑客组织联手生产。这两个组织是2020、2021两年最多产的勒索软件组织,它们也是2020年外汇巨头Travelex被勒索事件、2021年美国管道公司Colonial Pipeline被勒索事件,以及2021年美国肉类加工巨头JBS被勒索事件的始作俑者。

etwalker勒索软件于2019年由黑客组织“马戏团蜘蛛”创建。表面上看,Netwalker与大多数其他勒索软件一样,通过钓鱼邮件进入用户设备,进而泄露并加密敏感数据,以达到勒索用户并获得赎金的目的。不幸的是,Netwalker不仅仅是将用户的数据作为勒索手段。为了表明他们的强硬态度,黑客还会在网上泄露被盗数据的样本,并声称,如果不能及时满足其要求,他们将在暗网上发布用户的其余数据。这一手段对于很多敏感数据被泄露的用户而言,具有致命的杀伤力。

下面图片显示了一台感染了勒索软件Cerber的电脑的界面,以及黑客发给用户的赎金警告: 常见恶意软件类型及危害

5、键盘记录器

键盘记录器的键盘记录功能对黑客而言非常有价值,因为,如果用户在被感染设备上输入了密码或者用于网购的金融账户信息,恶意软件就将捕获这些信息并将其传输给攻击者,以便他们非法利用这些信息。 常见恶意软件类型及危害 键盘记录器示例 - Remcos

我们利用Process Hacker工具安全地诱发了一个叫作Remcos的键盘记录器。在下图中,我们可以看到,在ProcessHacker工具的记录中能够发现Remcos正在记录用户键盘活动的证据。 常见恶意软件类型及危害 在记录中可以看到,恶意软件启动了键盘记录器“ne Keylogger Started! }”,键盘记录器记录的按键信息在磁盘上的存储位置在“Users\Admin\AppData\Roaming\remocs\logs.dat”。用记事本等文本编辑器打开该按键记录日志:

6、木马和远程访问木马

木马软件的名字来自于历史悠久的特洛伊木马。木马软件通常会被伪装成正常软件,如游戏等可能吸引用户的软件,甚至可能会被伪装成杀毒软件,但是,恶意软件会在后台运行。这一特点也增加了设备感染木马的可能性。

木马通常还会使攻击者能够远程访问被感染设备,从而导致被攻击设备中的各类文件或数据被泄露,此类木马也被称为远程访问木马(RAT)。

木马和远程访问木马示例 - Emotet

Emotet这个著名的远程访问木马已经存在了多年,一直是世界各地各类机构和组织都面临的问题。近年来,Emotet木马活动激增,这说明,其背后的黑客团体并没有消失。

7、Rootkit

前面几类恶意软件的恶意操作针对的都是设备的操作系统,Rootkit则将其恶意操作瞄准了操作系统的基础内核,即操作系统和设备硬件的中间层。通过瞄准内核,Rootkit很难被防病毒系统检测到,因为防病毒解决方案基本都在操作系统层而非内核层上运行。

Rootkit示例 - Necurs

Necurs是一个2012年就出现的Rookit,通常被用于大规模分发恶意垃圾邮件。

8、机器人/僵尸网络

被称为机器人的被感染设备被用于自动执行命令和任务。一旦感染了这种类型的恶意软件,那么被称为机器人的设备将自动调用被称为C2的坏人的基础设施。这是命令和控制的缩写,因为攻击者现在可以控制此设备,并能够发出将在设备上执行的命令。

部署此类恶意软件的攻击者将试图将其部署到成千上万台被称为僵尸网络的设备上。然后,攻击者会从每台设备生成流量,并用他们控制的僵尸网络制造针对性的DDoS攻击。

僵尸网络示例 - Mirai

Mirai恶意软件是一个著名的僵尸网络,用于感染物联网设备。当冰箱和咖啡机等家用物品在几乎没有身份验证的情况下获得wifi功能时,同时也带来了网络安全问题。最初,在这些产品的设计生产中,并未考虑网络安全问题,因此,任何人都可以对这些设备进行身份验证并连接到这些设备。Mirai背后的攻击者就利用了这种安全漏洞,这些设备被Mirai感染,并被用于后续实施DDoS攻击等恶意活动。

9、无文件恶意软件

无文件恶意软件通常使用PowerShell对用户的操作系统实施攻击,不会留下任何痕迹。这种类型的攻击也被称为零足迹攻击。此类攻击特别难检测,因为它不依赖于将外部恶意(和可检测的)二进制文件渗透到您的系统中。

无文件恶意软件示例 - PowerSploit

基于PowerShell的攻击工具随时可用,并常被攻击者利用。PowerSploit是PowerShell模块的集合,每个模块都包含一组独特的脚本,可以在攻击的多个阶段用于执行侦察、特权升级和横向移动等攻击操作。

恶意软件最常见的威胁载体是通过电子邮件,一种常见的手段是利用恶意的邮件,这些恶意邮件通常会包含在后台运行脚本的宏,将恶意软件下载到用户的办公设备上。如果收到恶意的电子邮件后,我们可以通过对发送邮件的IP地址进行追溯,另一方面还可以建立高风险IP地址隔离机制,从源头遏制恶意软件,更好的保护我们的办公环境和网络安全。

