学习笔记之恶意软件

1.  What

1) 恶意软件历史；

2) 恶意软件类型；

3) 常见的攻击媒介；

4) 抵御恶意软件。

恶意软件不只是过去存在的，也包括最新版本。经过很多年的发展已经变得更基础。恶意软件的不断变化的威胁却从没有改变。从前恶意软件仅限于病毒和蠕虫。如今它包括了间谍软件、勒索软件，甚至犯罪软件工具包。恶意软件对个人用户和企业来说都是巨大的威胁，它可以导致数据泄露、金融损失、系统瘫痪等严重后果。

3.  How

理解和应对恶意软件威胁的最好办法是探索他的背景并了解我们是如何走到今天的。恶意软件从前并不存在，直到1984年Fred Cohen创造了计算机病毒这个词。他当时正在完成他的博士论文，需要一个词语来描述自我复制的程序，一位顾问建议他把这种代码成为计算机病毒。

蠕虫出现不久，第一个计算机蠕虫病毒Morris蠕虫病毒在1988年发布。从那时起，恶意软件的不断壮大，演变成为很大的威胁。最早期的恶意软件作者并没有从他们的劳动盈利，他们的回报和收益是把自己的能力推销给别人。一切都在2000年左右发生了变化，可能因为所有年轻的恶意软件作者长大了需要以此为生，恶意软件的开发目的变得为了利益、间谍、恐怖主义等原因。恶意软件的作者也开始关注对具体个人和公司进行攻击。钓鱼攻击走红并发展宏伟更有针对性的“鱼叉式网络钓鱼”的攻击，最重要的是动机从成名变成赚取利益。

3.2恶意软件类型

1）病毒

早起病毒的驱动概念是复制。这意味着病毒在发现和被解决之前尽可能快地复制就是成功的。普通用户可以通过非特权账户访问root下的程序。病毒在计算机世界传播的一些基本方式：主引导记录感染、文件感染、宏病毒感染。一个多型化病毒有三个主要组件：加密病毒体，解密子程序和变异引擎。

2）蠕虫

蠕虫并不像病毒可以自我复制，不注重主机文件并且都是独立的并自动跨网络传播。过去10至15年最知名的蠕虫是Conficker和Stuxnet。

3）逻辑炸弹

逻辑炸弹与病毒和蠕虫不同的地方在于他隐藏在实际的代码中。得名逻辑炸弹是因为恶意代码被放置在程序代码中，以便它在某些情况比如在特定时间或完成某个特定事件执行。

4）后门和木马

木马是那些看起来有用但实际上执行恶意行为的程序。在木马运行之前必须诱导用户下载假文件或折行某种操作。木马不像病毒或蠕虫有自行传播的能力，必须依靠不知情用户。即使提醒一个可能安装了木马的人，也并不能轻易地清除木马。检测木马的难点在于木马通常是不可见的。通常木马户通过加壳、加密、包装等方式隐藏。加壳的工作像压缩文件，但目的是为了混淆恶意软件的活动。加壳是能够绕过网络安全防御机制，壳会在内存中解压缩让源代码暴露。包装是能让黑客绕过正常防御的方法，也被称为粘合、打包或EXE粘合。加密程序功能是对代码进行加密或隐匿。

5）Rootkit

Rootkit是允许攻击者获得系统控制权的工具集合。Rootkit是一个显著威胁，因为他们可以掩护攻击者的踪迹，一旦被安装他就可以自由来去，他是攻击者保持访问的最好方式。目前Rootkit的真正风险是能让攻击者长时间地访问目标系统并不被发现。

6）犯罪软件

无论犯罪软件是什么类型，都包含以下组件：支持多种语言、提供点选环境、使用基于网络的接口、有防止用户复制或共享软件的控制机制。

7）僵尸网络

僵尸网络已经取代了过去的拒绝服务（DoS）攻击。由受感染的计算机组成的可以被远程访问并用于恶意活动是僵尸网络的最好形容。僵尸网络通常使用三类指挥与控制（C&C）结构：中央式、分布式和混合式。

8）高级持续性威胁

高级持续性威胁（APT）是由资金雄厚的有组织团体、国家性质的行动者或其他因为金钱和欲望向政府或企业妥协的人们创造的。APT代表一个不同的超出正常的威胁，因为很多公司不具备面对他的能力。

9）间谍软件和广告软件

间谍软件是不经同意就安装，隐藏在幕后，监控计算机和网络的使用情况，并被设置成随机计算机启动。监视或广告是一般间谍软件的两个目的。

3.3 常见的攻击媒介

前面讲述的恶意软件必须找到某种方式来针对他们的受害者。

1）社会工程

社会工程是通过欺骗获得某人不该给你的东西的行为。社会工程是最有潜在危险的攻击方式之一，因为他的目标并不直接是技术。一个拥有最好防火墙、IDS、网络设计、认证系统和访问控制的组织能被社会工程成功地攻击，这是因为社会工程的目标是人。

2）伪装

攻击者至少可以通过6种不同的方式伪装。冒充：假装是别人或别的东西。欺骗：谈话获取别人的IP地址、域名、MAC等。肩窥：穿过别人的肩膀来查看敏感信息。病毒恶作剧：假装是一个真正的病毒。尾随和躲避罪恶场所：尾随在别人后面或直接开过检查站。垃圾搜寻：在垃圾箱中挖掘贵重物品比如密码、使用手册、账户名等。

