常見惡意軟體型別及危害

前言：資訊時代，無論是對家庭個人電腦還是對政府、銀行、醫療機構等單位的辦公用電腦，惡意軟體都是一個需要引起高度重視的問題。

資訊時代，無論是對家庭個人電腦還是對政府、銀行、醫療機構等單位的辦公用電腦，惡意軟體都是一個需要引起高度重視的問題。裝置如果感染了惡意軟體，將會造成什麼危害？這取決於裝置感染了哪種惡意軟體，因為每種惡意軟體都有其不同的目的與行為特徵。

下面我們就來介紹一下常見的惡意軟體及這些軟體都在使用者的裝置上做些什麼做了。

1、病毒與蠕蟲

病毒是能夠在整個檔案系統中複製自身的惡意軟體的通稱。病毒是一種非常常見的惡意軟體，通常會影響被感染裝置的效能。病毒需要由使用者手動啟動，或者透過被感染裝置上正在執行的應用程式來啟動。

雖然病毒需要使用者互動才能開始執行，但蠕蟲可能存在更大的問題，因為蠕蟲能夠無需使用者互動就自動傳播到其他計算機和網路。這會在一個單位內部網路中形成快速的傳播，因為蠕蟲可能透過單位內部網路的共享機制實現快速橫向傳播，感染多臺伺服器和關鍵裝置。

蠕蟲示例 - WannaCry

Wannacry在釋出時產生了巨大影響，它能夠透過搜尋面向公眾的中小型企業埠實現自動傳播，從而對世界範圍內的大量企業和政府都造成了巨大的威脅，並且導致了被感染單位的嚴重損失。

2、廣告軟體

惡意軟體在很大程度上會試圖逃避檢測，因為它們不希望使用者知道自己的裝置已經被感染。但是，如果使用者裝置感染了廣告軟體，由於裝置上將看到大量廣告，使用者通常會感受到該惡意軟體的存在。

廣告軟體示例 - DeskAd

DeskAd是一個典型的廣告軟體，一旦使用者裝置感染該軟體，它將逐步增加瀏覽器顯示的廣告量，並將使用者的網路流量重定向到惡意網站。

3、間諜軟體

間諜軟體將整理被感染裝置的隱私資料，如瀏覽器歷史記錄、GPS資訊、密碼、網購資訊等。然後，將這些資訊出售給第三方廣告商，或利用這些資訊實施網路詐騙。

間諜軟體示例 - Pegasus

Pegasus間諜軟體由以色列公司NSO開發，該軟體以iPhone為攻擊目標，透過該軟體，能夠獲取使用者手機的攝像頭和麥克風使用許可權。

4、勒索軟體

近年來，勒索軟體已經成為了一個重要的網路安全問題，這類惡意軟體也為其設計生產人員帶來了大量非法收入。

與大多數惡意軟體一樣，勒索軟體通常透過郵件分發，並被偽裝成doc、pdf等檔案形式。不知內情的使用者一旦開啟該檔案，就會被感染。

與大多數惡意軟體通常試圖逃避檢測不同，勒索軟體往往希望使用者知道裝置已經被感染。勒索軟體將首先刪除使用者裝置上的檔案備份，然後將磁碟上的所有檔案進行加密，使其無法訪問。

由於檔案備份都已經被刪除，勒索軟體將顯示一條訊息，告訴使用者，所有檔案都已加密，開啟檔案的唯一辦法是向攻擊者支付贖金。贖金一般需要以比特幣形式支付，勒索軟體一般還會指導使用者如何訪問暗網並進一步支付贖金等。

勒索軟體示例 - BlackMatter、Netwalker、Cerber

Blackmatter由REvil和Darkside兩個駭客組織聯手生產。這兩個組織是2020、2021兩年最多產的勒索軟體組織，它們也是2020年外匯巨頭Travelex被勒索事件、2021年美國管道公司Colonial Pipeline被勒索事件，以及2021年美國肉類加工巨頭JBS被勒索事件的始作俑者。

etwalker勒索軟體於2019年由駭客組織“馬戲團蜘蛛”建立。表面上看，Netwalker與大多數其他勒索軟體一樣，透過釣魚郵件進入使用者裝置，進而洩露並加密敏感資料，以達到勒索使用者並獲得贖金的目的。不幸的是，Netwalker不僅僅是將使用者的資料作為勒索手段。為了表明他們的強硬態度，駭客還會在網上洩露被盜資料的樣本，並聲稱，如果不能及時滿足其要求，他們將在暗網上釋出使用者的其餘資料。這一手段對於很多敏感資料被洩露的使用者而言，具有致命的殺傷力。

