针对私人用户的常见网络攻击类型以及防范攻击的措施 - 第 2章

针对私人用户的常见网络攻击类型以及防范攻击的措施 - 第 2章

在上一篇文章中，我们讨论了网络钓鱼攻击、加密劫持攻击和 MITM（中间人）攻击。

在本文中，我们会讲一讲有哪些类型的恶意软件以及黑客如何利用这些软件来窃取信息和金钱。

恶意软件

黑客通过邮件或即时通讯工具传播恶意软件。通常，他们会在电子邮件中添加附件文本，包含高额奖金、意外遗产继承或其他内容，以诱使人们下载并打开电子邮件里的文件或点击里面的链接。 

所附文件中可能存在病毒。即使该文件看起来很安全，不像一些奇怪的 .rar文档，但它仍然可能包含病毒。例如，黑客会在Word文档中添加VBScript（Visual Basic for Applications），这是MS Office中的一种编程语言。

当用户打开文档时，Office 会提示他们运行脚本。脚本一旦被启动，MS Office 就会从攻击者的网站下载恶意软件并将其安装到用户设备上。该软件将在电脑上运行，扫描网络和本地存储中的文件，并窃取、泄露或加密各种文件。

另一种方式是通过 LNK 文件感染，这些文件称为文件快捷方式。在Windows系统上，它们用作源文件的链接。快捷方式包含有关文件名、位置以及可以打开该文件的程序的信息。

攻击者创建的LNK文件会运行内建的恶意 VBScript 或 Powershell 脚本。此方法可以绕过 Windows安全系统并感染电脑。

PowerShell 是一种特殊的 Windows 引擎，可帮助：

• 更改操作系统设置。

• 管理服务和流程。

• 自定义服务器角色和功能。

• 安装软件。

恶意软件传播图示

在这种情况下，传播如下所示：

• 首先，你会收到一封附有ZIP 文档的网络钓鱼电子邮件。ZIP文档中包含 .LNK 快捷方式。

• 接下来，.LNK 运行Powershell 脚本，后者使用恶意加载程序加载恶意DLL。

• 加载程序占用一块内存区域，用于加载DLL 和解密特定资源。

恶意软件有多种类型。 我们逐一讲解。

Rootkit（根权限工具包）

Rootkit是一种恶意软件，可帮助远程控制用户电脑，且不会被用户或杀毒软件发现。

一旦安装了 rootkit，黑客就可以远程运行及窃取文件，安装其他恶意软件，并将计算机作为僵尸网络的一部分进行控制。此外，它还可以修改软件，包括可以检测 Rootkit 的软件。

2012年，专家们谈到了Flame rootkit，它被黑客用来在近东进行网络间谍活动。

Flame连接到电脑，启动各种程序，包括Windows资源管理器explorer.exe，它可用于打开文件夹、复制和删除文件。

此外，Flame还启动了其他程序来监视网络流量、对计算机屏幕截图以及记住击键顺序。 目前还没有准确数据计算黑客造成了多大损失。但众所周知，已有三大洲的 80 台服务器被用来访问受感染的计算机。

Spyware（间谍软件）

间谍软件暗中监视用户活动。 此类软件可以收集关于用户活动的数据，读取他所按下的按键，收集有关帐户、登录名、密码和财务数据的信息。

与 Rootkit 一样，间谍软件通常可以更改电脑或浏览器的安全设置。这种软件通常通过社会工程学或网络钓鱼方法与木马一同传播。

社会工程学是一种通过操控他人心理来获取用户机密信息的方法。获得的信息用于从银行卡提取资金、接管用户账户或强迫他们做某事。

2021 年 11 月，Zimperium zLabs 发布了一份报告，讲述了韩国间谍应用程序PhoneSpy。该恶意软件伪装成了瑜伽或信使等常规应用程序从而感染了安卓设备。这种软件经常通过网络钓鱼来传播。  

