病毒、木馬、蠕蟲、rootkit和後門
病毒(computer virus)
wiki
計算機病毒是一種計算機程序,在執行時,通過修改其他計算機程序和插入自己的代碼來複制自己。當這種複製成功後,受影響的區域就被稱爲被計算機病毒“感染”了。
描述
病毒基本上可以被當做一個可以從一臺計算機傳播到另一臺計算機的程序。蠕蟲也是如此,但不同的是,==病毒通常必須將自己注入到可執行文件中才能運行。==當受感染的可執行文件運行時,它就可以傳播到其他可執行文件。爲了讓病毒傳播,它通常需要某種用戶干預。
比如你從你的郵件中下載了一個附件,並且它最終感染了你的系統,這將被認爲是一個病毒,因爲它要求用戶實際上打開文件。病毒有很多方法巧妙地將自己插入可執行文件。
有一種病毒稱爲空腔病毒,它可以將自己插入可執行文件的使用部分,因此不會損壞文件,也不會增加文件的大小。
目前最常見的病毒類型是宏病毒。可悲的是,這些病毒注入了微軟的產品,如 Word、 Excel、 Powerpoint、 Outlook等等。而且Office 很受歡迎,它也運行在 Mac 電腦上。
特洛伊木馬(Trojan Horse)
wiki
特洛伊木馬是指任何誤導用戶瞭解其真實意圖的惡意軟件。這個術語來源於古希臘故事中欺騙性的特洛伊木馬導致了特洛伊城的淪陷。
描述
木馬不會嘗試自我複製,而是通過僞裝成合法的軟件程序安裝到用戶系統中。一旦木馬程序被安裝在用戶的電腦上,==它不會像病毒一樣將自己注入到文件中,而是允許黑客遠程控制電腦。==感染了木馬病毒的計算機最常見的用途之一就是使其成爲殭屍網絡的一部分。
殭屍網絡基本上就是通過互聯網連接起來的一羣機器,這些機器可以被用來發送垃圾郵件或執行某些任務,如分佈式拒絕服務攻擊(Denial-of-service attack) ,這些攻擊會摧毀網站。
蠕蟲(Computer worm)
wiki
電腦蠕蟲是一個獨立的惡意軟件電腦程序,複製自己,以便傳播到其他電腦。它經常利用計算機網絡傳播自己,依靠目標計算機的安全故障來訪問它。它將使用這臺機器作爲主機來掃描和感染其他計算機。當這些新的被蠕蟲入侵的計算機被控制時,蠕蟲將繼續掃描並感染使用這些計算機作爲主機的其他計算機,這種行爲將繼續下去。計算機蠕蟲使用遞歸的方法在沒有主程序的情況下複製自己,並根據指數增長定律分發自己,從而在短時間內控制和感染越來越多的計算機。蠕蟲病毒幾乎總是對網絡造成至少一些損害,即使只是通過消耗帶寬,而病毒幾乎總是破壞或修改目標計算機上的文件。
描述
蠕蟲又可以分爲兩種,帶有載荷和沒有載荷的。
沒有載荷的蠕蟲,只是在網絡上覆制自己,並最終減慢網絡的速度,因爲蠕蟲病毒導致的流量增加。
帶有負載的蠕蟲會複製並嘗試執行一些其他任務,比如刪除文件、發送電子郵件或安裝後門。後門只是一種繞過身份驗證並獲得對計算機的遠程訪問的方法。這樣的蠕蟲就像“農夫山泉”,我不產毒,只是毒的搬運工。
蠕蟲的傳播主要是由於操作系統的安全漏洞。
Rootkit
wiki
Rootkit 是一組計算機軟件,通常是惡意軟件,被設計爲可以訪問計算機或者軟件中本不該訪問的區域(例如,非root對root文件的訪問) ,並經常掩蓋其存在或其他軟件的存在。術語 rootkit 是“ root”(類 unix 操作系統上特權帳戶的傳統名稱)和單詞“ kit”(指實現該工具的軟件組件)的混合物。“ rootkit”這個術語通過與惡意軟件的聯繫具有負面含義。