3）冒充电子邮件

这种攻击被用来冒充别人。一种常见的方法是家装自己是大型银行等大型组织。

a.网络钓鱼：试图欺骗用户提供财务或其他账户信息；

b.鱼叉式网络钓鱼：与网络钓鱼相似，但针对特定组织；

c.语言钓鱼：通过电话欺骗一个人；

d.捕鲸：瞄准重要用户的方法；

e.Spim:通过IM软件发送垃圾信息；

f.Spam:发送垃圾邮寄。

3.4 抵御恶意软件

3.4.1 预防检查

预防胜过治疗，程序可执行文件必须在运行前检查。在高安全控制环境中甚至包含sheep dip系统，sheep dip 系统可以筛选可疑软件并让他们在受控状态下访问网络。

1）特征扫描

特征扫描的工作方式与IDS的模式匹配系统相似。他会检查文件的开始和结束处有没有已知病毒的签名。

2）启发式扫描

启发式扫描是杀毒软件使用的另一种技术。它被用来检查计算机文件是否存在不规则或不寻常的命令。在现实中杀毒软件厂商必须平衡启发式扫描，因为他们不想造成假性的报警或失败的扫描。许多杀毒软件厂商会对不同类型的行为使用计分系统。只有计分超过阈值才会触发警报。

3）完整性检查

通过建立文件校验值或散列值的数据库来检测文件完整性。这些数值被保存在一个文件中，会对文件周期地进行扫描并将结果与数据库比对，有助于防止程序可执行文件的更改。

4）活动阻塞

用于阻止病毒运行并拦截其他程序的拦截器，通常被设计出随计算机启动。

3.4.2 文件完整性验证

在发现恶意软件时检查文件完整性至关重要。这种技术的实际例子有Windows文件保护（WFP）和MD5SUM等。保护关键的操作系统文件有助于防止恶意软件的问题。得到这种保护的另一种方法是Tripwire。他是用于检测文件和应用程序所做的任何更改并让你监控关键系统文件和目录的完整性的一个很好的工具。

3.4.3 用户教育

讲述了不同的恶意软件和一些部署恶意软件的技巧。网络犯罪份子利用各种技巧来引诱毫无戒心的员工作为访问你系统的媒介，应对这些威胁的一种有效方法就是教育用户，更安全的使用计算机。

4. Conclusion

本文讲述了不同类型的恶意软件，其中包括：病毒、蠕虫、木马、后门、犯罪和间谍软件。病毒会导致数据丢失，还可能覆盖BIOS（Basic Input Output System 从字义上称为“基本输出输入系统”，专门负责系统硬件各种参数设定，本质上是“程序”，也就是一组“代码”。）这会让你的硬件无法使用。木马另一种真正的威胁，大多数现代的木马程序专为获取经济利益。他们可以记录键盘、捕获密码等得到对系统的控制。最好的防守方式就是从已知来源的地方下载程序。木马可能不总是直接使用，也可能被社会工程或其他类型的钓鱼行为适用，在系统运行邮件和附件前先检查。Rootkit可怕的地方在于他能让攻击者在受害者的系统上无限期的隐藏。一旦被系统Rootkit感染，用户最好用Rootkit检测工具进行扫描，但可能需要重装系统，不应安装备份，因为你不知道备份是否健康的。本文最后的 僵尸网络和犯罪软件，他们可以安装在多个位置，隐藏自己的活动，并用好几种方法偷出数据，一旦系统被感染，只有重新安装系统能解决问题。

5. Review

个人思考与感悟如下：

随着网络的发展，信息的传播越来越快捷，同时也给病毒的传播带来便利，互联网的普及使病毒在一夜之间传遍全球成为可能。现在，几乎每一位电脑用户都有过被病毒感染的经历。经历过病毒入侵，文件丢失，系统损坏的用户，都会意识到病毒的危害性，也有了防范病毒的意识。　要想有效的防范病毒，要做到以下几方面：

1）及时给系统打上补丁，设置一个安全的密码。

2）安装杀毒软件。

3）定期扫描你的系统如果你刚好是第一次启动防病毒软件，最好让它扫描一下你的整个系统。

4）更新你的防病毒软件 既然你安装了病毒防护软件，就应该确保它是最新的。

5）不要乱点击链接和下载软件,特别是那些网站的含有明显错误的网页.如需要下载软件,请到正规官方网站上下载。

6）不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页。

7）关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度。

8）安装软件时,切记莫要安装其携带软件,特别流氓软件,一旦安装了,想删都删除不了,一般都需要重装系统才能清除。

9）不要轻易执行附件中的EXE和COM等可执行程序 这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。

10）不要轻易打开附件中的文档文件，对方发送过来的电子函件及相关附件的文档，首先要用“另存为…”命令(“Save As…”)保存到本地硬盘，待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档，会自动启用Word或 Excel，如有附件中有计算机病毒则会立刻传染;如有“是否启用宏”的提示，那绝对不要轻易打开，否则极有可能传染上电子函件计算机病毒。

11）不要直接运行附件，对于文件扩展名很怪的附件，或者是带有脚本文件如*.VBS、*.SHS等的附件，千万不要直接打开，一般可以删除包含这些附件的电子函件，以保证计算机系统不受计算机病毒的侵害。

12）邮件设置如果是使用Outlook作为收发电子邮件软件的话，应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“安全”中设置“附件的安全性”为 “高”;在“其他”中按“高级选项”按钮，按“加载项管理器”按钮，不选中“服务器脚本运行”。最后按“确定”按钮保存设置。

13）慎用预览功能。

14）卸载Scripting Host 对于使用Windows 98操作系统的计算机，在“控制面板”中的“添加/删除程序”中选择检查一下是否安装了Windows Scripting Host。如果已经安装，请卸载，并且检查Windows的安装目录下是否存在Wscript.exe文件，如果存在的话也要删除。因为有些电子函件计算机病毒就是利用Windows Scripting Host进行破坏的。

15）警惕发送出去的邮件对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送。

原文始发于微信公众号（CTS纵横安全实验室）：学习笔记之恶意软件