【安全与风险】恶意软件:概念、攻击和检测
恶意软件:概念、攻击和检测
- 恶意软件的定义
- 恶意软件的类型
- 易损性
- 如何防范恶意软件:终端用户的观点
- 不足
- 防病毒软件
- 基于主机的恶意软件检测
- 特征检测
- 启发式检测
- 数据收集挑战
- 沙箱分析
- 蜜罐
恶意软件的定义
Malware一词是恶意软件的缩写。
恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。
恶意软件通常是由黑客团队创建的:
- 通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。
- 然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
恶意软件的类型
病毒:就像它们的生物学名字一样,病毒将自己附着在另一个对象上(例如,干净的文件)并感染其他对象(例如,其他干净的文件)。它们可以不受控制地传播,破坏系统的核心功能,删除或损坏文件。它们通常以可执行文件(.exe)的形式出现。
特洛伊:这种恶意软件把自己伪装成合法软件,或者隐藏在被篡改过的合法软件中。它倾向于谨慎行事,并在您的安全中创建后门,让其他恶意软件进入。
间谍软件:毫无疑问,间谍软件是用来监视你的恶意软件。它隐藏在后台,记录你在网上做了什么,包括你的密码、信用卡号、冲浪习惯等等。
蠕虫病毒:蠕虫通过网络接口感染整个设备网络,无论是本地的还是跨互联网的。它使用每台连续感染的机器来感染其他机器。与病毒不同,它不需要附着在物体上就能自我复制。
勒索软件:这种恶意软件通常会锁定你的电脑和文件,并威胁要删除一切,除非你支付赎金(即一笔钱)。
广告软件:虽然在本质上并不总是恶意的,攻击性广告软件可以破坏你的安全只是为你提供广告——这可以让其他恶意软件很容易侵入。另外,让我们面对现实吧:弹出窗口真的很烦人。
僵尸网络:僵尸网络是由受感染的计算机组成的网络,它们在攻击者的控制下协同工作。
易损性
- 软件安全漏洞
恶意软件利用操作系统设计中的安全缺陷(安全漏洞或漏洞),应用程序(如浏览器,例如Windows XP支持的旧版Microsoft Internet Explorer),或易受攻击的浏览器插件(如adobeflash Player、adobeacrobat Reader或Java SE)。 - 过度特权的用户和过度特权的代码
设计糟糕的计算机系统中,用户和程序都可能被赋予超出他们应有的权限,恶意软件就可以利用这一点。
移动应用程序的例子:使用超过所需的传感器,否则无法安装。
如何防范恶意软件:终端用户的观点
除了安装杀毒软件,终端用户如何避免被恶意软件攻击?
- 不要相信网上的陌生人!“社交工程”,包括奇怪的电子邮件、突然的警报、虚假的个人资料和逗趣的offers,是传播恶意软件的头号方法。如果你不知道它到底是什么,就不要点击它。
- 仔细检查你的下载! 从盗版网站到官方商店,恶意软件经常潜伏在角落里。因此,在下载之前,一定要仔细阅读评论和评论,仔细检查提供者是否值得信赖。
- 安装一个广告拦截器! 恶意广告——黑客使用受感染的横幅或弹出式广告感染你的设备——正在上升。你无法知道哪些广告是坏的:所以用可靠的广告拦截器把它们都屏蔽掉会更安全。我推荐AdBlocker Ultimate。
- 小心你浏览的地方! 恶意软件可以在任何地方找到,但最常见的是后端安全性差的网站,比如小型本地网站。如果你坚持使用大型、信誉良好的网站,你遇到恶意软件的风险就会大大降低。
不足
不幸的是,即使你完全按照上面的建议去做,你仍然可能会感染恶意软件:黑客已经找到了将病毒潜入网络各个角落的方法。
为了获得真正的安全性,您需要结合:
- 健康的上网习惯。
- 强大可靠的反恶意软件,如反病毒软件,可以在恶意软件感染您的PC, Mac或移动设备之前检测并停止恶意软件。
防病毒软件
分析系统行为
分析二进制文件以确定它是否是病毒
基于主机的恶意软件检测
当我们说到恶意软件检测时,我们通常需要主机上的代理。代理需要分析主机上运行的进程、内存映射、系统调用等。
两种主要方法:
- 特征检测(signature-based detection)
- 启发式检测(Heuristic-based detection)
特征检测
找到一个可以识别病毒的“字符串”
- 有效载荷中的字符串
- 特定的系统调用
将新样本与已知特征匹配。
优点:
- 快速
- 在已知样本上准确
缺点:
- 对新样品不利
- 容易可规避的
启发式检测
分析程序行为
- 网络访问
- 文件打开
- 试图删除文件
- 尝试修改引导扇区
发现异常行为时发出警报
优点:更适合捕捉新的恶意软件
缺点:仍然会错过一些东西和规避一些东西
数据收集挑战
无论采用何种方法,关键的挑战之一是收集有关病毒/恶意软件的数据:
- 行为
- 配置文件
- 伤害
沙箱分析
收集恶意软件数据的主要方式
在受控环境中运行恶意软件(通常是虚拟环境)
记录所有系统调用,内存使用,网络流量
沙盒输出可用于构建签名
蜜罐
设置易损机器
可在互联网上查阅
等待感染发生
运行沙盒,收集数据
对新的恶意软件很好
Acknowledgements: Jiangtao Wang
【安全与风险】恶意软件:概念、攻击和检测相关推荐
- 如何预防恶意软件的攻击?10项防御措施来帮您!
