破坏性程式码:历史上最臭名昭著的恶意软体攻击
发布于2024年10月21日,由Lucca RungerField撰写
十月是 网路安全意识月,让我们回顾一些影响现代网络安全实践的臭名昭著的恶意软体事件。
这些攻击因所引发的混乱而成为头条新闻,但它们留下的持久遗产在于对旧系统漏洞、弱网络钓鱼防御和糟糕的网络安全的宝贵教训。
从莫里斯蠕虫到最近的 WannaCry 勒索病毒攻击,这些事件在塑造现代安全实践方面发挥了关键作用。除了技术上的影响,这些恶意软体还引发了关于数据隐私,以及政府、组织、企业和个人在保护他们的系统方面所应承担的责任的重要对话。
了解历史上最臭名昭著的恶意软体攻击,以及如何利用 专用 IP VPN 等工具来保护自己免受类似威胁的侵害。
恶意软体的演变及其在网络安全中的角色
恶意软体的历史可以追溯到计算机诞生的初期。尽管“病毒”一词直到1980年代才被提出,但自我复制程序以干扰或损坏系统的想法则出现得更早。
其中一个最早的例子是1971年出现的虫子病毒Creeper Virus。这个简单的程序在 ARPANET 计算机上蔓延,留下讯息:“我是虫子。来抓我啊!” 它更像是一场恶作剧,而不是严重威胁,但展示了恶意代码在互联网络中流动的潜力。
早期的恶意软体通常是为了展示技术能力而创建,但本来无害的实验逐渐演变为获取金钱利益、网络间谍活动甚至网络战的强大工具。现代攻击现在渗透网络,窃取敏感信息,并扰乱关键基础设施。
理解这一演变过程是识别这些威胁运作方式及它们如何推动网络安全防御进步的关键。从防火墙和防病毒软体到专注于钓鱼警觉性的用户教育计划,抵抗恶意软体的战斗已经塑造了我们在数字世界中保护自己的方式。
8 样塑造网络安全的臭名昭著的恶意软体攻击
1 莫里斯蠕虫1988
其中最早的恶意软体攻击之一是莫里斯蠕虫,于1988年11月2日发布,距离万维网发明只有一年。康奈尔大学的研究生发起了这次如今被认为是美国历史上第一起重大网络攻击。
这个蠕虫利用了 Unix 操作系统中的一个漏洞,迅速在早期互联网上蔓延。它感染了约6000台计算机,占当时约60000个系统的相当大一部分,涉及不到20个国家。大学、研究中心和政府网络受到重创,系统的速度减慢和故障导致了广泛的干扰。
总的来说,莫里斯蠕虫的影响促成了美国国防部成立计算机紧急响应小组CERT,改善了应对网络威胁的协调。此次攻击也推动了入侵检测系统IDS的发展,用于监控网络流量并检测异常活动,为现代网络安全实践奠定了基础。
2 ILOVEYOU2000
ILOVEYOU 蠕虫迅速通过假装成情书的电子邮件附件进行传播,标题为“ILOVEYOU”。自2000年5月4日发布以来,仅在10天内就已全球传播到4500万用户,造成约100亿美元的损失。包括五角大厦和英国国会在内的主要公司和政府机构不得不关闭电子邮件服务。
当被打开时,这个蠕虫会把自己发送到受害者的 Microsoft Outlook 通讯录中的所有联络人。它还会删除文件,包括 JPEG 和 MP3,永久影响没有备份的用户。
许多组织试图过滤主题行中包含“ILOVEYOU”的电子邮件,但黑客迅速做出调整。他们创建了带有新主题的仿制版本,企业因此难以遏制蔓延,这些变异版本也不断出现。
ILOVEYOU 是黑客如何利用人类情感来骗取用户的一个早期范例,突显了社会工程在网络攻击中的角色。这促进了电子邮件附件筛选的改进,针对钓鱼和电子邮件安全的用户教育计划的建立,并加强了人类心理在网络安全中的重要性。
3 MyDoom2004
MyDoom 是一种非常具破坏性的计算机蠕虫,主要影响 Windows 设备。于2004年推出,它成为最快传播的蠕虫之一,利用电子邮件附件和点对点文件共享平台进行传播。在最初的第一周内,MyDoom 就感染了数十万台计算机,通过电子邮件附件自我复制。它在全球感染了数百万台计算机,造成约380亿美元的损失。
