信息來源：安全牛

說到惡意軟件，我們簡直生活在一個可怕的時代。每天都在聽說黑客又突破了滿載客戶隱私數(shù)據(jù)的網(wǎng)絡(luò)。公眾對此甚至都麻木了，面對數(shù)百萬記錄被盜，或者公司私密郵件泄露這種事，早已是屢見不鮮。

作為安全從業(yè)人員，我們無法全天24小時生活在對看不見敵人的恐懼中防賊。我們可以做的，就是加固我們的堡壘。早期檢測可防患于未然，將惡意軟件攻擊阻擋在造成實質(zhì)損失之前。大多數(shù)攻擊，始于2種易于防護(hù)的方法之一：社會工程，或是未打補丁的軟件。

但因為黑客努力變得越來越隱秘，惡意軟件檢測難度也呈指數(shù)級增長。比如下面列出的這10種全球最隱秘的惡意軟件程序。

1. PowerShell惡意軟件

微軟本意是想讓其PowerShell腳本語言，成為一款靈活的Windows和活動目錄遠(yuǎn)程管理工具。它在自動化常規(guī)任務(wù)和遠(yuǎn)程控制大量計算機上表現(xiàn)出色。黑客也超愛這個工具，因為惡意使用的時候很難被檢測到。

PowerShell黑客攻擊方法，很快就從研究人員的概念驗證程序，發(fā)展到了網(wǎng)絡(luò)罪犯的首選工具之一。最近，不涉及PowerShell的企業(yè)攻擊，甚至都已經(jīng)很少見了。通常，大多數(shù)編碼都會很小心地做混淆，防止被檢測。

市面上有2款流行PowerShell工具包：

• PowerSploit
  https://github.com/PowerShellMafia/PowerSploit
• PowerShell Empire
  https://www.powershellempire.com

這兩款軟件號稱是合法滲透測試工具，但其實也是黑客工具之選。防御方法也不是沒有，比如至允許合法簽名的腳本，但企業(yè)往往直到遭攻擊之后才意識到預(yù)防措施的存在。

2. 新設(shè)備或軟件中的惡意軟件

沒人希望新手機/計算機/軟件被感染，但有時候新設(shè)備/軟件就是會被感染。而且主流公司并不自帶免疫。全球最流行產(chǎn)品往往也是惡意軟件集散地，比如蘋果和微軟的系列產(chǎn)品?？扉W存儲卡、USB密鑰、網(wǎng)絡(luò)設(shè)備和智能手機都是惡意軟件躋身的地方。甚至數(shù)字相框也不能幸免。微軟曾發(fā)現(xiàn)，在中國發(fā)售的全新PC中有20%都含有惡意軟件。

為什么會這樣？有時候是沒意識到自己被感染的制造商意外引入了惡意軟件。有時候是流氓雇員故意感染產(chǎn)品。有時候是承包商在將設(shè)備交回廠商之前加入了惡意軟件。無論是哪種途徑，最終都是客戶開箱拿到個存在漏洞利用的設(shè)備。

3. 無線路由器中的惡意軟件

無線路由器是黑客樂此不疲的攻擊前線。這些設(shè)備，基本上就是微型計算機，還是可以用定制代碼遠(yuǎn)程更新的那種。而且，很多無線路由器運行的是很容易被利用的代碼，或者干脆沒改默認(rèn)口令。黑客長久以來都在利用路由器上的弱安全設(shè)置。隨著自動搜索互聯(lián)網(wǎng)找尋受害者的工具的出現(xiàn)，路由器利用變得更加容易了。

黑客攻擊路由器，是為了盜取無線網(wǎng)絡(luò)上流轉(zhuǎn)的金融信息，或者挪用路由器的處理能力。

將路由器處理能力挪作他用的攻擊方式，可令任意脆弱聯(lián)網(wǎng)設(shè)備成為聽命攻擊者的奴隸。最流行的IoT惡意軟件程序Mirai，就被黑客用來奴役大量家庭聯(lián)網(wǎng)設(shè)備發(fā)起大規(guī)模DDoS攻擊。

4. 計劃任務(wù)惡意軟件

Windows PC 上運行的大多數(shù)微軟計劃任務(wù)，對普羅大眾而言都是一個搞不清楚的謎團。隨時可能有幾十個合法任務(wù)在執(zhí)行，錯刪一個都有可能造成巨大的問題。但區(qū)分哪些任務(wù)必須，哪些沒必要，哪些又是徹頭徹尾的惡意程序，是非常困難且耗時耗力的。

惡意軟件制造者就利用的是這份混亂與困惑。

安裝成計劃任務(wù)的惡意軟件，往往能獲得高級憑證，這很不好。而更糟的是，該計劃任務(wù)還會在反惡意軟件掃描器清除掉之后重新下載惡意軟件。事實上，計劃任務(wù)感染的最典型癥狀，就是有無論怎么清除都會長期駐留的流氓程序。如果有超級難刪除的惡意軟件程序，不妨檢查一下計劃任務(wù)列表。

5. 信任數(shù)字證書的危害

黑客喜歡利用我們賦予數(shù)字證書的額外信任。不幸的是，大多數(shù)用戶對數(shù)字證書理解不夠，無法識別出被惡意破壞的那些。操作系統(tǒng)和瀏覽器正在將信任決策權(quán)逐漸從用戶手中拿走。

