Trace Id is missing
跳转至主内容
Microsoft 安全

什么是恶意软件?

学习有关恶意软件及其工作原理的详细信息,详细了解可如何保护你自己和你的企业免受此类网络攻击的影响。

恶意软件的定义

恶意软件是指损坏或破坏 终结点设备的正常使用的恶意应用程序或代码。当设备被恶意软件感染时,你可能会经历未经授权的访问、数据泄露或设备被锁定,直至你支付赎金为止。

散布恶意软件的人(称为网络罪犯)受金钱驱使,会使用受感染的设备发动攻击,例如获取银行凭据、收集可出售的个人信息、出售对计算资源的访问权限或向受害者勒索支付信息。

恶意软件是如何进行攻击的?

恶意软件通过使用诡计来阻碍设备的正常使用。一旦网络罪犯通过一种或多种不同的技术(例如网络钓鱼电子邮件、受感染的文件、系统或软件漏洞、受感染的 U 盘或恶意网站)进入了你的设备,他们就会利用这种情况发起更多攻击、获取帐户凭据、收集个人信息进行出售、出售对计算资源的访问权限或向受害者勒索金钱。

任何人都可能成为恶意软件攻击的受害者。尽管有些人可能知道如何识别攻击者试图通过恶意软件来攻击受害者的某些方式,例如知道如何识别网络钓鱼电子邮件,但网络罪犯很老练,他们会随着技术和安全改进而不断改进自己的方法。恶意软件攻击的外观和行为也因恶意软件的类型而异。例如,Rootkit 攻击的受害者可能甚至都不知道 Rootkit,因为此类恶意软件旨在尽可能长时间地潜伏并且不被发现。

以下是网络罪犯试图将恶意软件发送到设备的几种方式。

恶意软件的类型

恶意软件有多种形式 - 下面是一些常见类型。

网络钓鱼
 网络钓鱼 攻击装作是可靠来源,通过电子邮件、网站、短信或其他形式的电子通信来窃取敏感信息。这些攻击为恶意软件提供了一种传递机制。常见的攻击会窃取用户名、密码、信用卡详细信息和银行信息。这些类型的恶意软件攻击可能会导致身份盗窃或直接从某人的个人银行帐户或信用卡中盗取资金。

例如,网络犯罪分子可能假扮成一家知名银行,发送电子邮件来提醒某人其帐户因可疑活动而被冻结,敦促他们单击电子邮件中的链接来解决问题。一旦他们点击了链接,就会安装恶意软件。

间谍软件
间谍软件的工作原理是在未经他人同意或提供充分通知的情况下自行安装在设备上。安装后,它可以监视在线行为、收集敏感信息、更改设备设置并降低设备性能。

广告程序
与间谍软件一样,广告程序会在未经他人同意的情况下自行安装到设备上。但对于广告程序来说,重点是展示激进的广告,通常是弹出式的,通过点击量赚钱。这些广告经常会降低设备的性能。更危险的广告程序类型还可以安装其他软件、更改浏览器设置,并使设备容易受到其他恶意软件的攻击。

病毒
病毒旨在通过记录、破坏或删除设备的数据来干扰其正常运行。它们常常通过诱骗人们打开恶意文件将自己传播到其他设备。

漏洞利用和漏洞利用工具包
漏洞利用是指利用软件中的漏洞来绕过计算机的安全保护措施,从而感染设备。恶意黑客会扫描包含关键漏洞的过时系统,然后通过部署恶意软件来攻击它们。通过在漏洞利用中包含 shellcode,网络罪犯可以下载更多恶意软件,这些恶意软件会感染设备和侵入组织。

漏洞利用工具包包含一系列漏洞利用,可扫描不同类型的软件漏洞。如果检测到任何漏洞,这些工具包就会部署其他恶意软件。可能会被感染的软件包括 Adobe Flash Player、Adobe Reader、Web 浏览器、Oracle Java 和 Sun Java。Angler/Axpergle、Neutrino 和 Nuclear 是几种常见的漏洞利用工具包。

