网络安全深度探索:什么是蠕虫攻击?
网络安全因其无数的攻击途径、攻击类型、渗透方法和攻击的复杂性而难以应对。病毒、蠕虫、勒索软件、钓鱼攻击,这些对于新手来说都是难以理解的。
然而,PrivacyAffairs 致力于揭示这些问题,并教你了解所有关于网络安全和网络犯罪的知识。
所以,在这篇文章中,我将讨论“蠕虫”,它是什么,它的行为方式,攻击途径,如何识别它,以及如何减轻其影响。
让我们开始吧!
什么是计算机蠕虫?
计算机蠕虫是一种恶意软件,一旦到达受害者的设备就会自我复制。
其主要功能是通过无休止地复制自身,从一个被感染的设备传播到其他设备。它通常通过以微妙且不可见的方式利用设备的操作系统(OS)来实现这一点。
蠕虫的一个关键特征是它不需要人为激活或指导就能传播或自我复制。一旦入侵系统,它将遵循其子程序开始复制和在网络中传播。
蠕虫会通过在线网络以及物理连接(通过USB)传播,并且在它们所在的任何媒介中持续复制。
计算机蠕虫如何传播?
蠕虫是特洛伊木马的变种,因此它们的攻击途径多样且隐蔽,大多数用户甚至不会意识到发生了什么。
以下是蠕虫跨设备传播的主要方式:
- 钓鱼 – 黑客可以通过将蠕虫插入到电子邮件的附件或链接中来感染恶意邮件。一旦受害者打开附件或点击链接,蠕虫便秘密地插入到受害者的设备中,并自由复制
- 网络 – 蠕虫将通过利用“共享访问”自我复制并跨整个网络传播
- 文件共享 – P2P网络(种子下载)中你下载的文件可能携带蠕虫
- 外部设备 – 蠕虫也可以通过外部硬盘和USB存储设备等物理设备传播
- 安全漏洞 – 蠕虫还可以利用系统中的安全漏洞找到设备的入口点
- 安装程序下载 – 可下载的软件安装程序可能也是蠕虫的伪装,所以下载东西时要小心来源
- 物联网设备 – 在一项受控实验中,研究人员能够感染物联网设备上的蠕虫,该蠕虫随后又传播到邻居的物联网设备上
最常见的计算机蠕虫通过电子邮件传播。一旦它们进入你的设备,就会访问你的电子邮件客户端,并将其自身的副本发送给你的所有电子邮件联系人。
一旦你的联系人打开了你的邮件,蠕虫也会传播到他们的设备上,并继续这样做,直到它不能再传播为止。
黑客发送的包含蠕虫的电子邮件会使用社会工程学来操纵你打开感染的链接或下载感染的附件。
其他蠕虫会通过即时消息应用程序,如WhatsApp或Telegram传播。一旦它们感染了你的设备,这些蠕虫可以访问这些应用并将其自身的副本发送给你的所有联系人。
它们会自动创建像“嘿,你一定要看看这个”这样的大写锁定的标题消息来吸引注意力,并鼓励他们点击。
互联网蠕虫是最隐蔽的。黑客使用它们针对操作系统和设备的特定漏洞。这些是有明确入口点的针对性攻击,不浪费任何资源就能渗透设备。
蠕虫入侵设备后能做什么?
