什么是恶意软件？

恶意软件，或称“恶意程序”，其设计目的就是感染并破坏目标系统。恶意软件攻击是企业和个人都不得不面对的威胁，因此，强大的恶意软件防护措施至关重要。

本文介绍了恶意软件的历史与概念，阐述了最常见的恶意软件类型，并提出了一些防止恶意软件感染的措施。

恶意软件的定义

恶意软件就是如此。这种恶意软件会感染目标设备，从而造成危害。攻击者可能会传播恶意软件，以窃取数据或破坏敌对组织的网络。无论如何，他们都会在目标不知情的情况下进行这些行为，同时也会采取各种措施来降低被发现的几率。

恶意软件的历史

恶意软件的起源可以追溯到早期的计算概念。1966年，著名的数学家约翰·冯·诺伊曼发表了一篇名为《自复制自动机理论》的论文。这篇论文详细描述了恶意软件组件的形式和功能，从而揭示了未来可能面临的威胁。

冯·诺伊曼的预测是正确的。五年后，Creeper病毒开始了它的第一次恶意软件攻击，它像现代蠕虫一样在ARPANET设备之间传播。1982年，Rich Skrenta发明了Elk Cloner这一病毒，该病毒通过感染Apple DOS操作系统来传播恶意软件。

1988年，Morris Worm成为了第一个能够破坏互联网正常运行的恶意软件。短短几个月内，Morris Worm就感染了当时联网设备的10%。该病毒的创造者罗伯特·莫里斯也创造了历史，他成为了第一个因网络欺诈而被判有罪的人。

从那时起，新型恶意软件不断增多，从而让威胁行为者的手段更加多样化。1999年出现的Melissa病毒引发了第一次电子邮件病毒的恐慌。2000年，ILOVEYOU病毒则进一步增加了对用户的身份盗窃威胁。而2007年出现的Zeus病毒则是一种通过网络钓鱼方式传播的大规模特洛伊木马攻击方式。

在2010年代，勒索软件以及像Emotet这样的难以被检测到的恶意软件逐渐兴起。而像Mirai这样的僵尸网络则利用了不断扩展的物联网基础设施，从而导致DoS攻击的数量大幅增加。

在2020年代，出现了针对国家基础设施的针对性攻击（例如对Colonial Pipeline的攻击），同时，基于云服务的勒索软件也变得非常流行。这些现象使得那些不具备专业知识的人员也能实施攻击。

在2023年，全球范围内，各企业报告了超过60亿次恶意软件攻击。基于电子邮件的攻击数量正在增加，而基于网络的攻击则变得较为少见。不过，恶意软件仍然是最常见的网络攻击类型。

勒索软件攻击的数量已经有所下降，但那些备受关注的攻击却越来越频繁了。2023年，勒索软件的赎金金额也超过了10亿美元。这充分说明了加强安全措施和保持警惕的重要性。

恶意软件是如何运作的？

恶意软件会感染设备，并植入能够执行有害或犯罪行为的代码。病毒只是恶意软件中的一种类型而已。其他类型的恶意软件还包括特洛伊木马、蠕虫、间谍软件、广告软件、勒索软件、rootkit以及键盘记录器。这些恶意软件各自以不同的方式来攻击系统。

大多数感染都是由于……导致的。欺骗这种情况以多种方式出现。

• 钓鱼邮件会让受害者误以为其中的附件或链接是真实且无害的。
• 这些应用程序下载平台所承载的软件看起来很合法，但实际上却包含恶意软件。
• 这些虚假网站会在受害者点击弹窗或使用被篡改的数据字段时，传递恶意代码。
• 攻击者可以将恶意软件加载到USB闪存盘上，然后将其物理连接到目标设备上。
  
  

在感染发生后，恶意软件可能会立即开始运行，但也可以长时间停留在后台。攻击者可以选择任何时机来发动攻击。这些代理人会持续运作，直到被发现为止。并且被其管理者故意移除或禁用。

恶意软件可能会对目标造成严重的损害，也可能只产生轻微的影响。在最糟糕的情况下，企业可能会遭遇毁灭性的勒索软件攻击或数据泄露事件。这种严重的攻击会导致企业不得不支付巨额赔偿金，此外还可能因监管措施以及企业声誉受损而付出额外的成本。

