恶意软件 | 什么是恶意软件以及如何抵御恶意软件攻击
什么是恶意软件?
作为旨在干扰计算机正常运行的软件,恶意软件是病毒、特洛伊木马和其他破坏性计算机程序的总称,威胁行为者利用这种软件来感染系统和网络以获取敏感信息。
恶意软件定义
恶意软件(即 Malware,“malicious software”的简称)是一种文件或代码,通常通过网络投放,可以感染、探测、窃取或实施攻击者想要的任何行为。而且由于恶意软件呈现出多种变体,感染计算机系统的方法也层出不穷。尽管恶意软件的类型和功能各不相同,但通常带着以下目标之一:
- 为攻击者提供远程控制以使用受感染的计算机。
- 从受感染的计算机向毫无戒心的目标发送垃圾邮件。
- 调查受感染用户的本地网络。
- 窃取敏感数据。
恶意软件类型:
恶意软件是所有类型恶意的软件的总称。恶意软件示例、恶意软件攻击定义和传播恶意软件的方法包括:
广告软件 – 虽然某些形式的广告软件可能被认为是合法的,但其他形式的广告软件会在未经授权的情况下访问计算机系统,对用户造成极大的干扰。
僵尸网络 – Botnet 是“机器人网络 robot network”的简称,指受感染计算机的网络,由使用命令和控制服务器的单个攻击方控制。僵尸网络具有高度通用性和适应性,能够通过冗余服务器和使用受感染的计算机中继流量来保持弹性。僵尸网络往往是当今 分布式拒绝服务 (DDoS) 攻击背后的部队。
加密劫持 – 是一种恶意加密挖矿(使用计算能力验证区块链网络上的交易并通过提供这种服务赚取加密货币的过程),当网络犯罪分子侵入企业和个人计算机、笔记本电脑和移动设备安装软件时就会发生。
恶意广告 – 恶意广告是“恶意软件 + 广告”的合成词,描述了通过在线广告传播恶意软件的做法。它通常涉及将恶意代码或载有恶意软件的广告注入合法的在线广告网络和网页。
多态恶意软件 – 上述任何类型的恶意软件,能够定期“变形”,改变代码的外观,同时保留内部的算法。软件表面外观的改变破坏了以传统病毒签名为基础的检测。
勒索软件 – 是一种犯罪商业模式,使用 恶意软件扣留有价值的文件、数据或信息以索取赎金。勒索软件攻击可能会使受害者的经营严重恶化甚至停业。
远程管理工具 (RAT) – 允许远程操作员控制系统的软件。这些工具最初是为合法用途而构建的,但现在被威胁行为者使用。RAT 支持管理控制,允许攻击者在受感染的计算机上为所欲为。它们很难被检测到,因为通常不会出现在正在运行的程序或任务列表中,并且操作经常被误认为是合法程序的操作。
Rootkits – 提供对计算机的特权(root 级别)访问的程序。Rootkits 各有不同,隐藏在操作系统中。
间谍软件 – 收集有关受感染计算机的使用信息并将其传回给攻击者的恶意软件。术语包括僵尸网络、广告软件、后门行为、键盘记录程序、数据盗窃和网络蠕虫。
特洛伊木马恶意软件 – 伪装成合法软件的恶意软件。一旦被激活,特洛伊木马恶意软件就会执行其编程设定的任何操作。与病毒和蠕虫不同,特洛伊木马不会通过感染进行复制或繁殖。“特洛伊木马”暗指一个神话故事:希腊士兵被藏在一匹木马里送给敌方特洛伊城。
病毒恶意软件 – 通过计算机或网络进行自我复制的程序。恶意软件病毒搭载在现有程序上,并且只能在用户打开程序时被激活。在最坏的情况下,病毒可能会损坏或删除数据、使用用户的电子邮件进行传播或擦除硬盘上的一切。
蠕虫恶意软件 – 利用安全漏洞自动在计算机和网络中自行传播的自我复制病毒。与许多病毒不同,恶意软件蠕虫不会附加到现有程序或更改文件。它们通常不会被注意到,直到复制达到消耗大量系统资源或网络带宽的规模。