下面圖片顯示了一臺感染了勒索軟體Cerber的電腦的介面，以及駭客發給使用者的贖金警告：

】

5、鍵盤記錄器

鍵盤記錄器的鍵盤記錄功能對駭客而言非常有價值，因為，如果使用者在被感染裝置上輸入了密碼或者用於網購的金融賬戶資訊，惡意軟體就將捕獲這些資訊並將其傳輸給攻擊者，以便他們非法利用這些資訊。

鍵盤記錄器示例 - Remcos

我們利用Process Hacker工具安全地誘發了一個叫作Remcos的鍵盤記錄器。在下圖中，我們可以看到，在ProcessHacker工具的記錄中能夠發現Remcos正在記錄使用者鍵盤活動的證據。

在記錄中可以看到，惡意軟體啟動了鍵盤記錄器“ne Keylogger Started! }”，鍵盤記錄器記錄的按鍵資訊在磁碟上的儲存位置在“Users\Admin\AppData\Roaming\remocs\logs.dat”。用記事本等文字編輯器開啟該按鍵記錄日誌：

6、木馬和遠端訪問木馬

木馬軟體的名字來自於歷史悠久的特洛伊木馬。木馬軟體通常會被偽裝成正常軟體，如遊戲等可能吸引使用者的軟體，甚至可能會被偽裝成防毒軟體，但是，惡意軟體會在後臺執行。這一特點也增加了裝置感染木馬的可能性。

木馬通常還會使攻擊者能夠遠端訪問被感染裝置，從而導致被攻擊裝置中的各類檔案或資料被洩露，此類木馬也被稱為遠端訪問木馬（RAT）。

木馬和遠端訪問木馬示例 - Emotet

Emotet這個著名的遠端訪問木馬已經存在了多年，一直是世界各地各類機構和組織都面臨的問題。近年來，Emotet木馬活動激增，這說明，其背後的駭客團體並沒有消失。

7、Rootkit

前面幾類惡意軟體的惡意操作針對的都是裝置的作業系統，Rootkit則將其惡意操作瞄準了作業系統的基礎核心，即作業系統和裝置硬體的中間層。透過瞄準核心，Rootkit很難被防病毒系統檢測到，因為防病毒解決方案基本都在作業系統層而非核心層上執行。

Rootkit示例 - Necurs

Necurs是一個2012年就出現的Rookit，通常被用於大規模分發惡意垃圾郵件。

8、機器人/殭屍網路

被稱為機器人的被感染裝置被用於自動執行命令和任務。一旦感染了這種型別的惡意軟體，那麼被稱為機器人的裝置將自動呼叫被稱為C2的壞人的基礎設施。這是命令和控制的縮寫，因為攻擊者現在可以控制此裝置，並能夠發出將在裝置上執行的命令。

部署此類惡意軟體的攻擊者將試圖將其部署到成千上萬臺被稱為殭屍網路的裝置上。然後，攻擊者會從每臺裝置生成流量，並用他們控制的殭屍網路製造針對性的DDoS攻擊。

殭屍網路示例 - Mirai

Mirai惡意軟體是一個著名的殭屍網路，用於感染物聯網裝置。當冰箱和咖啡機等家用物品在幾乎沒有身份驗證的情況下獲得wifi功能時，同時也帶來了網路安全問題。最初，在這些產品的設計生產中，並未考慮網路安全問題，因此，任何人都可以對這些裝置進行身份驗證並連線到這些裝置。Mirai背後的攻擊者就利用了這種安全漏洞，這些裝置被Mirai感染，並被用於後續實施DDoS攻擊等惡意活動。

9、無檔案惡意軟體

無檔案惡意軟體通常使用PowerShell對使用者的作業系統實施攻擊，不會留下任何痕跡。這種型別的攻擊也被稱為零足跡攻擊。此類攻擊特別難檢測，因為它不依賴於將外部惡意（和可檢測的）二進位制檔案滲透到您的系統中。

無檔案惡意軟體示例 - PowerSploit

基於PowerShell的攻擊工具隨時可用，並常被攻擊者利用。PowerSploit是PowerShell模組的集合，每個模組都包含一組獨特的指令碼，可以在攻擊的多個階段用於執行偵察、特權升級和橫向移動等攻擊操作。

惡意軟體最常見的威脅載體是透過電子郵件，一種常見的手段是利用惡意的郵件，這些惡意郵件通常會包含在後臺執行指令碼的宏，將惡意軟體下載到使用者的辦公裝置上。如果收到惡意的電子郵件後，我們可以透過對傳送郵件的IP地址進行追溯，另一方面還可以建立高風險IP地址隔離機制，從源頭遏制惡意軟體，更好的保護我們的辦公環境和網路安全。