信息來(lái)源：安全牛

說(shuō)到惡意軟件，我們簡(jiǎn)直生活在一個(gè)可怕的時(shí)代。每天都在聽(tīng)說(shuō)黑客又突破了滿(mǎn)載客戶(hù)隱私數(shù)據(jù)的網(wǎng)絡(luò)。公眾對(duì)此甚至都麻木了，面對(duì)數(shù)百萬(wàn)記錄被盜，或者公司私密郵件泄露這種事，早已是屢見(jiàn)不鮮。

作為安全從業(yè)人員，我們無(wú)法全天24小時(shí)生活在對(duì)看不見(jiàn)敵人的恐懼中防賊。我們可以做的，就是加固我們的堡壘。早期檢測(cè)可防患于未然，將惡意軟件攻擊阻擋在造成實(shí)質(zhì)損失之前。大多數(shù)攻擊，始于2種易于防護(hù)的方法之一：社會(huì)工程，或是未打補(bǔ)丁的軟件。

但因?yàn)楹诳团ψ兊迷絹?lái)越隱秘，惡意軟件檢測(cè)難度也呈指數(shù)級(jí)增長(zhǎng)。比如下面列出的這10種全球最隱秘的惡意軟件程序。

1. PowerShell惡意軟件

微軟本意是想讓其PowerShell腳本語(yǔ)言，成為一款靈活的Windows和活動(dòng)目錄遠(yuǎn)程管理工具。它在自動(dòng)化常規(guī)任務(wù)和遠(yuǎn)程控制大量計(jì)算機(jī)上表現(xiàn)出色。黑客也超愛(ài)這個(gè)工具，因?yàn)閻阂馐褂玫臅r(shí)候很難被檢測(cè)到。

PowerShell黑客攻擊方法，很快就從研究人員的概念驗(yàn)證程序，發(fā)展到了網(wǎng)絡(luò)罪犯的首選工具之一。最近，不涉及PowerShell的企業(yè)攻擊，甚至都已經(jīng)很少見(jiàn)了。通常，大多數(shù)編碼都會(huì)很小心地做混淆，防止被檢測(cè)。

市面上有2款流行PowerShell工具包：

• PowerSploit
  https://github.com/PowerShellMafia/PowerSploit
• PowerShell Empire
  https://www.powershellempire.com

這兩款軟件號(hào)稱(chēng)是合法滲透測(cè)試工具，但其實(shí)也是黑客工具之選。防御方法也不是沒(méi)有，比如至允許合法簽名的腳本，但企業(yè)往往直到遭攻擊之后才意識(shí)到預(yù)防措施的存在。

2. 新設(shè)備或軟件中的惡意軟件

沒(méi)人希望新手機(jī)/計(jì)算機(jī)/軟件被感染，但有時(shí)候新設(shè)備/軟件就是會(huì)被感染。而且主流公司并不自帶免疫。全球最流行產(chǎn)品往往也是惡意軟件集散地，比如蘋(píng)果和微軟的系列產(chǎn)品?？扉W存儲(chǔ)卡、USB密鑰、網(wǎng)絡(luò)設(shè)備和智能手機(jī)都是惡意軟件躋身的地方。甚至數(shù)字相框也不能幸免。微軟曾發(fā)現(xiàn)，在中國(guó)發(fā)售的全新PC中有20%都含有惡意軟件。

為什么會(huì)這樣？有時(shí)候是沒(méi)意識(shí)到自己被感染的制造商意外引入了惡意軟件。有時(shí)候是流氓雇員故意感染產(chǎn)品。有時(shí)候是承包商在將設(shè)備交回廠(chǎng)商之前加入了惡意軟件。無(wú)論是哪種途徑，最終都是客戶(hù)開(kāi)箱拿到個(gè)存在漏洞利用的設(shè)備。

3. 無(wú)線(xiàn)路由器中的惡意軟件

無(wú)線(xiàn)路由器是黑客樂(lè)此不疲的攻擊前線(xiàn)。這些設(shè)備，基本上就是微型計(jì)算機(jī)，還是可以用定制代碼遠(yuǎn)程更新的那種。而且，很多無(wú)線(xiàn)路由器運(yùn)行的是很容易被利用的代碼，或者干脆沒(méi)改默認(rèn)口令。黑客長(zhǎng)久以來(lái)都在利用路由器上的弱安全設(shè)置。隨著自動(dòng)搜索互聯(lián)網(wǎng)找尋受害者的工具的出現(xiàn)，路由器利用變得更加容易了。