Rootkit 安裝可以自動化,或者攻擊者可以在獲得根或管理員訪問權限後安裝它。獲得這種訪問權限是對系統進行直接攻擊的結果,即利用已知的漏洞(如權限提升)或密碼(通過破解或“網絡釣魚”等社會工程策略獲得)。一旦安裝,==就有可能隱藏入侵併保持特權訪問。==對系統的完全控制意味着可以修改現有的軟件,包括可能被用來檢測或規避它的軟件。
Rootkit 檢測是困難的,因爲一個 Rootkit 可能會破壞軟件,目的是找到它。檢測方法包括使用可替代的可信操作系統、基於行爲的方法、簽名掃描、差異掃描和內存轉儲分析。刪除可能很複雜,或者幾乎不可能,特別是在 rootkit 駐留在內核中的情況下; ==重新安裝操作系統可能是解決這個問題的唯一可用的解決方案。==在處理固件 rootkit 時,刪除可能需要更換硬件或專用設備。
描述
Rootkit可以通過多種方式安裝,包括利用操作系統中的漏洞或獲得對計算機的管理員訪問權限。
只要Rootkit擁有完全的管理員權限,程序就會自動隱藏並修改當前安裝的操作系統和軟件,以防將來被發現。
Rootkit 也可以提供有效載荷,藉此它們可以隱藏其他程序,如病毒和密鑰記錄器。爲了在不重新安裝操作系統的情況下襬脫 rootkit,用戶需要首先啓動到另一個操作系統,然後嘗試清除 Rootkit,或者至少複製關鍵數據。
後門(computer backdoor)
後門是一種訪問計算機系統或加密數據的方法,這些數據繞過了系統通常的安全機制。
開發人員可能會創建一個後門,以便可以訪問應用程序或操作系統進行故障排除或其他目的。然而,攻擊者經常使用他們檢測到的後門,或者安裝後門作爲攻擊的一部分。在某些情況下,蠕蟲或病毒被設計成利用早期攻擊創建的後門。
無論是作爲一種管理工具、一種攻擊手段,還是作爲一種允許政府訪問加密數據的機制,後門都是一種安全風險,因爲總有威脅行爲者在尋找任何可以利用的漏洞。
後門可以有很大的不同。例如,其中一些是由合法的供應商實現的,而另一些則是由於編程錯誤而無意中引入的。開發人員有時在開發過程中使用後門,然後不從生產代碼中刪除後門。
後門通常也是通過惡意軟件安裝的。惡意軟件模塊可以作爲後門,也可以作爲一線後門,這意味着它作爲一箇中轉平臺,用於下載其他惡意軟件模塊,這些模塊是爲執行實際攻擊而設計的。
加密算法和網絡協議至少可能還包含後門。例如,2016年,研究人員描述了加密算法中使用的素數是如何被精心設計出來的,從而使對手能夠分解素數---- 從而破解之前被認爲是安全的加密算法的加密。
後門並不總是基於軟件,也不總是由流氓黑客組織創建的。2013年,德國《明鏡週刊》報道稱,美國國家安全局的特定入侵行動辦公室安全部門保存了一份後門目錄,用於植入防火牆、路由器和其他海外使用的設備。美國國家安全局還涉嫌將後門功能納入個人硬件組件,如硬盤驅動器,甚至 USB 電纜。
總結
最後,個人認爲,這些分類都是攻擊者實現後,人們爲了標記不同的惡意軟件起的名字。而他們並不會以爲人爲的分類而真正的獨立開來,現有的很多攻擊技術是綜合了多種不同的思想或者方法的,我們知道這些分類也是方便學習而已。
- 病毒
- 基本上是破壞或修改文件
- 遞歸自我複製
- 木馬
- 通過僞裝爲遠程攻擊做準備
- 蠕蟲
- 利用網絡複製
- 可以帶有載荷,攜帶其他惡意行爲
- rootkit
- 提升到特權權限,控制計算機。
- 後門
- 繞過安全防護的機制
- 可以是軟件也可以是算法,甚至是硬件