漏洞利用和漏洞利用工具包通常依赖于恶意网站或电子邮件附件来破坏网络或设备,但有时它们也会隐藏在合法网站的广告中,甚至网站都不知道。

无文件恶意软件
此类网络攻击描述了大量不依赖文件(如受感染的电子邮件附件)来破坏网络的恶意软件。例如,它们可能通过利用漏洞的恶意网络数据包到达,然后安装仅存在于内核内存中的恶意软件。无文件威胁尤其难以发现和删除,因为大多数防病毒程序都不是构建来扫描固件的。

宏恶意软件
你可能已经熟悉宏,也就是快速自动执行常见任务的方法。宏恶意软件通过感染电子邮件附件和 ZIP 文件来利用此功能。为了诱骗人们打开文件,网络罪犯经常将恶意软件隐藏在伪装成发票、收据和法律文件的文件中。

在过去,宏恶意软件更为常见,因为宏会在文档打开时自动运行。但在最新版本的 Microsoft Office 中,默认情况下会禁用宏,这意味着以这种方式感染设备的网络罪犯必须说服用户打开宏。

勒索软件
勒索软件 是一种恶意软件,它通过破坏或阻止对关键数据的访问,直到收到赎金,以此来威胁受害者。人为操作的勒索软件攻击通过常见的系统和安全错误配置来攻击组织,这些错误配置会渗入组织,浏览其企业网络,并适应环境和利用任何弱点。获取组织网络的访问权限以发送勒索软件的一种常见方法是通过凭据盗窃,网络罪犯可以窃取某个真正员工的凭据,冒充他们来访问其帐户。

使用人为操作的勒索软件的攻击者以大型组织为目标,因为他们与普通个人相比能支付更高的赎金 - 通常是数百万美元。由于这种规模的网络入侵事关重大,很多组织选择支付赎金,而不是让他们的敏感数据被泄露,或者遭受网络罪犯进一步攻击的风险,尽管支付赎金并不能保证不会遇到上面任何一种情况。

随着人为操作的勒索软件攻击的发展,攻击背后的犯罪分子变得更加有组织性。事实上,很多勒索软件操作现在使用勒索软件即服务模型,也就是说一群犯罪开发人员创建勒索软件本身,然后雇佣其他犯罪分子附属公司黑入某家组织的网络和安装勒索软件,按协商好的比率在两群人之间分配利润。

Rootkit
当网络罪犯使用 Rootkit 时,他们会在设备上尽可能长时间地隐藏恶意软件,有时甚至会隐藏数年,以便持续窃取信息和资源。通过拦截和更改标准操作系统进程,Rootkit 可能会更改设备报告的有关其自身的信息。例如,感染了 Rootkit 的设备可能无法显示正在运行的程序的准确列表。Rootkit 还可能会为网络罪犯提供管理或提升的设备权限,以便他们可以完全控制设备,并可以执行潜在的恶意操作,例如窃取数据、监视受害者以及安装其他恶意软件。

供应链攻击
此类恶意软件通过访问源代码、构建流程或更新合法应用中的机制来攻击软件开发人员和提供商。一旦网络罪犯发现了不安全的网络协议、未受保护的服务器基础结构或不安全的编码实践,他们就会闯入、更改源代码并在构建和更新过程中隐藏恶意软件。

技术支持骗局
技术支持骗局是一个全行业的问题,它使用恐吓策略诱使用户为不必要的技术支持服务付费,这些服务可能被宣传为修复与设备、平台或软件相关的伪造的问题。使用此类恶意软件,网络罪犯可能会直接打电话给某人并假装是某个软件公司的员工。他们获得了某人的信任后,攻击者通常会敦促潜在的受害者安装应用程序或允许远程访问其设备。

特洛伊木马
特洛伊木马依赖于用户在不知不觉中下载它们,因为它们看起来是合法的文件或应用。一旦下载,它们就可以:

  • 下载并安装其他恶意软件,例如病毒或蠕虫。
  • 使用受感染的设备进行点击欺诈。
  • 记录按键和你访问的网站。
  • 将有关受感染设备的信息(例如密码、登录详细信息和浏览历史记录)发送给恶意黑客。
  • 让网络罪犯控制受感染的设备。

不需要的软件
当设备有不需要的软件时,用户可能会遇到修改后的 Web 浏览体验、更改后的下载和安装控制、误导性消息以及对设备设置的未经授权的更改。一些不需要的软件与人们打算下载的软件捆绑在一起。