当有人安装该应用程序时，间谍软件会激活远程控制并从设备中窃取信息。 以下是他们通过 PhoneSpy 对手机所做的事情：

• 窃取了帐户登录数据、照片、电话薄、通话记录和信息。

• 使用设备的前置和后置摄像头拍摄视频和照片。

• 从黑客控制的命令和控制(C&C) 服务器下载文件和文档。

• 查看设备信息：IMEI、品牌、设备名称和安卓版本。

据估计，PhoSpy感染了超过1000多台安卓设备。

Trojan Horse（特洛伊木马）

特洛伊木马是一种伪装成正常、安全的应用程序渗入计算机的恶意软件。就像特洛伊木马给了特洛伊人安全感一样，这种软件也给了用户安全感。

与病毒和电脑蠕虫的自发传播不同，木马只有在用户安装后才能获取信息。 当人们下载并安装它们时，特洛伊木马可以让攻击者远程访问个人电脑、窃取信息（登录信息、财务数据，甚至电子货币）或安装更多病毒软件。

2017年，Astaroth木马出现。 它通过包含 .zip 或 .ini 文件的电子邮件传播，邮件中会建议用户打开它们。

该木马可以窃取剪贴板信息、捕获击键顺序和系统消息。还可以从各种服务、服务器及财务账户中获取账户信息。 

微软安全部门详细介绍了该病毒的工作原理、使用的代码和系统命令。下面是其运行图示：

Virus（病毒） 

病毒也是一种恶意软件，可以自我复制并自行传播到其他计算机。例如，它们可以通过文档、Web 脚本或应用程序进行传播。 它们被用来窃取信息和金钱、创建僵尸网络、秘密挖矿等。

病毒攻击的一个有趣案例是Melissa。1999年，该病毒感染了全球数千台计算机。它是通过电子邮件使用恶意 .doc 附件进行传播的。 

该电子邮件的标题是“重要消息”，电子邮件内的文字是：“这是您要的文件。不要给任何人看;)”。 附件中的的 .doc 文件包含色情网站列表以及每个网站的登录信息。

然后，该病毒会自动向用户联系人列表中的前 50 个人发送类似的消息，并禁用 Microsoft Word 和 Microsoft Outlook 中的多项安全功能。

该病毒并没有伤害普通用户，但由于电子邮件的 Microsoft Outlook 和 Microsoft Exchange 服务器超载，会导致邮件系统的工作速度减慢。

电脑蠕虫

电脑蠕虫是最常见的恶意软件类型之一。他们通过操作系统漏洞在计算机网络上独立传播，同时还会传输其副本。使用这种软件，可以使带宽和服务器过载，从而破坏主机网络。有时，计算机蠕虫包含能够从计算机窃取数据、删除文件或创建僵尸网络的代码片段。

蠕虫病毒的传播机制可分为两类：

• 通过计算机软件中的漏洞和管理错误传播。这种蠕虫可以自动传播，自行选择和攻击计算机。

• 通过社会工程学传播。黑客会诱使人们运行恶意软件。这些蠕虫通常通过垃圾邮件、社交网络等传播。

根据传播机制来划分，电脑蠕虫还有另一种分类：

• 电子邮件蠕虫：通过电子邮件消息传播。

• IM-Worm：一种通过 Facebook、Skype 或 WhatsApp 及其他即时通讯工具传播的蠕虫病毒。

• IRC-Worm - 通过IRC（互联网中继聊天）渠道传播的软件。 IRC 是一种允许用户通过特殊客户端连接到服务器、访问（聊天）频道并通过键盘打字实时交换消息的协议。

• Net-Worm - 这些蠕虫不需要通过用户来进行传播。

• P2P-Worm - 通过点对点文件共享网络（例如 Kazaa、Grokster、EDonkey、FastTrack、Gnutella）进行传播。

2007年不同类型蠕虫数量统计

此类攻击的一个例子是 ILOVEYOU 蠕虫病毒，它伪装成情书并通过电子邮件传播。电子邮件里包含文本文件和 VBS 脚本。邮件被打开后，就会启动一个脚本并从各种服务中窃取用户密码。