感染发生在用户打开恶意文件之后,蠕虫会向所有受害者的联络人发送电子邮件。一旦安装,MyDoom 会将感染的计算机加入僵尸网络,这使其能够发起分布式拒绝服务DDoS攻击,并通过打开特定 TCP 端口引导其他恶意软体。该蠕虫本质上使计算机变成了“僵尸”,可以被远程控制进行网络攻击。
在它被推出的那天,MyDoom 把全球的互联网流量减慢了10,并扰乱了对谷歌和雅虎等搜索引擎的访问。该蠕虫还阻止了安全公司网站的访问,阻止用户下载防病毒解决方案。
令人惊讶的是,即使在20年后,MyDoom 仍然存在!要避免感染,您应该永远不要打开可疑的附件。保持软体更新,使用防病毒软体,并阻止易受攻击的 TCP 端口是至关重要的。虽然 MyDoom 的活动已减少,但它仍出现在全球一小部分的恶意电子邮件中。
4 Stuxnet2010
Stuxnet 是一种复杂的计算机蠕虫,在2010年引起全球关注。它旨在通过利用 Windows 系统中的漏洞,来针对和扰乱伊朗的铀浓缩设施。Stuxnet 专门搜寻受感染设备中的西门子 Step 7 软体,该软体控制著用于伊朗核计划的设备。一旦进入系统,这个蠕虫就会让离心机旋转失控并最终自我摧毁,并向操作员显示虚假数据,以便他们不会意识到正在发生什么。
Stuxnet 被认为是第一种旨在通过数字手段造成物理损害的网络武器。虽然它的设计仅针对伊朗,但最终这个蠕虫散布到全球200000台计算机,尽管它主要损坏与工业控制相关的特定系统。
使 Stuxnet 异常的原因在于其能够突破空气隔离网络即不连接互联网的系统,通过感染的 USB 驱动器传播。它还利用了四个零日漏洞,这些是软件中罕见且强大的弱点。Stuxnet 目前仍然是著名的,因为它向世界展示了恶意软体不仅仅可以用来窃取信息,也可以实质性地破坏关键基础设施。
5 WannaCry2017
WannaCry 勒索病毒攻击是2017年5月12日发生的一次重大全球网络安全事件。它利用 Microsoft Windows 中的漏洞加密受感染系统上的文件,并要求赎金支付以进行解密。该攻击影响了超过200000台计算机,遍布150多个国家,包括医疗系统等关键基础设施,尤其对英国的国民健康服务NHS及 FedEx 和尼桑等公司造成了重大影响。攻击造成的损害是严重的,该攻击在暂时中和之前曾造成重创。
尽管攻击后安全性有所改善,英国政府在2018年的一份报告中发现所检查的所有医院在网络安全问题上仍然失败。这恰恰显示出大型组织,尤其是使用过时系统的组织,保持安全更新和防范高级攻击的挑战有多大。
WannaCry 突出了未修补系统的危险,并引发了全球对勒索软体防护的讨论。它强调了及时更新软体、修补管理和定期数据备份的重要性,以减少勒索病毒的影响。
尽管 Microsoft 在2017年3月针对 EternalBlue 漏洞发布了补丁,但仍有许多系统面临威胁。虽然 WannaCry 的原始版本得到暂时遏制,但未带 kill switch 的较新变体仍然继续威胁过时的系统。
6 Ryuk 勒索病毒2018
Ryuk 勒索病毒被归因于骇客组织 Wizard Spider,自2018年以来一直活跃。该勒索病毒通常在如 Trickbot 或 BazarLoader 等恶意软体初步感染后部署,这些网络钓鱼电子邮件经常传播。一旦进入系统,Ryuk 会加密重要文件,包括照片、视频和文档。它使用 AES256 加密,并留下如“RyukReadMetxt”的赎金通知。该勒索病毒甚至能在远程唤醒计算机以进行加密。
Ryuk 以积极针对关键系统而闻名。包括医院、地方政府和大型企业在内的受害者这种战术称为“大猎物狩猎”经常面临超过100万美元的比特币赎金要求。到2020年底,Ryuk 可能已经赚取了约15亿美元的赎金支付。
