信息化觀察網(wǎng)

本文來自安全牛。

過去，攻擊者只要將惡意軟件安裝在目標(biāo)系統(tǒng)上，就可以讓它在無人為干預(yù)的情況下自動運行；現(xiàn)如今，大多數(shù)攻擊活動會被數(shù)名攻擊者操控，為了逃避檢測，攻擊者會利用諸多編程或腳本語言來生成惡意代碼來讓自己突破安全防線潛伏下來。

根據(jù)不同惡意軟件之間的差異性對其進行分類，可以更好地進行網(wǎng)絡(luò)安全防護。因此國外雜志《CSO》從惡意軟件對受感染設(shè)備所造成的影響程度和攻擊者想要取得的不同最終目標(biāo)兩方面出發(fā)，對惡意軟件進行了分類，以下是具體分類結(jié)果：

按對受感染設(shè)備所造成的影響分類

宏病毒：這類病毒可能是世界上最常見的惡意軟件。大約92%的外部攻擊始于網(wǎng)絡(luò)釣魚，而宏是保證網(wǎng)絡(luò)釣魚“成功”核心。宏是程序在沒有用戶交互的情況下自動執(zhí)行的擊鍵或鼠標(biāo)操作——通常指Microsoft Word/Excel宏，可以針對工作表或文檔自動執(zhí)行重復(fù)性任務(wù)。

簡單的Office文檔宏是最主要的初始感染途徑，與工作相關(guān)的釣魚宏則更具欺騙性，而且宏的編程語言（如微軟的Visual Basic）很簡單，因此攻擊者輕而易舉就可以編寫宏病毒。

多態(tài)病毒：多態(tài)病毒是最復(fù)雜的病毒類型之一。顧名思義，多態(tài)病毒會變形，每次進入新應(yīng)用或新設(shè)備運行代碼時，執(zhí)行方式都會發(fā)生變化。雖然對所有種類的病毒都應(yīng)一視同仁地進行防護，但這類病毒最值得關(guān)注，因為它錯綜復(fù)雜，極難調(diào)查和檢測。

駐留病毒：這是一類破壞性很強的病毒。駐留病毒的病毒代碼并不存儲在調(diào)用它的可執(zhí)行文件中，相反通常存儲在可通過Web訪問的站點或存儲容器中。調(diào)用駐留代碼的可執(zhí)行文件通常被編寫成非惡意文件，旨在避免被防病毒軟件檢測出來。與駐留病毒相對應(yīng)的還有一種非常駐病毒，非常駐病毒包含在調(diào)用它的可執(zhí)行文件中，最常通過濫用企業(yè)服務(wù)來傳播。

引導(dǎo)扇區(qū)病毒：這類病毒旨在讓威脅分子可以不受限制且深入持久地潛伏起來。這類病毒的最終感染目標(biāo)是計算機的主引導(dǎo)記錄（MBR），被感染后，即使為計算機重新制作映像，病毒也會持續(xù)存在，系統(tǒng)一啟動就會在宿主的內(nèi)存中再次執(zhí)行。這類病毒幾乎總是依賴零日漏洞進入到MBR層面，或者通過受感染的USB或硬盤等物理介質(zhì)來傳播。

混合體病毒：雖然一些惡意軟件開發(fā)人員可能專攻某類病毒，但另一些開發(fā)人員采取“所有上述病毒”的方法，一次攻擊所有地方。這類病毒通常很難遏制和處理的，它們會感染系統(tǒng)的多個部分，包括內(nèi)存、文件、可執(zhí)行代碼，甚至引導(dǎo)扇區(qū)。這類病毒很常見，會以多種方式、大范圍地進行傳播。

按攻擊者的攻擊目的分類

釋放器病毒：這類惡意軟件旨在將其他惡意軟件釋放到受感染的系統(tǒng)上。被攻擊目標(biāo)可能感染上來自惡意鏈接、附件、下載件等來源的釋放器，通常在惡意軟件釋放完成后就會在系統(tǒng)中消失，宏惡意軟件就屬于釋放器的一類。

信標(biāo)/有效載荷病毒：信標(biāo)或有效載荷通常是釋放器植入的惡意軟件。它們會向攻擊者反饋信號，表明新植入的訪問途徑。如此，攻擊者就可以通過信標(biāo)確立的途徑來訪問受害者系統(tǒng)，進而訪問系統(tǒng)、系統(tǒng)所含的數(shù)據(jù)或網(wǎng)絡(luò)上的其他系統(tǒng)。

打包器病毒：這類惡意軟件包含一系列的組件，可以使用加密技術(shù)作為逃避檢測的手段。一些狡猾的惡意軟件活動使用一系列打包器，這些打包器像套娃玩具一樣嵌套。每個打包器含有另一個打包的組件，直至最終的有效載荷能夠執(zhí)行。

指揮官病毒：犯罪團隊通常都有領(lǐng)導(dǎo)者，惡意攻擊也不例外，這就是這類惡意軟件在多種惡意組件實現(xiàn)最終攻擊目標(biāo)過程中所扮演的角色。這類惡意軟件大多被命名為C&C、CNC或C2，它們在被攻擊系統(tǒng)的外部環(huán)境中運行，讓攻擊者可以與植入在目標(biāo)系統(tǒng)上的惡意軟件，以及進行活動的其他組件之間保持聯(lián)系。類比之下，更像現(xiàn)實中不法團伙的指揮部和老巢。