黑客攻擊路由器，是為了盜取無(wú)線(xiàn)網(wǎng)絡(luò)上流轉(zhuǎn)的金融信息，或者挪用路由器的處理能力。

將路由器處理能力挪作他用的攻擊方式，可令任意脆弱聯(lián)網(wǎng)設(shè)備成為聽(tīng)命攻擊者的奴隸。最流行的IoT惡意軟件程序Mirai，就被黑客用來(lái)奴役大量家庭聯(lián)網(wǎng)設(shè)備發(fā)起大規(guī)模DDoS攻擊。

4. 計(jì)劃任務(wù)惡意軟件

Windows PC 上運(yùn)行的大多數(shù)微軟計(jì)劃任務(wù)，對(duì)普羅大眾而言都是一個(gè)搞不清楚的謎團(tuán)。隨時(shí)可能有幾十個(gè)合法任務(wù)在執(zhí)行，錯(cuò)刪一個(gè)都有可能造成巨大的問(wèn)題。但區(qū)分哪些任務(wù)必須，哪些沒(méi)必要，哪些又是徹頭徹尾的惡意程序，是非常困難且耗時(shí)耗力的。

惡意軟件制造者就利用的是這份混亂與困惑。

安裝成計(jì)劃任務(wù)的惡意軟件，往往能獲得高級(jí)憑證，這很不好。而更糟的是，該計(jì)劃任務(wù)還會(huì)在反惡意軟件掃描器清除掉之后重新下載惡意軟件。事實(shí)上，計(jì)劃任務(wù)感染的最典型癥狀，就是有無(wú)論怎么清除都會(huì)長(zhǎng)期駐留的流氓程序。如果有超級(jí)難刪除的惡意軟件程序，不妨檢查一下計(jì)劃任務(wù)列表。

5. 信任數(shù)字證書(shū)的危害

黑客喜歡利用我們賦予數(shù)字證書(shū)的額外信任。不幸的是，大多數(shù)用戶(hù)對(duì)數(shù)字證書(shū)理解不夠，無(wú)法識(shí)別出被惡意破壞的那些。操作系統(tǒng)和瀏覽器正在將信任決策權(quán)逐漸從用戶(hù)手中拿走。

這有所幫助，但是，作為回應(yīng)，黑客開(kāi)始盜取合法的全局信任代碼簽名證書(shū)，并用這些證書(shū)簽署自己的惡意軟件。如此一來(lái)，用戶(hù)就會(huì)得到偽裝成合法程序或更新的木馬，并毫不知情地安裝到系統(tǒng)中。

有時(shí)候，黑客甚至不是直接偷取，而是復(fù)制公司的證書(shū)，就像流行Flame惡意軟件程序做的那樣。專(zhuān)家擔(dān)心，隨著最近針對(duì)SHA-1加密散列簽名攻擊的成功，這些數(shù)字簽名攻擊會(huì)有所上升。這也正是專(zhuān)家建議人們盡快升級(jí)到SHA-2的最主要原因。

6. 網(wǎng)絡(luò)蠕蟲(chóng)

2003年，SQL Slammer 蠕蟲(chóng)在10分鐘之內(nèi)，感染了10萬(wàn)個(gè)未打補(bǔ)丁的SQL實(shí)例，保持至今仍未被打破的網(wǎng)絡(luò)蠕蟲(chóng)快速感染記錄。蠕蟲(chóng)曾經(jīng)絕跡了幾年，但如今又卷土重來(lái)。最近的WannaCry和Petya勒索軟件，就是此類(lèi)蠕蟲(chóng)的明顯例子。

蠕蟲(chóng)狩獵未打補(bǔ)丁的軟件或用戶(hù)配置錯(cuò)誤，比如弱口令，用以攻入下一個(gè)受害者的計(jì)算機(jī)。無(wú)論WannaCry還是Petya，都利用了數(shù)百萬(wàn)毫無(wú)疑心的PC，讓無(wú)數(shù)以為自己受到保護(hù)的用戶(hù)目瞪口呆。

網(wǎng)絡(luò)蠕蟲(chóng)一直是最可怕的惡意軟件程序，因?yàn)榫拖?SQL Slammer 所呈現(xiàn)的，它們快速傳播，造成破壞，然后逃離。在人們意識(shí)到發(fā)生了什么事情之前，傷害已經(jīng)造成。