恶意软件攻击的类型
恶意软件还使用各种方法将自身传播到初始攻击媒介之外的其他计算机系统。恶意软件攻击定义可以包括:
- 包含恶意代码的电子邮件附件可以被毫无戒心的用户打开并随后执行。如果这些电子邮件被转发,恶意软件可能会更深入地传播到企业中,从而进一步损害网络。
- 文件服务器,例如基于常见 Internet 文件系统 (SMB/CIFS) 和网络文件系统 (NFS) 的文件服务器,可以使恶意软件在用户访问和下载受感染文件时快速传播。
- 文件共享软件可以允许恶意软件将自身复制到可移动介质上,然后复制到计算机系统和网络。
- 点对点 (P2P) 文件共享可能会通过共享看似无害的文件(例如音乐或图片)来引入恶意软件。
- 可远程利用的漏洞使黑客能够访问系统,无论其地理位置如何,而几乎不需要或不需要计算机用户的参与。
了解如何使用 Palo Alto Networks 新一代 威胁防御 功能和 WildFire® 基于云的威胁分析 服务来保护您的网络免受已知和未知的各类恶意软件的攻击。
如何防止恶意软件:
使用各种安全解决方案来检测和 防止恶意软件。其中包括防火墙、新一代防火墙、网络入侵防御系统 (IPS)、深度数据包检测 (DPI) 功能、统一威胁管理系统、防病毒和反垃圾邮件网关、虚拟专用网络、内容过滤和数据泄露防御系统。为了防止恶意软件,所有安全解决方案都应使用各种基于恶意软件的攻击进行测试,以确保它们正常工作。必须使用强大的、最新的恶意软件签名库来确保针对最新攻击完成测试
Cortex XDR 代理在攻击生命周期的关键阶段将 多种预防方法结合在一起,叫停恶意程序的执行并停止合法应用程序的利用,而不考虑操作系统、终端的在线或离线状态,以及终端是连接到企业网络还是正在漫游。由于 Cortex XDR 代理不依赖于签名,因此它可以通过组合预防方法来防止零日恶意软件和未知漏洞利用。
恶意软件检测:
存在先进的恶意软件分析和检测工具,例如防火墙、入侵防御系统 (IPS) 和沙箱解决方案。某些恶意软件类型更容易检测,例如 勒索软件,它会在加密您的文件后立即暴露出来。其他恶意软件(例如间谍软件)可能会默默地保留在目标系统上,允许对手保持对系统的访问。无论恶意软件类型或恶意软件含义是什么,其可检测性如何或部署者是谁,恶意软件使用的意图始终是恶意的。
当您在端点安全策略中启用行为威胁防护时,Cortex XDR 代理还可以持续监视端点活动,以发现 Palo Alto Networks 识别的恶意事件链。
恶意软件去除:
防病毒软件可以清除大多数标准感染类型,而且有许多现成的解决方案可供选择。Cortex XDR 可在警报或调查之后对端点进行补救,让管理员可以选择开始各种缓解步骤,首先是隔离端点,禁用受害端点上的所有网络访问(与 Cortex XDR 控制台的流量除外),终止进程以阻止任何运行中的恶意软件继续在端点上执行恶意活动,并拦截其他执行,然后隔离恶意文件并将其从工作目录中移除(如果 Cortex XDR 代理尚未这样做)。
恶意软件防护:
为了保护您的企业免受恶意软件的侵害,您需要一个全面的企业级恶意软件防护战略。一般威胁是指不那么复杂的漏洞利用,结合了防病毒、防间谍软件和漏洞防护功能以及防火墙上的 URL 过滤和应用程序识别功能,更容易检测和预防。
有关恶意软件、其变体以及如何保护企业免受恶意软件侵害的更多信息,请下载我们的资源之一:
