常见恶意软件类型及危害

专注IP定位
• 阅读 68

前言:信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个需要引起高度重视的问题。

信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个需要引起高度重视的问题。设备如果感染了恶意软件,将会造成什么危害?这取决于设备感染了哪种恶意软件,因为每种恶意软件都有其不同的目的与行为特征。

下面我们就来介绍一下常见的恶意软件及这些软件都在用户的设备上做些什么做了。

1、病毒与蠕虫

病毒是能够在整个文件系统中复制自身的恶意软件的通称。病毒是一种非常常见的恶意软件,通常会影响被感染设备的性能。病毒需要由用户手动启动,或者通过被感染设备上正在运行的应用程序来启动。

虽然病毒需要用户交互才能开始运行,但蠕虫可能存在更大的问题,因为蠕虫能够无需用户交互就自动传播到其他计算机和网络。这会在一个单位内部网络中形成快速的传播,因为蠕虫可能通过单位内部网络的共享机制实现快速横向传播,感染多台服务器和关键设备。

蠕虫示例 - WannaCry

Wannacry在发布时产生了巨大影响,它能够通过搜索面向公众的中小型企业端口实现自动传播,从而对世界范围内的大量企业和政府都造成了巨大的威胁,并且导致了被感染单位的严重损失。

2、广告软件

恶意软件在很大程度上会试图逃避检测,因为它们不希望用户知道自己的设备已经被感染。但是,如果用户设备感染了广告软件,由于设备上将看到大量广告,用户通常会感受到该恶意软件的存在。

广告软件示例 - DeskAd

DeskAd是一个典型的广告软件,一旦用户设备感染该软件,它将逐步增加浏览器显示的广告量,并将用户的网络流量重定向到恶意网站。

3、间谍软件

间谍软件将整理被感染设备的隐私数据,如浏览器历史记录、GPS信息、密码、网购信息等。然后,将这些信息出售给第三方广告商,或利用这些信息实施网络诈骗。

间谍软件示例 - Pegasus

Pegasus间谍软件由以色列公司NSO开发,该软件以iPhone为攻击目标,通过该软件,能够获取用户手机的摄像头和麦克风使用权限。

4、勒索软件

近年来,勒索软件已经成为了一个重要的网络安全问题,这类恶意软件也为其设计生产人员带来了大量非法收入。

与大多数恶意软件一样,勒索软件通常通过邮件分发,并被伪装成doc、pdf等文件形式。不知内情的用户一旦打开该文件,就会被感染。

与大多数恶意软件通常试图逃避检测不同,勒索软件往往希望用户知道设备已经被感染。勒索软件将首先删除用户设备上的文件备份,然后将磁盘上的所有文件进行加密,使其无法访问。

由于文件备份都已经被删除,勒索软件将显示一条消息,告诉用户,所有文件都已加密,打开文件的唯一办法是向攻击者支付赎金。赎金一般需要以比特币形式支付,勒索软件一般还会指导用户如何访问暗网并进一步支付赎金等。

勒索软件示例 - BlackMatter、Netwalker、Cerber

Blackmatter由REvil和Darkside两个黑客组织联手生产。这两个组织是2020、2021两年最多产的勒索软件组织,它们也是2020年外汇巨头Travelex被勒索事件、2021年美国管道公司Colonial Pipeline被勒索事件,以及2021年美国肉类加工巨头JBS被勒索事件的始作俑者。

etwalker勒索软件于2019年由黑客组织“马戏团蜘蛛”创建。表面上看,Netwalker与大多数其他勒索软件一样,通过钓鱼邮件进入用户设备,进而泄露并加密敏感数据,以达到勒索用户并获得赎金的目的。不幸的是,Netwalker不仅仅是将用户的数据作为勒索手段。为了表明他们的强硬态度,黑客还会在网上泄露被盗数据的样本,并声称,如果不能及时满足其要求,他们将在暗网上发布用户的其余数据。这一手段对于很多敏感数据被泄露的用户而言,具有致命的杀伤力。

下面图片显示了一台感染了勒索软件Cerber的电脑的界面,以及黑客发给用户的赎金警告: 常见恶意软件类型及危害

5、键盘记录器

键盘记录器的键盘记录功能对黑客而言非常有价值,因为,如果用户在被感染设备上输入了密码或者用于网购的金融账户信息,恶意软件就将捕获这些信息并将其传输给攻击者,以便他们非法利用这些信息。 常见恶意软件类型及危害 键盘记录器示例 - Remcos