7. 社交媒體App

當(dāng)今時(shí)代，最隱秘的攻擊來(lái)自于你的朋友。流程大體如此：你收到朋友突然發(fā)來(lái)的新潮軟件安裝推薦，或者邀請(qǐng)你看一段惡搞視頻，但其實(shí)發(fā)來(lái)的都是偽裝過(guò)的惡意程序。一旦運(yùn)行了該流氓代碼，黑客就收割了你的社交媒體賬戶(hù)，開(kāi)始利用你所有的朋友聯(lián)系。

這最初的請(qǐng)求其實(shí)不是來(lái)自于你的朋友，而是來(lái)自獲取了他賬戶(hù)的那個(gè)黑客。黑客會(huì)用盜取的賬戶(hù)來(lái)收獲更多人的賬戶(hù)，偷走金錢(qián)，甚或入侵公司網(wǎng)絡(luò)。黑客高度認(rèn)知到：很多社交媒體用戶(hù)用同樣的登錄名和口令登錄他們的公司網(wǎng)絡(luò)，只需破解一個(gè)，便可進(jìn)入其他。

8. 無(wú)線(xiàn)中間人

在溫馨安靜的當(dāng)?shù)乜Х瑞^落座，開(kāi)始收發(fā)晨間郵件。你不會(huì)懷疑，也不會(huì)知道，就在同一家店里，一名黑客已經(jīng)攫取了你本應(yīng)受到保護(hù)的Web憑證。

Firesheep(http://codebutler.com/firesheep)就是做這事的最佳工具。黑客和想讓高管層認(rèn)真考慮無(wú)線(xiàn)及Web安全的滲透測(cè)試員，都喜歡用這款工具。盡管Firesheep已經(jīng)被其開(kāi)發(fā)者下架了，還有大量其他工具能做同樣的事——幾乎完全免費(fèi)，只需等待下載完畢即可使用。

正確配置無(wú)線(xiàn)連接，可以消除該威脅，但要找出所有無(wú)線(xiàn)連接都被完美防護(hù)的計(jì)算機(jī)還真挺難的。

9. 內(nèi)聯(lián)鍵盤(pán)記錄器

鍵盤(pán)記錄器是微型硬件設(shè)備，一旦在計(jì)算機(jī)的鍵盤(pán)和鍵盤(pán)輸入連接器之間安裝上，就會(huì)獲取從該鍵盤(pán)輸入的任何東西。該方法對(duì)智能手機(jī)或筆記本電腦無(wú)效，但黑客成功在酒店、金融機(jī)構(gòu)和其他公共場(chǎng)所中找到了大量傳統(tǒng)PC可供利用。

攻擊者可以像普通用戶(hù)一樣坐在電腦前把記錄器安裝上。記錄器很容易隱藏，因?yàn)榘采嫌涗浧鞯逆I盤(pán)線(xiàn)，通常都放在電腦背后或機(jī)柜下面。裝好后攻擊者就可以離開(kāi)，等數(shù)天之后再過(guò)來(lái)拿走記錄器。然后，回家就可以在里面挖掘口令和其他憑證信息了。

10. USB黑客設(shè)備

自從USB形態(tài)因素的計(jì)算機(jī)有了足夠的存儲(chǔ)和處理能力，黑客就對(duì)其漏洞利用潛力垂涎三尺了。幾十個(gè)黑客工具和完整的Linux發(fā)行版安裝在USB鍵盤(pán)上。不到100美元就能在線(xiàn)買(mǎi)下一個(gè)。只需插入受害者電腦，放任上面的黑客腳本大干壞事即可。

此類(lèi)流行工具之一，是Hak5的Bash Bunny(https://hakshop.com/products/bash-bunny)。 里面包含了2種攻擊模式，用戶(hù)可用很方便易學(xué)的腳本來(lái)配置。比如說(shuō)，一種模式可利用Windows計(jì)算機(jī)，另一種就利用Mac機(jī)。你需要做的全部，僅僅是瞅個(gè)沒(méi)人看著的機(jī)會(huì)，走到受害者計(jì)算機(jī)旁，插上該設(shè)備，等待幾秒，然后帶上你的戰(zhàn)利品溜掉。或者，你也可以在計(jì)算機(jī)背面的USB口插上該設(shè)備，在受害者網(wǎng)絡(luò)中長(zhǎng)期留有一個(gè)難以發(fā)現(xiàn)的流氓黑客計(jì)算機(jī)。