ILOVEYOU 被认为是最早使用社交工程学进行恶意软件攻击的实例之一。 一旦启动，它可以通过电子邮件自动发送给受害者的联系人。

该病毒已感染超过 4500 万人，造成超过 150 亿美元的损失。

勒索软件攻击

勒索软件是一种阻止对计算机的访问或加密某些数据的恶意软件。要想让计算机恢复到之前的工作状态，受害者需要支付赎金。

根据 Statista 的分析，此类攻击每年会发生数亿次。

大多数此类攻击都是通过带有恶意链接的电子邮件发起的,这些恶意链接指向攻击者网站。有时用户会点击链接并主动下载恶意软件。有时，电子邮件的附件带有恶意文件，用户一打开邮件，它就会下载勒索软件。

勒索软件有两种类型，我们将分别讲述。

需要赎金的勒索软件

此类病毒会禁用电脑的基本功能，例如，部分禁用鼠标和键盘或限制对桌面的访问。黑客账户收到赎金后，这种状态才会停止。

勒索软件并不总是危险的，因为它通常不以窃取重要文件为目的。这类软件的任务只是封锁设备并等待交付赎金。

如需详细了解加密及其工作机制请点击文章《VPN及其工作原理》。

加密程序

这类软件的任务是加密如个人信息或照片等重要数据，但不会破坏电脑。 在这种情况下，黑客利用了受害者的恐惧，因为他们能看到这些文件，但无法管理它们。

通常，文件使用 AES 算法加密，密钥大小为 128/196/256 位。这样的密钥几乎不可能用蛮力打开。还有些应用程序使用例如 RSA这样的公钥/私钥加密系统。

想要详细了解有关加密及其工作原理，请点击《什么是 VPN 及其工作原理》。

当文件被加密时，用户将看到弹出窗口，其中包含“如果不在一小时内转账，所有加密文件将被删除”之类的提示。如此一来，用户将不得不转账以免文件丢失。

但无法保证黑客收到转账后会提供解密密钥。因此，存在文件永远保持加密状态的风险。

2017 年，黑客组织Shadow Brokers在 150 多个国家传播了WannaCry 勒索软件。

用户收到 WannaCry后，它会利用操作系统漏洞冻结用户电脑。为解锁电脑，用户必须支付比特币赎金。病毒传播期间，全球约23万台电脑受到影响，黑客窃取了约40亿美元的资金。 

这就是 WannaCry 程序的样子。 来源GDataSoftware

如何防范恶意软件和勒索软件

将软件更新到最新版本。 软件供应商一直在收集有关安全问题的信息，并发布漏洞较少或没有漏洞的新版本。

安装杀毒软件。杀毒软件将保护您免于安装恶意软件或点击危险链接。 如果有人向您发送恶意应用程序，杀毒软件将阻止该恶意软件。恶意链接也是如此 – 杀毒软件会识别它并阻止其跳转。

不过最好还是压根不下载或运行可疑文件。 毕竟，某些病毒在启动之前可能不会被杀毒软件识别出恶意病毒。这样一来，它们便能损坏操作系统的一些重要文件并破坏个人电脑。

检查链接来源。不要点击陌生人或朋友发送的没有任何文字说明的链接。 如果您收到了来自朋友的链接，请联系他本人并确认他发送的内容是什么。或许他的帐户已被黑客入侵并且正在以他的名义发送垃圾邮件。

此外，还可以通过 AVG Threatlabs 或 Kaspersky VirusDesk 等特殊服务检查链接。

一些杀毒软件会阻止含有恶意代码的网站。 当有人尝试访问此类网站时，杀毒软件将自动阻止该站点。

定期备份您的系统和所有重要文件。 您可以自己将文件复制到某些物理载体上或存到云盘。云盘比物理介质更好——它可以免受病毒、故障和其他类似问题的影响。

您也可以使用第三方服务（例如 Redo Backup and Recovery、EASEUS Todo Backup Free 或 Cobian Backup）设置自动备份。

但请记住，云盘也不是 100% 安全，也可能发生数据泄漏。

例如，2014 年，一名黑客发送了钓鱼网站链接，用户在这些网站上向他提供了包括 iCloud 在内的各种服务的密码。

结果，詹妮弗·劳伦斯、蕾哈娜和其他数十位著名女演员和歌手的裸照被泄露到网络上。 据说，该黑客在 2013 年 11 月至 2014 年 8 月期间成功窃取了 300 个 Apple iCloud 和 Gmail 帐户。

还有一个问题——云服务器可能会崩溃，数据将在一段时间内不可用。