我们利用Process Hacker工具安全地诱发了一个叫作Remcos的键盘记录器。在下图中,我们可以看到,在ProcessHacker工具的记录中能够发现Remcos正在记录用户键盘活动的证据。 常见恶意软件类型及危害 在记录中可以看到,恶意软件启动了键盘记录器“ne Keylogger Started! }”,键盘记录器记录的按键信息在磁盘上的存储位置在“Users\Admin\AppData\Roaming\remocs\logs.dat”。用记事本等文本编辑器打开该按键记录日志:

6、木马和远程访问木马

木马软件的名字来自于历史悠久的特洛伊木马。木马软件通常会被伪装成正常软件,如游戏等可能吸引用户的软件,甚至可能会被伪装成杀毒软件,但是,恶意软件会在后台运行。这一特点也增加了设备感染木马的可能性。

木马通常还会使攻击者能够远程访问被感染设备,从而导致被攻击设备中的各类文件或数据被泄露,此类木马也被称为远程访问木马(RAT)。

木马和远程访问木马示例 - Emotet

Emotet这个著名的远程访问木马已经存在了多年,一直是世界各地各类机构和组织都面临的问题。近年来,Emotet木马活动激增,这说明,其背后的黑客团体并没有消失。

7、Rootkit

前面几类恶意软件的恶意操作针对的都是设备的操作系统,Rootkit则将其恶意操作瞄准了操作系统的基础内核,即操作系统和设备硬件的中间层。通过瞄准内核,Rootkit很难被防病毒系统检测到,因为防病毒解决方案基本都在操作系统层而非内核层上运行。

Rootkit示例 - Necurs

Necurs是一个2012年就出现的Rookit,通常被用于大规模分发恶意垃圾邮件。

8、机器人/僵尸网络

被称为机器人的被感染设备被用于自动执行命令和任务。一旦感染了这种类型的恶意软件,那么被称为机器人的设备将自动调用被称为C2的坏人的基础设施。这是命令和控制的缩写,因为攻击者现在可以控制此设备,并能够发出将在设备上执行的命令。

部署此类恶意软件的攻击者将试图将其部署到成千上万台被称为僵尸网络的设备上。然后,攻击者会从每台设备生成流量,并用他们控制的僵尸网络制造针对性的DDoS攻击。

僵尸网络示例 - Mirai

Mirai恶意软件是一个著名的僵尸网络,用于感染物联网设备。当冰箱和咖啡机等家用物品在几乎没有身份验证的情况下获得wifi功能时,同时也带来了网络安全问题。最初,在这些产品的设计生产中,并未考虑网络安全问题,因此,任何人都可以对这些设备进行身份验证并连接到这些设备。Mirai背后的攻击者就利用了这种安全漏洞,这些设备被Mirai感染,并被用于后续实施DDoS攻击等恶意活动。

9、无文件恶意软件

无文件恶意软件通常使用PowerShell对用户的操作系统实施攻击,不会留下任何痕迹。这种类型的攻击也被称为零足迹攻击。此类攻击特别难检测,因为它不依赖于将外部恶意(和可检测的)二进制文件渗透到您的系统中。

无文件恶意软件示例 - PowerSploit

基于PowerShell的攻击工具随时可用,并常被攻击者利用。PowerSploit是PowerShell模块的集合,每个模块都包含一组独特的脚本,可以在攻击的多个阶段用于执行侦察、特权升级和横向移动等攻击操作。

恶意软件最常见的威胁载体是通过电子邮件,一种常见的手段是利用恶意的邮件,这些恶意邮件通常会包含在后台运行脚本的宏,将恶意软件下载到用户的办公设备上。如果收到恶意的电子邮件后,我们可以通过对发送邮件的IP地址进行追溯,另一方面还可以建立高风险IP地址隔离机制,从源头遏制恶意软件,更好的保护我们的办公环境和网络安全。