蠕虫病毒
蠕虫病毒主要存在于电子邮件附件、短信、文件共享程序、社交网站、网络共享和可移动驱动器中,通过利用安全漏洞和复制自身在网络中传播。蠕虫病毒可能会窃取敏感信息、更改安全设置或阻止访问文件,具体取决于其类型。

硬币矿工
随着加密数字货币的普及,硬币挖掘已成为一种有利可图的做法。硬币矿工使用设备的计算资源来挖掘加密数字货币。此类恶意软件的感染通常始于尝试安装恶意软件的电子邮件附件,或使用 Web 浏览器中的漏洞或利用计算机处理能力来将恶意软件添加到设备的网站。

使用复杂的数学计算,硬币矿工可以维护区块链分类账,以窃取允许矿工创建新硬币的计算资源。然而,硬币挖掘需要强大的计算机处理能力才能窃取相对少量的加密数字货币。出于此原因,网络罪犯经常以团队形式工作,以实现利润最大化和利润分配。

不过,并非所有的硬币矿工都是犯罪分子,个人和组织有时会购买硬件和电子设备来进行合法的硬币挖掘。当网络罪犯利用其知识侵入公司网络,以利用其计算能力进行挖掘时,该行为就构成犯罪。

恶意软件防护

虽然任何人都可能成为恶意软件攻击的受害者,但有很多方法可以防止攻击发生。

安装防病毒程序
最好的保护方式是预防。组织可以使用受信任的安全解决方案或反恶意软件服务(例如 Microsoft Defender for Endpoint 或 Windows Defender 防病毒)来阻止或检测许多恶意软件攻击。当你使用此类程序时,你的设备首先会扫描你尝试打开的任何文件或链接,以帮助确保她们是安全的。如果某个文件或网站是恶意的,该程序将提醒你,并建议你不要打开它。这些程序还可从已经被感染的设备中删除恶意软件。

实现高级电子邮件和终结点保护
使用 Microsoft Defender for Office 365 帮助防止恶意软件攻击,它会扫描电子邮件和协作工具(如 SharePoint、OneDrive 和 Microsoft Teams)中的链接和附件。作为 Microsoft Defender XDR 的一部分,Defender for Office 365 提供了检测和响应功能,以消除恶意软件攻击的威胁。

同样作为 Microsoft Defender XDR 的一部分,Microsoft Defender for Endpoint 使用终结点行为传感器、云安全分析和威胁情报来帮助组织预防、检测、调查和响应高级威胁。

定期举行培训
通过定期培训,让员工了解如何发现网络钓鱼和其他 网络攻击 的迹象。这不仅会教会他们更安全的工作方法,还会教会他们在使用个人设备时如何提高安全性。模拟和培训工具,例如 Defender for Office 365 中的 攻击模拟培训 ,有助于模拟环境中的真实威胁并根据模拟结果为最终用户分配培训。

充分利用云备份
当你将数据移动到基于云的服务时,你将能够轻松备份数据来更安全地存储。如果你的数据曾经被恶意软件破坏过,这些服务可帮助确保立即全面恢复。

采用零信任模型
零信任模型会在允许设备和用户访问应用程序、文件、数据库和其他设备之前,评估所有这些设备和用户是否存在风险,从而降低恶意标识或设备访问资源和安装恶意软件的可能性。举例来说,实现 多重身份验证( 零信任模型的一个组件)已经显示可将标识攻击的有效性降低 99% 以上。要评估你的组织的零信任成熟度阶段,请采用我们的 零信任成熟度评估

加入信息共享小组
信息共享小组通常按行业或地理位置组织,它们鼓励结构类似的组织齐心协力,共同创建 网络安全 解决方案。这些小组还会向组织提供不同的好处,例如事件响应和数字取证服务、关于最新威胁的资讯,以及对公共 IP 范围和域的监视。

维护脱机备份
由于很多恶意软件试图找到和删除你可能拥有的任何在线备份,因此保留敏感数据的更新版脱机备份是一个好主意,这样你就可定期测试来确保在遭到恶意软件攻击的情况下能够恢复。