计算机蠕虫在被释放到外界并达到一个设备时,会经历多个阶段:
1. 系统入口
第一阶段是系统入口,蠕虫通过一个不安全的本地网络、操作系统的漏洞,或通过其他任何攻击途径成功访问设备。
一旦获得入口,蠕虫将开始第二阶段,这是真正的损害开始展开的时刻。这也是你必须迅速行动,从你的设备中移除蠕虫的阶段,以免为时已晚。
2. 复制
一旦进入设备内部,蠕虫将开始第二阶段,即在设备上无控制地随处复制,且不被发现。
它还会开始寻找进入其他设备或本地网络的入口点,看看它是否能感染其他设备。
蠕虫开始复制时最危险,因为它能造成的破坏越多,它的数量就越多。
3. 隐藏和攻击
第三阶段是蠕虫会隐藏在你的电脑上,并开始攻击你的设备,尽可能长时间地保持不被发现。
与此同时,蠕虫处于自我复制、传播和攻击你的设备的持续状态。
这里准确地介绍了蠕虫可以对你的设备做什么:
- 删除文件。根据其指令,蠕虫可以删除计算机上的任何文件
- 窃取数据。黑客可以指示蠕虫窃取特定数据(财务数据)并将其发送给黑客
- 消耗带宽。蠕虫可以通过秘密消耗你的带宽来减慢你的互联网连接速度
- 消耗你的硬盘空间。蠕虫可以使你的硬盘看起来像是空间不足
- 打开后门。蠕虫可以为黑客创建一个安全漏洞(后门)来发送其他恶意软件,如键盘记录器和钓鱼工具
- 携带其他恶意软件。一旦蠕虫侵入你的设备,它可以安装间谍软件或勒索软件
- 通过电子邮件和即时消息应用程序传播。蠕虫可以通过电子邮件和即时消息应用程序将自己传播给你所有的联系人
蠕虫的一个非常常见的用途是传递一段创建系统后门的“有效载荷”代码。然后,黑客可以控制系统或在其中安装其他恶意软件。
它们甚至可以将该设备转变成一个“僵尸设备”,成为用于进行DDoS攻击的僵尸网络的一部分。
这一切都始于一个阴险的蠕虫攻击!
计算机蠕虫的类型
基于攻击途径和渗透方法,计算机蠕虫有多种类型。我已经提到了其中的一些攻击途径。
以下是当今存在的所有计算机蠕虫类型:
- 电子邮件蠕虫
这些蠕虫变体将创建并发送电子邮件给你邮件客户端中的所有联系人。邮件中可能包含一个恶意链接或附件,携带着它自身的变种。
蠕虫很可能会使用钓鱼技术和社会工程策略,说服你的联系人打开被感染的链接或附件。
黑客也可能通过几种方法在电子邮件中放置蠕虫。这些方法包括MS Outlook服务、Windows MAPI功能,以及将蠕虫插入电子邮件文本中。
电子邮件蠕虫仍然是所有蠕虫类型中最有效的攻击途径。
- 文件共享蠕虫
P2P文件共享,也称为种子下载,从安全角度来看非常危险。这是恶意软件,尤其是蠕虫的首选游乐场。
黑客可以将这些蠕虫伪装成可执行文件或媒体文件。这可能意味着游戏、电影,尤其是你在网上“盗版”的软件。
文件共享蠕虫通常被指示针对工业环境,如能源设施和污水处理厂,如果它们能够接触到这些环境的话。
- 加密蠕虫
加密蠕虫与加密货币无关。相反,它们的名称来自于密码学。
这些蠕虫会加密系统上的文件,它们通常是勒索软件攻击的主要元素。
黑客会加密并锁定你的文件,然后他们会要求支付赎金来解密你的文件。
- 即时消息蠕虫
这些蠕虫可以来自任何即时消息应用,如Skype、WhatsApp、Telegram、Signal等。
它们会以附件或嵌入到说服性文本中的链接的形式出现。通过社会工程学,黑客可以改变这些攻击的性质,并操纵人们点击恶意链接或下载被感染的附件。
