恶意软件.

恶意软件(malware)是对运行它的系统或用户具有有害行为的代码的统称。它包括病毒、蠕虫、木马、勒索软件、间谍软件、Rootkit、加载器(loader)和擦除器(wiper),在现代攻击中往往被串联起来使用:一封诱饵邮件投放一个加载器,加载器再获取银行木马,银行木马进而部署勒索软件。常见的投递途径包括钓鱼、路过式下载(drive-by)、恶意广告(malvertising)、供应链入侵、可移动介质以及对未修补漏洞的利用。

一些标志性事件展现了其完整图景。Stuxnet(2010 年)利用四个 Windows 零日漏洞破坏伊朗的铀浓缩离心机,是首个造成物理破坏的恶意软件。WannaCry(2017 年 5 月)将泄露的 SMBv1 漏洞利用工具 EternalBlue(MS17-010)武器化,以蠕虫方式扩散到 150 个国家的 20 多万台机器。NotPetya(2017 年 6 月)伪装成勒索软件,实则是一款擦除器,给 Maersk、Merck 等企业造成约 100 亿美元的损失。Emotet 从银行木马发展为占主导地位的恶意软件即服务(MaaS)加载器,直到一次协同行动(Operation Ladybird)于 2021 年 1 月查封其基础设施——尽管它后来又卷土重来。

现代恶意软件采用加壳(packing)、多态性、利用系统自带合法程序(LOLBins)以及无文件(fileless)等技术,以躲避基于特征码的扫描。防御应分层进行:用于行为检测的端点检测与响应(EDR/XDR)、及时打补丁、应用程序白名单、网络分段、最小权限、抗钓鱼的多因素认证(MFA)、用户培训,以及经过恢复测试的不可篡改离线备份。

flowchart TD
  D[Delivery: phishing / exploit / supply chain] --> E[Execution on endpoint]
  E --> P[Persistence: registry, scheduled task, service]
  P --> C2[Command and control channel]
  C2 --> A{Objective}
  A --> S[Steal data or credentials]
  A --> R[Encrypt for ransom]
  A --> L[Lateral movement]
  L --> P