這有所幫助，但是，作為回應(yīng)，黑客開始盜取合法的全局信任代碼簽名證書，并用這些證書簽署自己的惡意軟件。如此一來，用戶就會得到偽裝成合法程序或更新的木馬，并毫不知情地安裝到系統(tǒng)中。

有時候，黑客甚至不是直接偷取，而是復(fù)制公司的證書，就像流行Flame惡意軟件程序做的那樣。專家擔(dān)心，隨著最近針對SHA-1加密散列簽名攻擊的成功，這些數(shù)字簽名攻擊會有所上升。這也正是專家建議人們盡快升級到SHA-2的最主要原因。

6. 網(wǎng)絡(luò)蠕蟲

2003年，SQL Slammer 蠕蟲在10分鐘之內(nèi)，感染了10萬個未打補丁的SQL實例，保持至今仍未被打破的網(wǎng)絡(luò)蠕蟲快速感染記錄。蠕蟲曾經(jīng)絕跡了幾年，但如今又卷土重來。最近的WannaCry和Petya勒索軟件，就是此類蠕蟲的明顯例子。

蠕蟲狩獵未打補丁的軟件或用戶配置錯誤，比如弱口令，用以攻入下一個受害者的計算機。無論WannaCry還是Petya，都利用了數(shù)百萬毫無疑心的PC，讓無數(shù)以為自己受到保護(hù)的用戶目瞪口呆。

網(wǎng)絡(luò)蠕蟲一直是最可怕的惡意軟件程序，因為就像 SQL Slammer 所呈現(xiàn)的，它們快速傳播，造成破壞，然后逃離。在人們意識到發(fā)生了什么事情之前，傷害已經(jīng)造成。

7. 社交媒體App

當(dāng)今時代，最隱秘的攻擊來自于你的朋友。流程大體如此：你收到朋友突然發(fā)來的新潮軟件安裝推薦，或者邀請你看一段惡搞視頻，但其實發(fā)來的都是偽裝過的惡意程序。一旦運行了該流氓代碼，黑客就收割了你的社交媒體賬戶，開始利用你所有的朋友聯(lián)系。

這最初的請求其實不是來自于你的朋友，而是來自獲取了他賬戶的那個黑客。黑客會用盜取的賬戶來收獲更多人的賬戶，偷走金錢，甚或入侵公司網(wǎng)絡(luò)。黑客高度認(rèn)知到：很多社交媒體用戶用同樣的登錄名和口令登錄他們的公司網(wǎng)絡(luò)，只需破解一個，便可進(jìn)入其他。

8. 無線中間人

在溫馨安靜的當(dāng)?shù)乜Х瑞^落座，開始收發(fā)晨間郵件。你不會懷疑，也不會知道，就在同一家店里，一名黑客已經(jīng)攫取了你本應(yīng)受到保護(hù)的Web憑證。

Firesheep(http://codebutler.com/firesheep)就是做這事的最佳工具。黑客和想讓高管層認(rèn)真考慮無線及Web安全的滲透測試員，都喜歡用這款工具。盡管Firesheep已經(jīng)被其開發(fā)者下架了，還有大量其他工具能做同樣的事——幾乎完全免費，只需等待下載完畢即可使用。

正確配置無線連接，可以消除該威脅，但要找出所有無線連接都被完美防護(hù)的計算機還真挺難的。

9. 內(nèi)聯(lián)鍵盤記錄器

鍵盤記錄器是微型硬件設(shè)備，一旦在計算機的鍵盤和鍵盤輸入連接器之間安裝上，就會獲取從該鍵盤輸入的任何東西。該方法對智能手機或筆記本電腦無效，但黑客成功在酒店、金融機構(gòu)和其他公共場所中找到了大量傳統(tǒng)PC可供利用。

攻擊者可以像普通用戶一樣坐在電腦前把記錄器安裝上。記錄器很容易隱藏，因為安上記錄器的鍵盤線，通常都放在電腦背后或機柜下面。裝好后攻擊者就可以離開，等數(shù)天之后再過來拿走記錄器。然后，回家就可以在里面挖掘口令和其他憑證信息了。

10. USB黑客設(shè)備

自從USB形態(tài)因素的計算機有了足夠的存儲和處理能力，黑客就對其漏洞利用潛力垂涎三尺了。幾十個黑客工具和完整的Linux發(fā)行版安裝在USB鍵盤上。不到100美元就能在線買下一個。只需插入受害者電腦，放任上面的黑客腳本大干壞事即可。

此類流行工具之一，是Hak5的Bash Bunny(https://hakshop.com/products/bash-bunny)。 里面包含了2種攻擊模式，用戶可用很方便易學(xué)的腳本來配置。比如說，一種模式可利用Windows計算機，另一種就利用Mac機。你需要做的全部，僅僅是瞅個沒人看著的機會，走到受害者計算機旁，插上該設(shè)備，等待幾秒，然后帶上你的戰(zhàn)利品溜掉?；蛘?，你也可以在計算機背面的USB口插上該設(shè)備，在受害者網(wǎng)絡(luò)中長期留有一個難以發(fā)現(xiàn)的流氓黑客計算機。