Wie viel wissen Sie über Angriffslasten, Trojaner, Würmer und infektiöse Viren?

Enterprise 2023-08-22 23:50:26 views: null

Unter Schadprogrammen versteht man Programmeinheiten mit Angriffsabsichten in der digitalen Welt, die sich üblicherweise in Angriffslasten, Trojanische Pferde, Würmer und infektiöse Viren unterteilen lassen.

1. Nutzlast angreifen

Die Angriffsnutzlast bezieht sich auf den Waffenträger, mit dem der Angreifer einen ersten Angriff auslöst und eine Netzwerkverbindung herstellt. Je nach Funktion kann sie in den Typ des Zustellungsangriffs, den Typ der Verbindungssteuerung und den Typ des unabhängigen Angriffs unterteilt werden.

  • Zu den Zustellungsangriffen zählen Payloads von Remote-Angriffen, Phishing-E-Mails und bösartige Dokumente.

  • Zu den Verbindungskontrolltypen gehören WebShell, Rebound Shell, Backdoor-Trojaner (BackDoor) usw.

  • Zu den unabhängigen Angriffstypen gehören Standard-Shells wie SSH, RDP und Telnet.

  • Das Ziel von Payloads für Remote-Angriffe besteht darin, Angriffe auf Netzwerkeinbrüche aus der Ferne zu implementieren und die Berechtigung zur Ausführung von Befehlen auf dem System zu erlangen. Auf diese Weise wird die bekannte Schwachstelle „Eternal Blue“ ausgenutzt. Solche Ladevorgänge sind oft klein und führen in der Regel nur eine kleine Menge an Vorgängen aus, wie z. B. das Herunterladen nach Erhalt der Systemberechtigungen. Wenn sie nicht als Sprungbrett für die weitere Erweiterung der Ergebnisse verwendet werden müssen, werden solche Ladevorgänge im Allgemeinen im Speicher angezeigt.

  • Phishing-E-Mails sind eine weitere häufige Nutzlast von Zustellungsangriffen. Die gebräuchlichste Methode ist das Posten eines Anhangs. Wenn Sie aufgefordert werden, das Dokument oder Programm im Anhang zu öffnen, wird Ihnen möglicherweise ein Backdoor-Trojaner eingeschleust. Eine verstecktere Methode kombiniert Browser-Schwachstellen, um Angriffe durchzuführen. Die E-Mail enthält eine URL oder ein Bild mit einem Link. Wenn Ihr Browser Schwachstellen aufweist, kann er nach dem Klicken auf den Link kompromittiert werden. Die fortschrittlichsten Phishing-E-Mails verwenden „Atomwaffen“ wie die Mailbox-Software 0DAY oder den Systemzeiger 0DAY, um Angriffe durchzuführen. Solange Sie die E-Mail öffnen, können Sie ohne jegliche Operation kompromittiert werden.

  • Schädliche Dokumente gehen in der Regel mit Phishing-Angriffen einher. Zusätzlich zum E-Mail-Phishing nutzen Angreifer nach und nach Chat-Tools, um sich als Partner auszugeben, HR-Mitarbeiter zu rekrutieren und andere Rollen für die Durchführung von Phishing-Angriffen zu rekrutieren. Die an Sie gesendeten Dokumente enthalten Exploit-Codes.

  • WebShell ist die häufigste Nutzlast für die Verbindungssteuerung. Wenn das Ziel nach Abschluss des Angriffs ein Webanwendungsserver ist, platziert der Angreifer ein PHP- oder JSP-Skript, das Befehle und Kontrolle implementiert, in einem geeigneten Verzeichnis, und der Vorgang zum Steuern und Stehlen von Informationen kann über den URL-Zugriff implementiert werden.

  • Rebound Shell bedeutet, dass der kompromittierte Host aktiv eine Verbindung zum Server des Angreifers herstellt, um die beschuldigte Skriptlast umzusetzen. Es wird normalerweise in Skripten wie Bash, Telnet, Python und PHP geschrieben und vervollständigt die Systemresidenz, um dauerhafte Angriffe zu implementieren.

  • Das Backdoor-Trojanerpferd bezieht sich auf den Backdoor-Kanal, den der Angreifer nach Abschluss des Eindringens implantiert. Es wird zur Fernsteuerung und Ausführung von Befehlen verwendet. Es verfügt über sehr leistungsstarke Funktionen und kann Bildschirme abfangen, Daten stehlen und Systeme zerstören. ) Schlüsselwaffe .

  • Standard-Shell bezieht sich auf Angriffe, die mithilfe von Remote-Diensten durchgeführt werden, die von Software wie SSH, Telnet, RDP und Grey Pigeon-Remoteunterstützung bereitgestellt werden, z. B. Angriffe mit schwachen Passwörtern. Sobald das Eindringen erfolgreich ist, können die vom System bereitgestellten Remote-Dienste ausgeführt werden Wird zur Durchführung von Kontroll- und Befehlsoperationen verwendet.

