网络安全知识体系1.1恶意软件和攻击技术(二):恶意软件的分类

admin 2022年6月14日07:51:48评论25 views字数 2728阅读9分5秒阅读模式

1 恶意软件分类

 

有许多类型的恶意软件。创建一个分类法来系统地对各种恶意软件类型进行分类是很有启发性的。此分类法描述了每种类型的恶意软件的共同特征,因此可以指导制定适用于整个类别的恶意软件(而不是特定恶意软件)的对策。由于恶意软件技术和攻击操作有许多方面,可以根据这些方面对恶意软件进行分类和命名,因此我们的分类法可以包括许多维度。我们在下面讨论一些重要的问题应该记住,也可以使用其他更专业的属性,例如目标处理器体系结构或操作系统。

我们分类法的第一个维度是恶意软件是独立(或独立)程序,还是只是嵌入到另一个程序中的一系列指令。独立恶意软件是一个完整的程序,一旦安装在受感染的计算机上并执行,就可以自行运行。例如,蠕虫和僵尸网络恶意软件属于此类型。第二种类型要求主机程序运行,也就是说,它必须通过将计算机上的程序指令插入程序来感染该程序,以便在程序运行时也执行恶意软件指令。例如,文档病毒和恶意浏览器插件属于此类型。通常,检测独立恶意软件更容易,因为它本身就是一个程序或正在运行的进程,并且可以通过操作来检测其存在系统或安全工具。

第二个维度是恶意软件是持久性的还是暂时性的。大多数恶意软件作为独立恶意软件或已驻留在持久性存储中的另一个程序的感染安装在持久性存储(通常为文件系统)中。其他恶意软件驻留在内存中,因此,如果重新启动计算机或受感染的运行程序终止,则它不再存在于系统上的任何位置。驻留在内存中的恶意软件可以逃避许多依赖文件扫描的防病毒系统的检测。这种瞬态恶意软件还具有易于清理(或掩盖)其攻击操作的优点。恶意软件成为内存驻留的传统方法是在执行恶意软件程序(以前下载并安装)后立即将其从文件系统中删除。较新的方法利用PowerShell等系统管理和安全工具将恶意软件直接注入内存。例如,根据一份报告,在导致未经授权执行PowerShell的初始漏洞之后,使用PowerShell命令将meterpreter代码下载并注入内存。并在受感染的计算机上收集密码

第三个维度通常仅适用于持久性恶意软件,并根据安装和运行恶意软件的系统堆栈层对恶意软件进行分类。这些层(按升序排列)包括固件、引导扇区、操作系统内核、驱动程序和应用程序编程接口API)以及用户应用程序。通常,较低层中的恶意软件更难检测和删除,并且会造成更大的破坏,因为它可以更好地控制受感染的计算机。另一方面,编写可以安装在较低层的恶意软件也更难,因为存在更大的限制,例如,在类型和方面更有限的编程环境。允许的代码量。

第四个维度是恶意软件是否自动运行和传播,还是由用户操作激活。当自动传播的恶意软件运行时,它会在互联网上查找其他易受攻击的计算机,破坏这些计算机并在其上安装自己;这些新感染的计算机上的恶意软件副本会立即执行相同的操作-运行和传播。显然,自动传播的恶意软件可以非常迅速地在互联网上传播,通常能够以指数方式增加受感染计算机的数量。另一方面,用户激活的恶意软件仅在计算机上运行,因为用户意外下载并执行了它,例如,通过单击收到的电子邮件中的附件或URL。更重要的是,当此恶意软件运行时,尽管它可以“传播”,例如,通过发送将自己作为用户通讯簿中联系人附件的电子邮件,但除非收到此电子邮件的用户激活恶意软件,否则这种传播不会成功。

第五个维度是恶意软件是静态的还是一次性的,还是动态更新的。大多数现代恶意软件都由基础结构支持,以便受感染的计算机可以从恶意软件服务器接收软件更新,也就是说,在受感染的计算机上安装了新版本的恶意软件。从攻击者的角度来看,更新恶意软件有很多好处。例如,更新的恶意软件可能会逃避基于旧恶意软件实例特征的检测技术。