一旦你得到蠕虫,它会将自身发送给你所有的社交媒体联系人,并通过网络继续传播。
- 互联网(网络)蠕虫
这些蠕虫将利用操作系统的漏洞并渗透到它们能够渗透的任何设备中。
互联网蠕虫是存在的最古老的蠕虫类型,自20世纪末第一个操作系统出现以来就存在了。
它们将扫描互联网,寻找具有已知漏洞的设备。然后,一旦找到一个,它将渗透进去并开始复制。
这些是截至2023年所有已知的计算机蠕虫类型。
- 物联网蠕虫
这些蠕虫相对较新,因为物联网设备还没有存在很长时间。
Mirai蠕虫是这些类型蠕虫中最臭名昭著的。它感染像智能摄像头和路由器这样的物联网设备,并将它们变成作为僵尸网络一部分的僵尸设备。
一旦它感染了一个物联网设备,它将寻找同一网络上的其他物联网设备,甚至尝试通过漏洞访问其他网络。
这些都是当今使用中的计算机蠕虫类型。它们都利用通信和在线生态系统的不同元素来渗透、控制和操纵设备。
蠕虫与其他恶意软件的区别
蠕虫是一种恶意软件,但并非所有的恶意软件都是蠕虫。不同类型的恶意软件之间存在差异。这就是我们在这一部分将要探讨的内容。
最重要的比较是蠕虫和病毒之间的比较,因为它们关系最为密切,可能会让人混淆。
简而言之:
- 恶意软件 – 一种旨在损害设备或其用户的恶意代码或应用程序。恶意软件包括广告软件、间谍软件、勒索软件等
- 病毒 – 一种需要你的互动才能自我复制、传播到其他应用/系统,并破坏你的系统的恶意软件
- 蠕虫 – 一种不需要任何互动就能开始自我复制、传播到其他系统,并破坏你的操作系统的恶意软件
因此,病毒和蠕虫之间的主要区别在于蠕虫是自给自足的,能够在没有外部帮助或互动的情况下自主行动。
黑客或受害者无需与之互动或激活它。一旦感染了系统,它将立即采取行动。
显然,蠕虫在两者之间是更危险的一个。它传播得更快,采取行动更快,你有的缓解蠕虫对设备造成损害的时间更少。
如何知道你的设备是否中了蠕虫?
检测你的设备是否感染了蠕虫并不难。这些小东西会留下清晰易寻的踪迹。
以下是你应该注意的迹象:
- 硬盘满了但无法解释原因。那是蠕虫在复制自身并填满你的存储空间
- 无法解释的文件丢失。这包括你知道应该在但却不见了的个人文件
- 隐藏的文件或文件夹。如果你发现设备上的一些文件无缘无故被隐藏,你可能中了蠕虫
- 设备运行缓慢。蠕虫会通过消耗其资源大幅降低你的设备性能
- 浏览器运行性能差。同样,蠕虫会影响你的带宽并减缓浏览器的运行速度
- 操作系统的异常行为,如莫名其妙的错误消息、通知弹窗、程序运行不正常
- 你没安装过的不认识的程序或文件。一旦蠕虫渗透你的设备,它通常会带来其他恶意软件
- 网站或程序自己打开,尽管它们不应该这样。这不包括随操作系统启动的程序
- 消息被发送给你的电子邮件列表中的联系人或即时消息应用上的联系人。那是蠕虫在向其他人发送它的变种,试图传播
- 你无法解释的防火墙警告。Windows可能经常检测到有问题,但找不到蠕虫。所以,它会向你发送警告
- 系统无缘无故经常冻结或崩溃
- 你的杀毒软件向你发送关于设备威胁的警告
单独看,上述任何一个症状可能都不会让你怀疑是蠕虫。但是一旦症状累积,就越来越明显你正在应对一个蠕虫。
一旦你达到这个阶段,尽快移除蠕虫变得非常重要。阅读以下内容看看如何做到这一点!