2. Trojanisches Pferd

Trojaner stellen die zahlreichste Art von Schadprogrammen dar. Zu den häufigsten Trojanern gehören Backdoor-Trojaner, Online-Banking-Trojaner, Kontodiebstahl-Trojaner, Homepage-Trojaner, Werbe-Trojaner, Erpressungs-Trojaner und Mining-Trojaner.

  • Backdoor-Trojaner: Bezieht sich auf den vom Angreifer nach dem Eindringen implantierten Backdoor-Kanal, der zur Fernsteuerung und Ausführung von Befehlen dient. Er ist sehr leistungsfähig und kann Bildschirme abfangen, Daten stehlen, Systeme zerstören usw. Schlüsselwaffe des Angriffs). .

  • Internet-Banking-Trojaner: Internet-Banking-Trojaner nutzen hauptsächlich zwei Methoden: Die eine besteht darin, Kontonummern und Passwörter direkt zu stehlen, die andere darin, die Kontonummer und den während des Zahlungsvorgangs erhaltenen Geldbetrag zu manipulieren. Durch die Verstärkung von Schutzmaßnahmen wie Bank-USB-Abschirmungen, Sicherheitskontrollen und Multi-Faktor-Authentifizierung sind Online-Banking-Trojaner in China selten geworden.

  • Trojaner zum Hacken von Konten: Die Entwicklung des Internets hat es jedem ermöglicht, viele Konten zu haben. In den Augen der schwarzen Industrie sind diese Konten von hohem Wert, insbesondere Chat-Konten und Online-Spielkonten. Zu den gängigen Methoden des Account-Hackings gehören Keylogging, Speicherauslesen und Schnittstellenimitationen.

  • Homepage-Trojaner: Die Navigations-Homepage des Browsers ist ein wichtiger Einstiegspunkt für den Datenverkehr und eine wichtige Einnahmequelle für viele Internetunternehmen. Aus Profitgier erfreuen sich Trojaner, die Homepages sperren, bis heute großer Beliebtheit.

  • Werbe-Trojaner: Böswillige Bombenwerbung ist eine weitere gängige Monetarisierungsmethode von Trojanern. Neben Trojanischen Pferden gibt es auch viele illegale Software-Werbung, insbesondere Shopping-Festivals wie 618 und Double 11, die zu großer Belästigung auf den Desktops der Internetnutzer geführt haben. Einige Trojaner spielen auch einige Streiche: Anstatt das Fenster tatsächlich zu öffnen, zeigen sie stattdessen Werbung im Hintergrund an, um die Werbegebühren des Werbetreibenden zu täuschen.

  • Ransomware-Trojaner: Frühe Ransomware-Trojaner sperrten das System und forderten ein Lösegeld. Jetzt verschlüsseln sie hauptsächlich Dateien auf Computern (einschließlich Servern) und entschlüsseln sie nach Zahlung des Lösegelds. In den letzten Jahren haben sich digitale Währungen rasant entwickelt. Die Anonymität der digitalen Währung macht es schwierig, Transaktionen zurückzuverfolgen, was objektiv die Entwicklung von Schwarzproduktion und Cyberkriminalität fördert. Derzeit nutzen fast alle Ransomware-Trojaner digitale Währungen, um das Lösegeld zu bezahlen.

  • Mining-Trojaner: Mining-Trojaner zerstören keine Dateien, sondern nutzen im Hintergrund stillschweigend die Rechenleistung der CPU und der Grafikkarte, um wertvolle digitale Währung für den Trojaner-Autor zu schürfen, und das Einzige, was der Host spüren kann, ist, dass der Computer läuft langsamer hoch.

3. Würmer

Das größte Merkmal von Würmern ist ihre Fähigkeit, sich selbst zu reproduzieren und aktiv zu verbreiten. Je nach Übertragungsmethode können Würmer in Netzwerkwürmer, E-Mail-Würmer, Sharing-Würmer, Chat-Würmer usw. unterteilt werden.

  • Netzwerkwürmer: Dieser Typ verwendet eine integrierte Penetrationstechnologie, um automatisch anfällige Ziele zu finden und Angriffe abzuschließen, und bewegt sich frei in der Netzwerkwelt. Der berühmte WannaCry ist so ein Wurm. Der Wurm nutzte Schwachstellen wie „Eternal Blue“ aus, die von der NSA (National Security Agency of the United States) durchgesickert waren, verbreitete in kurzer Zeit die Welt und verbreitete Ransomware-Trojaner, was zu einem schwerwiegenden Stillstand der Wirtschaft führte Produktion. Sobald ein solcher Wurm freigesetzt wird, ist er wie eine offene Büchse der Pandora, die schwer zu kontrollieren ist. Der Autor von WannaCry hat einen „Selbstmord“-Schalter hinzugefügt, sonst würde der Schaden um ein Vielfaches größer.