恶意软件的类别

网络攻击者会采用各种手段来传播恶意软件。有些技术专门针对特定的应用程序或虚假网站进行攻击；而另一些技术则直接针对操作系统本身进行攻击。

各组织需要制定相应的政策来应对以下列出的各种威胁：

病毒

病毒是一种能够自我复制的程序，它们会在不同的应用程序和设备之间传播。病毒是最古老的恶意软件类型之一，而且对于互联网用户来说，它们可能是最熟悉的恶意软件了。

病毒有多种形式（其中一些将在下文中单独介绍）。例如，宏病毒会攻击像Microsoft Excel这样的应用程序所使用的内部程序。而引导扇区病毒则会对系统核心造成破坏；至于覆盖型病毒，它们在传播过程中会删除文件的内容。

特洛伊人

特洛伊病毒的行为就像传说中的“特洛伊木马”一样。攻击者会将恶意软件伪装成合法的应用程序、文档，甚至是视频游戏。这种伪装方式能够诱使目标用户打开被感染的文件，从而执行恶意软件的运作。

当用户激活这些木马程序时，恶意软件可以修改、删除或阻止数据。它们还可以将数据发送给威胁行为者，或者通过过度使用网络带宽来破坏系统的性能。

好消息是，潜在的受害者通常能够在病毒被感染之前就发现这种类型的恶意软件。只要用户定期更新威胁数据库，那么威胁检测系统就能识别出这些木马下载器。

示例/例子SocGholish是2024年最常见的木马病毒形式之一。这种病毒伪装成合法的浏览器更新程序。用户可以从看似合法的网站下载该更新程序，从而被诱导下载它。一旦成功安装后，SocGholish就会为其他恶意软件的传播创造机会，进而造成更大的破坏。

蠕虫

这些恶意软件之所以被称为“蠕虫”，是因为它们通过网络中的后门进入系统，并且无需人类干预就能自我复制。这类恶意软件会利用操作系统的漏洞来获取访问权限。一旦被植入系统，它们就会迅速在所有的网络基础设施中传播开来。

一旦进入该网络边界，蠕虫就会引发许多网络安全问题。常见的后果包括文件被删除、系统运行速度变慢、数据被窃取，以及系统资源被过度消耗。

示例/例子最著名的计算机蠕虫病毒就是Stuxnet。自2010年以来，该病毒一直攻击着伊朗的科研设施。Stuxnet病毒专门针对逻辑控制器进行攻击，导致核离心机的运行被中断，同时有超过1,000台设备受到损坏。

勒索软件

勒索软件会加密用户的操作系统或应用程序，从而限制用户的使用权，直到支付赎金为止。攻击者还可能采用数据泄露的手段进行敲诈，威胁在未支付赎金的情况下公开敏感信息。对于某些受害者来说，避免自己的个人信息被公开，可能成为他们支付赎金的更大动力。

大多数遭受攻击的公司选择支付赎金，但并非所有的赎金请求都能得到满足。大约46%的情况下，犯罪分子会以损坏的数据形式来返还数据。此外，还有80%的受攻击公司还会面临进一步的勒索软件攻击。

攻击者通常会进行预谋。多勒索攻击。在这些攻击中，犯罪分子会锁定系统并窃取敏感数据，同时要求受害者支付额外的费用才能恢复系统。

示例/例子在2024年6月，来自东欧的恶意软件团伙BlackSuit攻击了汽车供应商CDK Global的IT系统。这次系统崩溃给合作伙伴的经销商带来了近10亿美元的损失，而最终需要支付的赎金则达到了5000万美元。

间谍软件

间谍软件在后台运行，其组件会收集用户的活动信息以及用户的身份相关数据。间谍软件可以感染桌面电脑和笔记本电脑的浏览器，不过所有的应用程序和移动设备都可能是其攻击的目标。

示例/例子在2010年代，Pegasus间谍软件从全球各地记者的设备上收集数据。该软件由以色列的NSO集团开发，几乎无法被检测出来，其影响范围覆盖了超过5万个目标。

