什麼是惡意軟體？病毒，蠕蟲，特洛伊木馬等有害程式

惡意軟體是病毒、蠕蟲、特洛伊木馬以及其他有害計算機程式的總稱，並且很早就一直存在。而惡意軟體隨著時間的失衡不斷髮展演變，駭客利用它來進行破壞並獲取敏感資訊。而阻止和打擊惡意軟體佔據了資訊保安專業人員的大部分工作時間。

惡意軟體的定義

Malware是惡意軟體的縮寫，正如微軟公司所說的那樣，“這是一個全面的術語，指的是任何旨在對計算機、伺服器或計算機網路造成損害的軟體。”換句話說，軟體基於其預期用途被識別為惡意軟體，而不是用於構建它的特定技術。

惡意軟體的型別

這意味著，惡意軟體和病毒之間的區別是一個問題：一個病毒就是一種惡意軟體，所以所有的病毒都是惡意軟體（但不是每一個惡意軟體都是病毒）。

還有許多不同的方法可以對惡意軟體進行分類：首先是惡意軟體的傳播方式。人們可能已經聽說過病毒、木馬和蠕蟲這幾個詞可以互換使用，但正如安全廠商賽門鐵克公司所解釋的那樣，它們描述了惡意軟體感染目標計算機的三種微妙的不同方式：

•蠕蟲是一種獨立的惡意軟體，可以自我複製，並從一臺計算機傳播到另一臺計算機。

•病毒是一段計算機程式碼，它將自身植入另一個獨立程式的程式碼中，然後強制該程式採取惡意行為並自行傳播。

•木馬是一種惡意程式，它不能自我複製，但會偽裝成使用者想要的東西，並誘使啟用，以便造成破壞和傳播。

惡意軟體也可以由攻擊者手動操作安裝在計算機上，其方法是獲取對計算機的物理訪問許可權或使用許可權提升來獲取遠端管理員訪問許可權。

對惡意軟體進行分類的另一種方法是，一旦它成功感染了受害者的計算機，它就會肆無忌憚實施破壞行為。

以下介紹一下惡意軟體使用的各種潛在攻擊技術：

•間諜軟體被Webroot Cybersecurity公司定義為“用於秘密收集不知情使用者資料的惡意軟體”。從本質上講，它會影響受害者在使用計算機時的行為，以及其傳送和接收的資料，通常是為了將該資訊傳送給第三方。鍵盤記錄程式是一種特定型別的間諜軟體，它記錄使用者所有的擊鍵行為，這種軟體非常適合竊取密碼。

•正如TechTarget公司所描述的，“rootkit是一個程式，或者是一組軟體工具，可以讓威脅實施者遠端訪問和控制計算機或其他系統。”它之所以如此得名，是因為它是一套工具（通常是非法的）在目標系統上獲得root訪問許可權（以Unix術語管理員級別的控制），並隱藏它們的存在。

•廣告軟體也是一種惡意軟體，它會強制人們的瀏覽器重定向到網路廣告，這些廣告通常會尋求進一步下載，甚至更多的惡意軟體。正如“紐約時報”所指出的那樣，廣告軟體經常提供一些誘人的“免費”節目，如遊戲或瀏覽器。

•勒索軟體是一種惡意軟體，可以加密硬碟驅動器的檔案並要求受害者支付費用，通常索取比特幣，以換取解密金鑰。在過去幾年中，一些備受矚目的惡意軟體在全球各地爆發，如Petya，這些都是勒索軟體。如果沒有解密金鑰，受害者就無法重新獲得對其檔案的訪問許可權。所謂的恐嚇軟體就是一種影子版本的勒索軟體，它聲稱控制了受害者的計算機並要求支付贖金，但實際上只是使用瀏覽器重定向迴圈這樣的技巧使它看起來好像造成了比實際更多的損害，並且不像勒索軟體可以相對容易地禁用。

•加密劫持（Cryptojacking）是攻擊者可以強迫受害者提供比特幣的另一種方式，只有在受害者不瞭解的情況下執行。加密挖掘惡意軟體感染受害者的計算機並使用其CPU週期來挖掘比特幣，以獲取利益。而挖掘軟體可以在作業系統的後臺執行，也可以在瀏覽器視窗中作為JavaScript執行。

任何特定的惡意軟體都有一些感染手段和行為類別。因此，例如，WannaCry是一種蠕蟲勒索軟體。並且一個特定的惡意軟體可能具有不同的形式，具有不同的攻擊向量：例如，Emotet銀行惡意軟體在木馬和蠕蟲中都被發現。

如果人們檢視2018年6月網際網路安全中心所列出的十大惡意軟體，可以讓人們對惡意軟體的型別有一個很好的認識。到目前為止，最常見的感染媒介是垃圾郵件，它誘使使用者啟用特洛伊木馬風格的惡意軟體。WannaCry和Emotet是列表中最流行的惡意軟體，而包括NanoCore和Gh0st在內的許多其他惡意軟體都被稱為遠端訪問特洛伊木馬或RAT，實質上是像特洛伊木馬一樣傳播的rootkit。像CoinMiner這樣的加密貨幣惡意軟體也在這個列表當中。