  • E-Mail-Wurm: Dieser Wurmtyp sammelt normalerweise die Postfachliste des kompromittierten Systems und verwendet dann seine eigene Mail-Engine, um Virenmails an diese Postfächer zu senden, wodurch weitere Computer infiziert und kontrolliert werden. Durch den Einsatz der Big-Data-Mining-Technologie zur Spam-Abwehr ist der Lebensraum solcher Würmer bereits sehr begrenzt.

  • Gemeinsam genutzte Würmer: Diese Art von Wurm verbreitet sich, indem er den Viruskörper im freigegebenen Verzeichnis freigibt. In der Regel müssen Benutzer dazu verleitet werden, ihn per Doppelklick zu öffnen, um ihn auszuführen. Allerdings verbreitet sich der U-Disk-Wurm beim Öffnen des Verzeichnisses, indem das Attribut „Autoplay“ gesetzt wird. Darüber hinaus ist es mit der LNK-Sicherheitsanfälligkeit (Verknüpfung) theoretisch möglich, beim Öffnen eines freigegebenen Verzeichnisses die Möglichkeit zu realisieren, „auf einen Blick zu vergiften“.

  • Chat-Würmer: Diese Art von Wurm verbreitet sich über Chat-Tools wie „QQ Tail“ und „MSN Bookworm“. Angreifer versenden verlockende Inhalte in Chat-Software oder Chatrooms, denen ein Virenlink beigefügt ist. Mit der Leitung des gemeinsamen Sicherheitsteams der Chat-Software sind solche Würmer praktisch verschwunden.

4. Ansteckendes Virus

Ein infektiöser Virus entspricht der Definition eines Virus im engeren Sinne und seine Hauptfunktion besteht darin, normale Anwendungen zu infizieren und zu parasitieren. Wenn das Programm ausgeführt wird, muss zunächst der Virencode ausgeführt und dann der Anwendungscode ausgeführt werden. Im Vergleich zu Trojanern und Würmern sind infektiöse Viren geschickter und schwieriger zu schreiben, und es ist schwierig, sie mit gewöhnlicher Antivirensoftware zu entfernen.

Betroffen vom Internet-Sicherheitsgesetz und dem Fall „Panda Burning Incense“ gab es in den letzten Jahren keine neuen infektiösen Viren. Allerdings lauern immer noch antike Viren (Ramint usw.) in einer bestimmten Ecke des Netzwerks und führen von Zeit zu Zeit eine Reihe kleinerer Angriffe aus.

5.Rootkit und Bootkit

Rootkit und Bootkit befinden sich im unteren Teil des Systems. Theoretisch können alle Änderungen und Schäden am Betriebssystemkern vorgenommen werden.

  • Rootkit: Sicherheitssoftware fängt Viren durch aktive Verteidigung und leistungsstarke Antivirenfunktionen ab und tötet sie ab und verfügt häufig über Systemberechtigungen, um sich bei Konfrontationen einen Vorteil zu verschaffen. Der Rootkit-Virus erhält die gleichen Berechtigungen wie Antivirensoftware, indem er in den Systemkern eindringt (entspricht dem Erhalten von Root-Berechtigungen auf einem Mobiltelefon) und kann sich dann verstecken (unsichtbar), verstärken (kann nicht getötet werden) und zerstören (Anti-Kill-Sicherheitssoftware). ) und andere Aktionen ist schwer zu klären.

  • Bootkits. Dies ist eine Angriffstechnik auf höherer Ebene als Rootkit. Durch die Infektion von Hardware wie dem Festplatten-Boot-Bereich (MBR, VBR), dem Motherboard-BIOS usw. kann eine frühere Boot-Möglichkeit als bei Sicherheitssoftware erreicht werden. Mit der Veröffentlichung dieser Art von Code wurde die Bootkit-Technologie immer häufiger auf schwarze Produkte angewendet, und die bekannteren sind die „Dark Cloud“-Serie, „White Ghost“ und „Hidden Soul“.

Bei Rootkits und Bootkits bietet Sicherheitssoftware keine großen Vorteile im Umgang mit ihnen. Daher sollte der Schwerpunkt der Verteidigung darauf liegen, das Abfangen solcher Bedrohungen während der Eintritts- oder Ausführungsphase zu stärken. Darüber hinaus werden solche Viren häufig über Raubkopien verbreitet und können früher in das System eindringen als Sicherheitssoftware. Inländische erstklassige Sicherheitsanbieter haben ihren Haushältern oder Sicherheitsprodukten „spezielle Tötungscodes“ hinzugefügt, um sie zu entfernen, und „Erste Hilfe“ freigegeben „separat. Box“ für eine starke Bereinigung.

Ich denke du magst

Origin blog.csdn.net/qq_32044265/article/details/131783646
Empfohlen
Rangfolge
Täglich
Mehr
2024-06-02(0)
2024-06-01(1)
2024-05-31(2)
2024-05-30(0)
2024-05-29(1)
2024-05-28(1)
2024-05-27(1)
2024-05-26(0)
2024-05-25(1)
2024-05-24(13)

Code World

© 2018 codetd.com