点赞
收藏
评论区
推荐文章
阮小五 阮小五
1年前
新手教程|苹果电脑安装软件后,提示mac文件已损坏,无法打开怎么办?
对于刚刚入手Mac电脑,网上下载的APP,经常碰到弹窗提示「xxx已损坏,无法打开,您应该将它移到废纸篓」、「打不开xxx,因为Apple无法检查其是否包含恶意软件」、「打不开xxx,因为它来自身份不明的开发者」等问题,不用急,下面就教大家如何修复。
Wesley13 Wesley13
3年前
java的char类型真的可以存汉字么?
今天偶尔看到一句话:ANSI编码表示英文字符时用一个字节,表示中文用两个字节,而unicode不管表示英文字符还是中文都是用两个字节来表示。我突然间对自己之前对java变量以Unicode编码存储产生了疑问。到底是以Unicode编码存储的还是和源文件使用的编码格式相同呢?联想到之前的一个问题java的char类型是否可以存储汉字,这个问题是
小尉迟 小尉迟
1年前
苹果电脑安装软件后,提示mac文件已损坏,无法打开怎么办?
对于刚刚入手Mac电脑,网上下载的APP,经常碰到弹窗提示「xxx已损坏,无法打开,您应该将它移到废纸篓」、「打不开xxx,因为Apple无法检查其是否包含恶意软件」、「打不开xxx,因为它来自身份不明的开发者」等问题,不用急,下面就教大家如何修复。更多M
浩浩 浩浩
3年前
【Flutter实战】状态管理
3.2状态管理响应式的编程框架中都会有一个永恒的主题——“状态(State)管理”,无论是在React/Vue(两者都是支持响应式编程的Web开发框架)还是Flutter中,他们讨论的问题和解决的思想都是一致的。所以,如果你对React/Vue的状态管理有了解,可以跳过本节。言归正传,我们想一个问题,StatefulWidget的状态应该被谁管理?
李志宽 李志宽
3年前
想开发一个安全软件,怎么搞?
今天跟大家介绍一下,开发一个像360、QQ电脑管家这样的安全软件,有哪些核心技术,或者说哪些核心组件是必不可少的?反病毒引擎首先,第一个必不可少的就是反病毒引擎。安全软件最早的核心也就是这个东西,它的目的就是检测一个文件是不是恶意软件。反病毒引擎主要通过对文件进行静态分析,识别恶意文件的特征,与自己的病毒特征库进行匹配,来判断目标是否是恶意的。这里面主要用
Wesley13 Wesley13
3年前
360对决手机恶意广告
近期一项微博调查显示,超过40%的安卓手机用户最苦恼于频繁遭受各种“牛皮癣”式的通知栏广告骚扰。360手机安全专家称,这其实是一种“通知栏广告插件”在作祟,目前已有超过5万款安卓应用内嵌了此类插件。360公司已经向此类手机流氓软件行为宣战:最新版360手机卫士成为全球第一款能主动拦截通知栏广告插件的安全软件,让手机用户远离“牛皮癣”广告的骚扰。“在安装
专注IP定位 专注IP定位
2年前
Microsoft SQL服务器被黑客入侵 带宽被窃取
前言:MicrosoftSQL服务器被黑客入侵,带宽被窃取,用户却无法察觉。信息时代,保障数据安全尤为重要。黑客通过使用广告软件包、恶意软件,甚至入侵MicrosoftSQLServer,将电脑服务器转换为通过在线的代理服务器,从而产生收入。为了窃取设备的带宽,黑客安装了名为“proxyware”的软件,该软件会将设备的可用互联网带宽分配为代理服务器,
京东云开发者 京东云开发者
10个月前
代码的艺术-Writing Code Like a Pianist
前言如何评定一个系统的质量?什么样的系统或者软件可以称之为高质量?可以从三个角度来看,一是架构设计,例如技术选型、分布式系统中的数据一致性考虑等,二是项目管理,无论是敏捷开发还是瀑布式开发,都应当对技术负债进行清理,对代码进行重构等,最后离不开的是代码质量
京东云开发者 京东云开发者
6个月前
同样的APP为何在Android 8以后网络感觉变卡?
前言在无线网络技术不断发展的今天,WiFi已经成为了我们日常生活中不可或缺的一部分。无论是家庭娱乐、办公还是在线游戏,WiFi都在提供着便捷的互联网接入服务。然而,在安卓8.1后,为了进一步延长安卓设备的待机时间。原生安卓(AOSP等)默认开启了全局省电(
京东云开发者 京东云开发者
1个月前
【稳定性】稳定性建设之变更管理
作者:京东物流冯志文背景在软件开发和运维领域,变更管理是一个至关重要的环节。无论是对现有系统的改进、功能的增加还是修复漏洞,变更都是不可避免的。这些变更可能涉及到软件代码的修改、配置的调整、服务器的扩容、三方jar包的变更等等。然而,变更的执行过程往往伴随