恶意软件
逻辑炸弹
别称: 休眠代码, 条件触发载荷
定义
潜伏在程序中、仅在满足特定逻辑条件时才触发恶意载荷的代码。
逻辑炸弹是嵌入合法或被木马化应用中的一段代码,仅当某个特定条件出现时才触发破坏性或未授权操作——如指定日期、某用户从工资名单中消失、某条数据库记录被删除、特定主机名匹配,或收到特殊命令。在条件成立前,炸弹保持静默,因此难以通过行为测试检测。它是经典的内部威胁与破坏工具,也出现在供应链植入物和延时擦除器中。防御措施包括严格的代码审查、职责分离、完整性监控、行为型 EDR,以及人员离职时及时撤销权限。
示例
- 心怀不满的 DBA 编写脚本,一旦其账户被禁用就删除记录。
- 仅在检测到特定客户主机名时才触发的供应链植入代码。