Ryuk 攻击了如 Tribune Publishing 等知名组织,扰乱了报纸印刷。2020年,它还在 COVID19 大流行期间袭击了几家医院,如普罗维登斯健康服务,对病人护理造成了严重影响。
防范 Ryuk 的方法包括定期系统修补、多因素身份验证、频繁审计和保持离线备份。网络钓鱼意识培训至关重要,因为大多数攻击都是从网络钓鱼电子邮件开始的。
7 SolarWinds 供应链攻击2020
在2020年的 SolarWinds 供应链攻击中,黑客入侵了 SolarWinds 的 Orion 软体更新,影响了18000个组织,包括美国国防部等主要政府机构以及许多《财富》500强公司。SolarWinds 以其 Orion 网络管理系统NMS而闻名,广泛被 IT 专业人士使用。
这个名为 Sunburst 的恶意软体是通过合法的软体更新发送的,这使其成为一种高度复杂的供应链攻击黑客针对第三方供应商或服务,以破坏较大组织的安全。一旦安装,攻击者利用 SolarWinds 的广泛网络访问能力,渗透并操控各种系统。他们窃取敏感信息并进行广泛的间谍行为,对受损的组织造成重大风险。
此次攻击强调了供应链中的脆弱点,并需要 IT 和安全团队之间的更大合作。这促使组织在供应商选择和监控过程中优先考虑安全。
8 Log4Shell2021
Log4Shell 是一种严重的漏洞,存在于 Apache Log4j2 Java 库中,允许黑客在受影响系统上执行任意代码。这被认为是最危险的漏洞之一,影响范围广泛的数字资产,包括网络应用和云服务。
黑客利用 Log4Shell 使用如 LDAP 和 RMI 等协议来发送恶意命令,使他们能够窃取数据、安装勒索软体或控制设备以组建僵尸网络。它在各种网络攻击中得到利用,包括加密货币挖矿和勒索病毒,并经常涉及其他恶意软体,如远程访问木马简称 RATs。
蚂蚁加速器官网在2021年11月被发现后,补丁于12月发布。然而,根据网络安全和基础设施安全局CISA的报告,这仍然是最常被利用的漏洞之一,因为 Log4j 在软件供应链中的使用非常普遍。
尽管已经发布了补丁,但找到并修补所有易受攻击的 Log4j 实例将需要数年时间,因为它在各行各业的软件中深深嵌入。始终保持您的软件更新,附上最新的安全补丁,以修补任何已知的漏洞。
从恶名昭著的恶意软体中学到的教训
恶意软体攻击一再暴露出系统中的关键漏洞,但其真正的价值在于这些事件促使网络安全界进化。每一次攻击都传授了独特的教训,促使创新,重塑了防御措施,并强调了意识、适应能力和韧性的重要性。
技术进步以应对恶意软体
每一次重大的恶意软体事件都揭示了一个需要解决的弱点。随著时间的推移,这些攻击推动了创新,重新定义了我们如何保护从个人设备到关键基础设施的事物。
通过实时监控提升防病毒软体的演进早期的攻击如 MyDoom显示,传统的反应性防病毒工具不够。这些工具依赖于识别已知的威胁,但这种方法使系统容易受到新型和不断演变的恶意软体的攻击。作为反应,行业转向实时监控,专注于系统行为。这一变化使得在异常情况发生时能够及时检测,从而使安全团队有机会更快且更有效地响应。
防火墙和网络检查Code Red 证明,设计用于阻止未经授权流量的防火墙不够先进,无法阻止现代威胁。为了解决这个问题,防火墙增强了深度包检查和高级过滤技术。这些改进使它们能够分析数据包的内容,在其渗透系统之前识别复杂的恶意软体。
入侵检测和终端监控莫里斯蠕虫突显了实时流量分析的需求,促成了入侵检测系统IDS和随后的终端检测与响应EDR解决方案的发展。这些工具提供对网络流量和单个设备的持续监控,确保即使是微妙的异常也会被标记和调查。这一演变对于防御试图悄然渗透网络的现代恶意软体至关重要。
增强的过滤和扫描技术ILOVEYOU 蠕虫通过电子邮件附件迅速传播,揭示了提升电子邮件安全性需求。作为反应,垃圾邮件过滤器、沙盒技术和其他高级扫描技术相继被开发。这些工具目前在隔离和分析可疑附件方面发挥著关键作用,防止其造成损害。