如何防止惡意軟體感染

垃圾郵件和網路釣魚電子郵件是惡意軟體感染計算機的主要媒介，防止惡意軟體感染的最佳方法是確保電子郵件系統安全嚴密，並且使用者知道如何發現危險。在此建議使用者結合應用，仔細檢查附加文件，並限制潛在危險的使用者行為，以及讓使用者瞭解常見的網路釣魚詐騙行為，以便他們的安全常識能夠發揮作用。

在涉及更多技術預防措施時，人們可以採取許多辦法和步驟，其中包括保持所有系統的修補和更新，儲存硬體清單，瞭解需要保護的內容，並對基礎設施執行持續的漏洞評估等。特別是在勒索軟體攻擊方面，採用的一種方法是始終對檔案進行備份，確保在硬碟加密時，人們則不需要支付贖金來取回這些檔案。

惡意軟體的防護

防病毒軟體是惡意軟體防護產品類別中最廣為人知的產品，儘管其名稱中存在“病毒”，但大多數產品都採用各種形式的惡意軟體。雖然高階安全專業人士認為它已經過時，但它仍然是防禦惡意軟體的基本支柱。根據AV-TEST公司最近的調查，目前最好的防病毒軟體來自卡巴斯基實驗室、賽門鐵克和趨勢科技這樣的安全產品供應商。

當涉及到更先進的企業網路時，端點安全產品可以提供針對惡意軟體的深度防禦。它們不僅提供人們希望從防病毒中獲得的基於簽名的惡意軟體檢測，還提供反間諜軟體、個人防火牆、應用程式控制，以及其他型別的主機入侵防護。調研機構Gartner公司提供了安全領域的首選名單，其中包括Cylance、CrowdStrike和Carbon Black的產品。

如何檢測惡意軟體

儘管人們付出了最大的努力，但在某些時候其系統被惡意軟體感染是完全可能的。

當使用者達到企業IT級別時，還可以使用更高階的可見性工具來檢視網路中發生的情況，並檢測惡意軟體感染。大多數形式的惡意軟體使用網路將資訊傳播或傳送回其控制器，因此網路流量包含人們可能會錯過的惡意軟體感染訊號，市場上有各種各樣的網路監控工具，基價格從幾美元到幾千美元不等。還有安全資訊與事件管理(SIEM)工具，它們是從日誌管理程式演變而來的。這些工具分析來自基礎設施中各種計算機和裝置的日誌，以查詢問題的徵兆，包括惡意軟體感染。安全資訊與事件管理(SIEM)供應商的範圍從像IBM和HPE公司這樣的行業巨頭到像Splunk和Alien Vault這樣的小型公司。

如何清除惡意軟體

一旦系統被感染，如何刪除惡意軟體實際上是一種代價高昂的過程。惡意軟體刪除是一項棘手的工作，該方法可能會根據人們正在處理的型別而有所不同。企業的首席安全官有關如何從rootkit、勒索軟體和加密劫持中刪除或以其他方式恢復的資訊。此外還有一個稽核Windows登錄檔的指南，以確定如何處理。

如果人們正在尋求採用更有效清理系統的工具，Tech Radar公司可以提供很好的免費產品，其中包含一些來自防病毒世界的知名公司，以及Malwarebytes等新公司。

惡意軟體的示例

在此已經討論了當前一些迫在眉睫的惡意軟體威脅。但是，漫長而傳奇的惡意軟體歷史可追溯到20世紀80年代由Apple II愛好者交換使用的受感染軟盤，以及1988年在Unix機器上傳播的Morris蠕蟲。其他一些高調的惡意軟體攻擊包括：

•ILOVEYOU，一種在2000年像野火一樣蔓延傳播的蠕蟲病毒，造成超過150億美元的損失。

•SQL Slammer，它在2003的首次快速傳播，在幾分鐘內將網際網路流量阻塞。

•Conficker，一種利用Windows中未修補的漏洞並利用各種攻擊媒介的蠕蟲 ，從注入惡意程式碼到網路釣魚電子郵件，最終破解密碼並將Windows裝置劫持到殭屍網路中。

•Zeus，這是一種針對銀行資訊的20000年之後出現的鍵盤記錄木馬軟體。

•CryptoLocker，第一次廣泛傳播的勒索軟體攻擊，其程式碼不斷在類似的惡意軟體專案中重新利用。

•Stuxnet，是一種非常複雜的蠕蟲病毒，它感染了全球的計算機，但只在一個地方造成了真正的物理破壞：摧毀了伊朗在納坦茲核設施的富鈾離心機，據稱這是美國和以色列情報機構開發的蠕蟲病毒。