使软件保持最新
除了将任何防病毒程序解决方案保持在更新状态(请考虑选择自动更新),还请在任何其他系统更新和软件补丁推出时立即下载和安装它们。这可帮助尽量减少任何安全漏洞,网络罪犯可能会利用这些漏洞来获得你的网络或设备的访问权限。

创建事件响应计划
就像在发生火灾时,准备一个指示如何离开房屋的应急计划会让你更加安全、更有准备一样,创建事件响应计划来指示在你遭到恶意软件攻击时该做什么,将为你提供在不同攻击情况下可采取的行动步骤,以便你可尽快恢复正常和安全运行。

如何检测并移除恶意软件

恶意软件并不总是能够轻松检测到,尤其是在无文件恶意软件的情况下。对于组织和个人来说,留意弹出广告、Web 浏览器重定向、社交媒体帐户上的可疑帖子以及有关遭入侵的帐户或设备安全性的消息的增加是一个好主意。设备性能的变化(例如设备运行速度变慢)也可能是一个值得关注的指标。

如果你担心自己成为恶意软件攻击的受害者,幸运的是,你可以选择检测和删除。第一步,利用防病毒程序产品,例如 Windows 自带的防病毒程序产品来扫描恶意软件。安装防病毒程序后,运行设备扫描以查找任何恶意程序或代码。如果该程序检测到恶意软件,它将列出类型并提供删除建议。删除后,请务必使该软件保持更新和运行状态,以预防未来的攻击。

对于防病毒程序无法检测和阻止的针对组织的较为复杂的攻击,安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR) 工具为安全专业人员提供了云支持的端点安全方法,帮助检测和响应端点设备上的攻击。由于网络罪犯的目标不仅仅是控制设备,这些类型的攻击是多方面的,因此 SIEM 和 XDR 会帮助组织了解攻击在所有域(包括设备、电子邮件和应用程序)中的总体情况。

开始使用  SIEM  和 & XDR  工具(例如  Microsoft Sentinel 、Microsoft Defender XDR 和  Microsoft Defender for Cloud)是实现防病毒功能的强大起点。安全专业人员应确保始终更新设备设置,以符合最新的建议,从而帮助防止恶意软件威胁。

详细了解 Microsoft 安全

Microsoft Sentinel

利用简便而强大的 SIEM 解决方案(由云和 AI 提供支持)了解复杂的威胁并果断做出响应。

Microsoft Defender XDR

借助统一 XDR 解决方案的扩展可见性和出色 AI 来阻止跨域攻击。

Microsoft Defender for Cloud

加强云安全,监视和保护跨多云环境的工作负载。

Microsoft Defender for Office 365

帮助保护组织免受电子邮件、链接和协作工具带来的威胁伤害。

Microsoft 数字防御报告

熟悉当前的威胁形势以及如何构建数字防御。

常见问题解答

  • 不幸的是,任何人都可能成为恶意软件攻击的受害者。在模仿与你有业务往来的组织(例如银行)发送的电子邮件和其他形式的通信方面,网络罪犯已变得越来越老练。其他类型的恶意软件甚至更不显眼,可能隐藏在你打算下载的软件中。

    不过,在主动型解决方案(例如 威胁防护服务中投入是一种可行的方法,能够防止恶意软件影响你的网络或设备。因此,在攻击发生之前部署了防病毒程序和其他安全协议(如 零信任模型)的个人和组织最不可能成为恶意软件攻击的受害者。

  • 恶意软件攻击可通过许多不同的方式发生。你可能会点击恶意链接,打开受感染的电子邮件附件,或者什么都不做 - 有些攻击会在你没有采取任何操作时攻击设备的安全漏洞。

  • 恶意软件攻击可能是毁灭性的(例如身份和金钱被盗),或者不太严重但仍然具有侵入性(例如在你的设备上显示不需要的广告)。

  • 防病毒程序是一种软件,可以主动保护你免受设备上的恶意软件的侵害并将其删除。安装防病毒服务后,你会在访问遭入侵的文件或链接之前收到通知,警告你它可能不安全。

  • 防止恶意软件攻击的最好方法是下载和安装防病毒程序,该程序将监视设备活动和操作,并在任何可疑文件、链接或程序成为问题之前对其进行标记。

关注 Microsoft 安全