第六个维度是恶意软件是单独行动还是作为协调网络(即僵尸网络)的一部分。虽然僵尸网络负责许多网络攻击,如DDoS垃圾邮件,网络钓鱼等,但孤立的恶意软件以针对性攻击的形式变得越来越普遍。也就是说,恶意软件可以专门设计用于感染目标组织,并根据组织中对攻击者有价值的资产执行恶意活动。

网络安全知识体系1.1恶意软件和攻击技术(二):恶意软件的分类

大多数现代恶意软件使用某种形式的混淆来避免检测(因此我们没有在此分类法中明确包含混淆)。有一系列混淆技术,并且Internet上有可供恶意软件作者使用的工具。例如,多态性可用于击败基于“签名”或恶意软件代码模式的检测方法。也就是说,可识别的恶意软件功能将更改为对恶意软件的每个实例都是唯一的。因此,恶意软件实例看起来彼此不同但它们都维护相同的恶意软件功能。一些常见的多态恶意软件技术包括打包,这涉及压缩和加密部分恶意软件,以及将可识别的恶意指令重写为其他等效指令。


独立或主机程序

持续性或瞬时性

系统堆栈层

自动传播?

动态可更新?

协调?

病毒

主机程序

持续

固件及更新

Y

Y

Y

恶意浏览器扩展

主机程序

持续

应用

N

Y

Y

僵尸网络恶意软件

两种

持续

内核及更新

Y

Y

Y

内存驻留

独立

持续

内核及更新

Y

Y

Y

 

表 1:使用分类法对代表性恶意软件进行分类

举例来说,我们可以将此分类法应用于恶意软件的几种类型(或名称)。1。特别是,病毒需要主机程序才能运行,因为它通过将恶意代码序列插入程序来感染主机程序。当主机程序运行时,恶意代码将执行,除了执行预期的恶意活动外,它还可以查找要感染的其他程序。病毒通常是持久的,可以驻留在系统堆栈的所有层中,但硬件除外。它可以自行传播,因为它可以自动将自己注入程序中。病毒也可以动态更新,前提是它可以连接到恶意软件更新服务器。多恶意软件病毒可以自行变异,使新副本看起来不同,尽管此突变的算法嵌入到其自己的代码中。病毒通常不是协调网络的一部分,因为虽然感染可以影响许多计算机,但病毒代码通常不执行协调活动。

网络安全知识体系1.1恶意软件和攻击技术(二):恶意软件的分类

其他需要主机程序的恶意软件包括恶意浏览器插件和扩展、脚本(例如,网页上的JavaScript)和文档宏(例如,宏病毒和PDF恶意软件)。这些类型的恶意软件可以动态更新,形成协调的网络,并且可以混淆。

僵尸网络恶意软件是指属于具有提供命令和控制的僵尸网络基础结构的协调网络的任何恶意软件。僵尸网络基础结构通常还提供恶意软件更新和其他后勤支持。僵尸网络恶意软件是持久的,通常经过混淆处理,通常驻留在内核、驱动程序或应用程序层中。一些僵尸网络恶意软件需要主机程序,例如,恶意浏览器插件和扩展,并且需要用户激活才能传播(例如,恶意JavaScript)。其他僵尸网络恶意软件是独立的,可以通过利用互联网上易受攻击的计算机或用户自动传播。这些包括特洛伊木马键盘记录程序勒索软件,点击机器人,垃圾邮件机器人,移动恶意软件等。

网络安全知识体系1.1恶意软件和攻击技术(一):介绍

原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1恶意软件和攻击技术(二):恶意软件的分类

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月14日07:51:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识体系1.1恶意软件和攻击技术(二):恶意软件的分类http://cn-sec.com/archives/1114115.html

发表评论

匿名网友 填写信息