点赞
收藏
评论区
推荐文章
李志宽 李志宽
1年前
防范黑客入侵,关闭端口封锁大门 黑客无法入侵
前言:这篇文章主要介绍了防范黑客入侵,关闭端口封锁大门黑客无法入侵的相关资料,需要的朋友可以参考下问:黑客通常是怎样入侵我们的电脑的?如何阻止黑客入侵呢?要做哪些防范工作?答:所谓病从口入,黑客入侵我们的电脑,必先进入电脑的“口”,这里所谓电脑的“口”,指的就是端口。我们知道,电脑与互联网进行通信都是通过端口来传输数据的,无论是正常的数据,还是黑客入侵时产
浩浩 浩浩
1年前
【Flutter实战】状态管理
3.2状态管理响应式的编程框架中都会有一个永恒的主题——“状态(State)管理”,无论是在React/Vue(两者都是支持响应式编程的Web开发框架)还是Flutter中,他们讨论的问题和解决的思想都是一致的。所以,如果你对React/Vue的状态管理有了解,可以跳过本节。言归正传,我们想一个问题,StatefulWidget的状态应该被谁管理?
专注IP定位 专注IP定位
1年前
网络安全信息与动态周报(8月30日-9月5日)
本周,互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况:境内计算机恶意程序传播次数约为7430.0万次,境内感染计算机恶意程序主机数量约为77.8万个。本周境内感染网
Karen110 Karen110
1年前
盘点那些年我们一起玩过的网络安全工具
大家好,我是IT共享者,人称皮皮。这篇文章,皮皮给大家盘点那些年,我们一起玩过的网络安全工具。一、反恶意代码软件1.Malwarebytes这是一个检测和删除恶意的软件,包括蠕虫,木马,后门,流氓,拨号器,间谍软件等等。快如闪电的扫描速度,具有隔离功能,并让您方便的恢复。包含额外的实用工具,以帮助手动删除恶意软件。分为两个版本,Pro和Free,Pro
李志宽 李志宽
1年前
想开发一个安全软件,怎么搞?
今天跟大家介绍一下,开发一个像360、QQ电脑管家这样的安全软件,有哪些核心技术,或者说哪些核心组件是必不可少的?反病毒引擎首先,第一个必不可少的就是反病毒引擎。安全软件最早的核心也就是这个东西,它的目的就是检测一个文件是不是恶意软件。反病毒引擎主要通过对文件进行静态分析,识别恶意文件的特征,与自己的病毒特征库进行匹配,来判断目标是否是恶意的。这里面主要用
Wesley13 Wesley13
1年前
java的char类型真的可以存汉字么?
今天偶尔看到一句话:ANSI编码表示英文字符时用一个字节,表示中文用两个字节,而unicode不管表示英文字符还是中文都是用两个字节来表示。我突然间对自己之前对java变量以Unicode编码存储产生了疑问。到底是以Unicode编码存储的还是和源文件使用的编码格式相同呢?联想到之前的一个问题java的char类型是否可以存储汉字,这个问题是
Python进阶者 Python进阶者
1年前
盘点那些年我们一起玩过的网络安全工具
大家好,我是IT共享者,人称皮皮。这篇文章,皮皮给大家盘点那些年,我们一起玩过的网络安全工具。一、反恶意代码软件1.Malwarebytes这是一个检测和删除恶意的软件,包括蠕虫,木马,后门,流氓,拨号器,间谍软件等等。快如闪电的扫描速度,具有隔离功能,并让您方便的恢复。包含额外的实用工具,以帮助手动删除恶意软件。分为两个版本,Pro和Free,Pro版
Wesley13 Wesley13
1年前
NEO从源码分析看UTXO交易
_0x00前言_社区大佬:“交易是操作区块链的唯一方式。”_0x01交易类型_在NEO中,几乎除了共识之外的所有的对区块链的操作都是一种“交易”,甚至在“交易”面前,合约都只是一个小弟。交易类型的定义在Core中的TransactionType中:源码位置:neo/Core/TransactionType
Wesley13 Wesley13
1年前
360对决手机恶意广告
近期一项微博调查显示,超过40%的安卓手机用户最苦恼于频繁遭受各种“牛皮癣”式的通知栏广告骚扰。360手机安全专家称,这其实是一种“通知栏广告插件”在作祟,目前已有超过5万款安卓应用内嵌了此类插件。360公司已经向此类手机流氓软件行为宣战:最新版360手机卫士成为全球第一款能主动拦截通知栏广告插件的安全软件,让手机用户远离“牛皮癣”广告的骚扰。“在安装
专注IP定位 专注IP定位
4个月前
Qakbot新型感染链:使用Windows7系统侧加载感染设备
前言:DLL侧加载(DLLsideloading)是一种常见的攻击方法,也就是我们常说的“白加黑”技术,它利用了Windows中处理动态链接库(DLL)的方式。Qakbot恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。近日,研究人员ProxyLife发现,从今年7月11日开始Qakbot滥用Windo