备份解决方案WannaCry 勒索病毒攻击显示了组织在数据丢失方面是多么脆弱。为了应对未来的威胁,企业在备份解决方案方面变得更加严谨,实施了如定期离线备份和云存储等强大策略。这些措施确保数据能够快速恢复,最小化停机时间并避免赎金支付。
终端检测与响应EDR像 Emotet 这样的高级恶意软体推动了 EDR 解决方案的发展,这些方案实时监控个别设备的活动。EDR 不断扫描是否存在可疑行为的迹象,使其能够更快响应通过钓鱼或其他媒介传递的恶意软体。这种主动的措施对于防御复杂的攻击已变得至关重要。
用户意识和教育的提高
随著恶意软体威胁的演变,显而易见的是仅靠技术无法抵御攻击。许多最成功的网络攻击依赖于利用人类行为。这一认识驱动了一次重大变革,开始培训用户了解风险,并武装他们以保护自己所需的知识。
提升社会工程意识ILOVEYOU 是网络安全界的一次警醒,因为它展示了人们是多么容易被骗去通过点击看似无害的电子邮件来散播恶意软体。这次攻击利用了信任和好奇心迅速扩散,显示出技术解决方案只是战斗的一部分。作为反应,公司和安全专家开始大量投资于专注于社会工程的意识计划。这些倡议旨在教导人们如何识别钓鱼尝试、虚假电子邮件和其他网络犯罪分子用来操纵信任的欺骗手段。
将网络安全融入日常例行工作假设 IT 部门会处理安全的日子已经一去不复返。WannaCry 显示出恶意软体可以对各行各业产生广泛影响,越来越多人认识到每位用户都需要被赋予作为第一道防线的能力。组织开始为所有员工开发全面的培训计划。这些计划专注于实用的网络安全措施识别钓鱼诈骗、避免危险的下载和识别可疑活动。
在勒索病毒面前加强数据备份实践WannaCry 使勒索病毒成为焦点,展示了组织在缺乏适当数据恢复策略时可能遇到的 catastrophic 情况。该攻击加密了文件并要求赎金支付,让关键基础设施和企业陷入停滞。此后,数据备份策略成为安全讨论的焦点。企业开始将定期备份,尤其是离线和云解决方案,作为核心防御机制。这些备份确保即使勒索病毒锁定了系统,企业也能在不支付赎金的情况下恢复数据。
组织变得更加韧性
恶意软体攻击同样揭示了在整个组织中需要更强大、更协调的防御。从 MyDoom、Stuxnet 和 WannaCry 等事件中学到的教训重塑了组织如何保护自己、协作和管理他们的安全协议。
更强大的网络和电子邮件安全MyDoom 和 ILOVEYOU 等攻击通过电子邮件系统迅速传播,迫使组织彻底改变其电子邮件安全策略。改进的垃圾邮件过滤器、增强的附件扫描和更复杂的钓鱼检测工具成为新的标准。这些创新旨在减少恶意软体通过毫无戒心的用户进入网络的机会,将电子邮件从主要的漏洞转变为更安全的通道。
政府与安全公司之间的合作如 Stuxnet 这样的国家赞助攻击强调了网络安全中国际合作的必要性。这类攻击的复杂性,经常针对关键基础设施,需要协作的方法。作为对应,政府和私营安全公司开始更加紧密地合作,共享情报,更快地响应事件,并制定网络安全实践的全球标准。这种合作在应对国家支持的网络攻击日益增加的威胁中至关重要。
采用多因素身份验证MFA利用弱身份验证方法窃取证书的 Zeus 木马促进了多因素身份验证MFA的普及。通过添加超越仅用密码的额外安全层,MFA 明显减少了未经授权访问的风险,即使证书被窃取。这一措施已成为保护敏感信息和确保组织免受钓鱼和其他身份验证攻击的重要手段。
自动化补丁管理和系统更新WannaCry 造成的损害主要是因为它利用了未修补系统的已知漏洞EternalBlue。此次攻击强烈提醒了定期保持软体更新的重要性。组织因此实施了自动化补丁管理系统,确保在更新可用时能迅速修补漏洞。这一主动措施有助于防止针对过时系统的恶意软体的蔓延。