如何从你的设备中移除蠕虫
如果你确信你的电脑上有蠕虫问题,这里是你应该做的:
- 将设备从互联网或任何其他网络断开。蠕虫会通过与设备连接的每个网络传播,并到达每一个地方。你肯定不想要这样
- 扫描所有与原设备连接过的设备,看看蠕虫是否已经传播。如果传播了,那么通过将这些设备从互联网和其他网络断开来隔离这些设备
- 在所有被感染的设备上安装一个防恶意软件工具(如果可能的话,使用付费版本)并启动系统范围的扫描。防病毒软件应该会移除蠕虫的每一个痕迹
- 如果你的防病毒软件没有找到蠕虫的任何痕迹,使用蠕虫移除工具。有些蠕虫更为复杂,会避免被检测到。你可以在网上找到蠕虫移除工具
除非你想重新安装操作系统,否则你自己手动能做的事情并不多。而且,这也不是大多数用户会倾向于做的事情。
一旦你在系统中发现了蠕虫,你唯一能做的就是让你的安全系统来处理它。
预防蠕虫的方法
正如我常说的,预防总比补救好,尤其是在可能严重影响你的业务的网络攻击中尤其如此。
幸运的是,如果你具备基础知识和在网上操作时保持常识,蠕虫是不难避免的。
这里有一些预防设备感染蠕虫的小贴士:
- 浏览时不要点击任何弹出广告。广告软件常常携带蠕虫,一旦你点击了弹出广告就会渗透你的设备
- 定期更新你的所有软件。过时的软件可能有容易被蠕虫攻击利用的漏洞。这对你的操作系统(Windows)尤其重要
- 不要随意打开电子邮件链接或附件。黄金法则是,如果你不知道对方是谁,就不要打开任何电子邮件附件或链接,因为它们可能是恶意的
- 备份你的数据。如果你定期备份数据,在发生蠕虫攻击危及你的系统和文件的情况下,你将减轻大部分后果
- 使用强密码。众所周知,密码是数据泄露的最大原因之一。强密码可以减轻许多网络攻击并预防更多其他攻击
- 在P2P文件共享网站上使用VPN。理想情况下,你不应该下载任何东西,因为你不知道来源是谁。他们可以在你的文件中悄悄携带恶意软件而不会面临任何后果。然而,如果你不得不这样做,那么使用VPN是个好主意
- 上网时保持常识。大多数网络攻击是由于人为错误发生的。你点击了可疑链接,从不可信来源下载文件,访问了不安全的恶意网站等等
- 使用付费的反恶意软件软件。你的Windows安全系统不足以防御网络威胁。付费的反恶意软件更加强大和复杂,因此它们能更准确地检测威胁,更早地隔离它们,并在攻击破坏你的系统之前减轻攻击
即使你不遵循上述任何建议,至少也要保持常识并自我教育关于网络安全和网络攻击的知识。
你不需要拥有网络安全或网络犯罪的硕士学位就能意识到一个网站看起来可疑,或者一个电子邮件附件可能最好不要打开。
这些常识性的判断对于普通用户来说,足以防御大多数网络威胁。
这些常识性的判断足以保护普通用户免受大部分网络威胁。
对于企业来说,没有理由不使用高级安全解决方案并对他们在网上面临的风险有更多的认识。
总结一下…
电脑蠕虫因其自我复制的特性,仍然是你可能遇到的最危险的网络威胁之一。一旦蠕虫侵入你的系统,它就会开始无法控制地在每一个连接到你设备的网络中传播。
通常,你很难意识到你遇到了蠕虫问题,直到一切都太晚了。防止它发生要容易得多,也更有效。
虽然可能实现减轻,但可能已经为时已晚。它可能已经删除了一些文件,隐藏了其他文件,并为黑客创建了一个后门,以便利用你的系统。
想了解更多网络安全意识内容,继续关注PrivacyAffairs!
来源
Security Org – 什么是电脑蠕虫?
Eprint – 物联网核爆:创建一个ZigBee连锁反应
Eset – 什么是电脑蠕虫,它是如何感染电脑的?
MalwareBytes – 电脑蠕虫
MakeUseOf – 你应该了解的5种关键电脑蠕虫类型
Kaspersky – 病毒和蠕虫有什么区别?
WhatIsMyIP – 电脑蠕虫及如何防止它们?