在上一篇我们已经了解了最常见的十大恶意软件类型,那么针对如此复杂多样的恶意软件攻击,该采取什么措施保护自己免受恶意软件的威胁呢? 10项防范措施助您安全抵御恶意软件的攻击 1. 更新您的设备,操作系统 ...
- [免费专栏] ATTACK安全之Android车机证书攻击场景检测「检测系统代理」
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 ATTACK付费专栏长期更新,本篇最新内容请前往: [车联网 ...
- 抵御风险网站防攻击,国产浏览器能做的有很多
近几年,勒索软件攻击事件越来越多,教育和零售业.医疗保健机构.政府机构都成为攻击的受害方,勒索赎金常常高达数百万,严重影响机构的正常运营.勒索病毒一般通过程序木马.邮件.网站挂马等方式进行攻击,而浏览 ...
- 攻击的检测与防护方法
工业控制系统 攻击中的针对工业控制系统的攻击,不论在规模宏大的网络战(Cyberwar),还是在一般的网络 犯罪(Cybercrime)中,都可以发现 APT 的影子. 网络战中的 APT--Stux ...
- 异常检测概念、异常检测的思路、孤立森林Isolation Forest、局部异常因子LOF、OneClassSVM、EllipticEnvelop
异常检测概念.异常检测的思路.孤立森林Isolation Forest.局部异常因子LOF.OneClassSVM.EllipticEnvelop 目录
- mysql %3c%3e sql优化_SQL注入技术和跨站脚本攻击的检测(2)
2.3 典型的 SQL 注入攻击的正则表达式 /\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix 解释: \w* - 零个或多个字符或者下划线 ...
- 【传统网络】与【SDN】的【DDos攻击与检测】
DDos攻击 什么是 DDoS 攻击? 又有那些著名的案例? 拒绝服务(DoS)攻击可使目标计算机上的系统资源过期.停止服务并使其正常用户无法访问.当黑客使用网络上的两台或多台受攻击的计算机作为傀儡计 ...
- 基于SDN环境下的DDoS异常攻击的检测与缓解--实验
基于SDN环境下的DDoS异常攻击的检测与缓解--实验 基于SDN环境下的DDoS异常攻击的检测与缓解--实验 1.安装floodlight 2.安装sFlow-RT流量监控设备 3.命令行安装cur ...
- DDoS攻击流量检测方法
DDoS攻击流量检测方法 检测分类 1)误用检测 误用检测主要是根据已知的攻击特征直接检测入侵行为.首先对异常信息源建模分析提取特征向量,根据特征设计针对性的特征检测算法,若新数据样本检测出相应的特征 ...
最新文章
- List中remove()方法的陷阱,被坑惨了!
- RegeX —— 可视化正则表达式替换器
- python3最新稳定版本-Python 3.9.0 稳定版发布
- 03_TortoiseGit冲突和补丁演示,补丁冲突
- ftp文档服务器设置,ftp服务器基本设置
- 三相同步电机怎么接线图_智能电表怎么接线 单相 三相电表接线图大全
- linux添加qcc,Alpine Linux添加Let’s Encrypt CA证书或者自签CA证书
- 【kafka】kafkaProducer 拉取元数据的流程
- 学习python这门课的感受_关于我学习了编程小白的第一本Python入门书之后的感受 200110900207...
- 可靠性试验顺序应该如何安排?
- 【Golang】家庭收支记账软件
- linux双线双网卡双ip双网关设置方法,Linux双线双网卡双IP双网关设置方法
- 浅谈企业数据安全风险
- java保存图片_java 保存图片
- for 和 for...in 和 for...of
- Lifecycle使用篇
- Mac 显示隐藏文件 如.m2
- 7-65 字符串替换 (15 分) 本题要求编写程序,将给定字符串中的大写英文字母按以下对应规则替换: 原字母 对应字母 A Z B Y C X D W … … X C Y B Z A
- Yolov5:强大到你难以想象──新冠疫情下的口罩检测
- C++ STL常见容器