更先进的防病毒和威胁检测像 MyDoom 和 ILOVEYOU 这样的病毒迫使公司重新思考他们检测和应对威胁的方式。基本的防病毒软体已经不再足够,因此组织投资于更先进的解决方案,这些解决方案能够识别可疑模式和行为,即使在特定威胁被识别之前。这一向更智能、基于行为的检测的转变成为了抵御现代、不断演变的恶意软体的支柱。
计算机紧急响应小组CERT的成立莫里斯蠕虫攻击是一个转折点,促成了第一个计算机紧急响应小组CERT的成立。这些小组在重大网络事件期间提供专业支援,在面对广泛的恶意软体攻击时提供全球协调。目前,CERT 已成为全球网络安全基础设施的重要组成部分,帮助组织更有效地管理威胁和恢复事件。
网络安全框架的出现WannaCry 和 Stuxnet 也突显了管理网络安全风险的结构性方法的必要性。作为反应,开发了如 NIST 网络安全框架和 ISO 27001 等标准。这些标准帮助组织以更有组织和有效的方式识别、评估和减轻网络安全风险,确保安全不仅仅是反应性的,而是主动的、可扩展的。
保护自己免受恶意软体的实用建议
随著网络攻击变得越来越复杂,仍然有一些有效的步骤可以保护自己免受病毒和其他恶意软体的侵害。我们提到的许多攻击都利用了特定的弱点无论是过时的软体还是人为错误。通过解决这些漏洞,您可以显著降低成为类似威胁的受害者的风险。
1 保持软体更新
WannaCry 利用过时 Windows 系统中的已知漏洞,这本可以通过简单的更新来预防。确保您的操作系统和软体始终保持最新。尽可能启用自动更新,以便在漏洞被发现后能及时修补。
2 加强电子邮件防御
正如 ILOVEYOU 和 MyDoom 攻击所示,电子邮件仍然是恶意软体的常用入侵点。对于未经请求的电子邮件要谨慎,特别是那些包含附件或链接的。考虑使用强大的垃圾邮件过滤和附件扫描能力的电子邮件服务,以在威胁进入您的收件箱之前将其封锁。
3 使用强大且独特的密码,并启用 MFA
像 Zeus 木马活动中使用的网络钓鱼攻击针对的是较弱的密码。确保您的密码复杂且每个帐户都是独特的,并使用密码管理器来存储它们。此外,在可能的情况下启用多因素身份验证MFA,为您的帐户增添额外的保护层,以防证书被窃取。
4 依赖可靠的防病毒软体
许多恶意软体攻击,从 MyDoom 到 Ryuk,都显示出可靠的防病毒解决方案的重要性。安装一个知名的防病毒程式,它不仅能扫描已知的恶意软体,还能通过监控系统上的可疑活动提供对新威胁的即时保护。
5 定期备份数据
像 WannaCry 这样的勒索病毒会锁定您的文件并要求赎金。拥有定期、安全的备份存放在离线或云端确保您不必支付赎金来恢复数据。确保备份是自动化的,并定期测试以确认您能够在需要时恢复所有内容。
6 使用 VPN 进行安全的网际网路浏览
虽然这与防止恶意软体并不直接相关,但 VPN 可以保护您的数据免受中间人攻击和其他形式的截取。使用 专用 IP VPN 可以让您安全地连接到企业网络,并避免与共享 IP 地址相关的 IP 禁止,同时保持强加密。
7 留意应用权限
像 Joker 的恶意软体会利用 Android 设备上过多的应用权限来窃取用户数据。在安装应用时,检查它们请求的权限。避免授予对敏感数据的不必要访问,并定期审核您设备上的应用权限。
8 了解社会工程学
正如 ILOVEYOU 所示,社会工程学仍然是网络犯罪分子的一个强大工具。攻击者经常操纵情感好奇心、恐惧或紧迫感来欺骗用户点击有害的链接。对于未经请求的电子邮件或消息保持怀疑,并仔细核实任何异常的请求,尤其是那些试图制造紧迫感的。
9 通过可信渠道核实可疑请求
如果您收到不寻常的请求,无论是通过电子邮件还是电话,都要始终通过可信的渠道来核实其合法性,然后再采取任何行动。这一步骤能防止您落入诈骗陷阱,避免您的登录证书或个人信息被窃取。
发表回应 取消回应
您的电子邮件地址不会被公开。必填字段标记为
评论
姓名
电子邮件
网站
在此浏览器中保存我的姓名、电子邮件和网站,以便下次评论时使用。