键盘记录器

键盘记录器与间谍软件类似，但它们有着特定的功能。它们会在幕后运行，收集受害者每次按键所产生的数据。如果键盘记录器能够避免被检测到，那么恶意软件团队就可以获取用户的登录凭据、财务信息以及其他有价值的信息。

示例/例子DarkHotel攻击利用了键盘记录器来针对酒店进行攻击。通常情况下，酒店会提供不安全的无线网络服务——这恰恰为恶意软件的传播提供了理想的环境。此外，DarkHotel还能在持续运行一段时间后删除所有痕迹，从而避免被检测出来。

根套件

Rootkits是一种非常强大的工具，它们能让网络犯罪分子控制系统的运行。这种恶意软件会针对网络和设备的“核心部分”进行攻击。

Rootkits针对的是诸如服务器、管理程序、操作系统或内核这样的基础设施。这种攻击方式使得攻击者能够获得广泛的管理权限，从而窃取数据或造成系统故障。

此外，Rootkit攻击通常会为后续的恶意软件攻击铺平道路。拥有管理员权限的黑客可以轻松地隐藏键盘记录器或间谍软件。

示例/例子在2018年，Zacinlo这种rootkit攻击手段造成了巨大的破坏。它通过使用虚假的VPN来在Windows 10系统中植入恶意软件。被感染的系统会同时具备广告软件和间谍软件的功能。

广告软件

广告软件是一种恶意软件，它会强制目标应用程序或设备显示数字广告。复杂的广告软件还会跟踪用户的操作行为。这些软件利用这些数据来投放广告，并创建用户档案，以便将其出售给其他威胁行为者。

大多数广告软件的攻击方式并不涉及独立的恶意软件程序。攻击者会将广告软件与看似合法的应用程序或浏览器扩展程序结合在一起。当用户打开这些应用程序或使用网络时，就会看到广告弹窗出现。

示例/例子由中国制造的Fireball广告程序已经感染了超过2.5亿台设备，使得这些设备的网络浏览器变成了用于投放广告的“僵尸程序”。

无文件恶意软件

与其他类型的恶意软件不同，无文件型恶意软件不会在目标系统上植入单独的代理程序。相反，这种恶意软件会修改系统文件，从而创建后门通道。

后门程序允许访问网络资源，但它们往往看起来像正常的工具。这种策略使得无文件攻击难以被检测到，因此定期更新这些程序就显得非常重要。

无文件攻击可以针对多种目标。GootKit和Kovter攻击则会改变Windows注册表中的代码。而Duqu蠕虫则存在于系统内存中，而脚本式攻击则可以将恶意软件植入到文档以及其他合法文件的代码中。

示例/例子在2017年发生的Equifax攻击事件中，攻击者使用了无文件攻击手段来窃取1.43亿美国人的个人信息。在这起攻击中，攻击者利用了未打补丁的Apache Struts Java框架作为攻击手段。

高级恶意软件

也被称为高级持续性威胁（APTs），这类高级恶意软件……更难被检测和清除与传统的恶意软件相比，使用高级恶意软件的黑客拥有更强的指挥和控制能力。他们可以指定要窃取的数据内容，以及数据的传播方式。

在攻击发生后，那些高级恶意软件会退回到后台，或者从网络基础设施中删除自己。这样一来，就很难追踪到攻击的源头，以及被提取出来的数据的去向了。

高级恶意软件通常与勒索软件攻击相关，其中包括像CryptoLocker和Cryptowall这样的知名恶意程序。由于成功实施勒索软件攻击所带来的严重后果，因此在攻击发生之前对高级威胁进行研究和防范显得至关重要。

如何检测恶意软件

恶意软件防护是安全团队面临的一项至关重要任务。幸运的是，企业有许多方法可以在遭受损害之前检测到感染或攻击的企图。

检测方法包括：

• 基于签名的检测这些工具会寻找恶意软件代理所留下的特征签名。这是一种被动式的检测方式，用于识别正在进行的攻击行为。不过，它并不能真正防止病毒的感染。
• 静态文件分析这些工具会分析单个文件中的可疑代码标记。此外，它们还会对下载的文件相关数据进行评估，比如源IP地址、加密哈希值以及文件头数据等。还可以进行校验和的计算。