rootkit
术语“rootkit”来自于“rootkit”,它是一个在系统中提供最高权限的包。它用于描述允许系统中秘密存在未经授权的功能的软件。Rootkits修改和拦截环境的典型模块(OS,或者更深层的bootkits)。
当攻击者需要从系统后门进入并尽可能长时间地保持不被注意的访问时,就会使用rootkit。此外,它们可以注册系统活动,并以攻击者希望的任何方式改变典型行为。
根据活动层,rootkits可分为以下类型:
Usermode环(3):它最常见和最容易实现的,它使用了相对简单的技术,例如IAT和INLINE挂钩,以改变被称为函数的行为。
Kernelmode(环0):“真实”rootkits从此图层开始。它们生活在内核空间中,改变内核模式功能的行为。攻击Bootloader的KernelMode Rootkit的特定变体称为Bootkit。
虚拟机监控程序(环1):运行在最低级别的hypervisor上,它基本上是一个固件。被这种类型的rootkit感染的系统内核不知道它不是与真实的硬件交互,而是与被rootkit改变的环境交互。
规则表明运行在较低层次的rootkit不能被运行在所有以上层次的任何rootkit软件检测到。
远程访问木马(RAT)
远程访问木马是提供能力,允许秘密监视或能力获得未经授权访问受害者的电脑。远程访问木马经常模仿键盘记录器应用程序的类似行为,允许自动收集击键、用户名、密码、截图、浏览器历史、电子邮件、聊天记录等。远程访问木马与键盘记录程序的不同之处在于,它们使攻击者能够获得未经授权的远程访问受害者计算机的能力,通过特别配置的通信协议,这是建立在受害者计算机的初始感染。这种进入受害机器的后门可以让攻击者不受限制地访问,包括监视用户行为、更改计算机设置、浏览和复制文件、利用带宽(Internet连接)进行可能的犯罪活动、访问连接的系统等等。
流氓扫描仪
流氓扫描器,也被称为假扫描器、假AV或流氓软件,是注入合法网站或驻留在虚假网站中的代码片段。他们的社会工程策略通常包括显示虚构的安全扫描结果、威胁通知和其他欺骗策略,试图操纵用户购买虚假的安全软件或许可证,以消除可能感染他们系统的潜在威胁。他们的警告是精心设计的,与合法的反病毒或反恶意软件的界面非常相似,这进一步增加了看到这些警告的用户上当受骗的可能性。这些恶意软件可以攻击并影响pc和Mac系统。2011年,安全行业的知名人士注意到流氓扫描仪的急剧下降,无论是在检测新的变种还是搜索引擎结果的解决方案。
Rogueware是两种主要的恐吓软件之一。另一个是勒索软件。流氓扫描仪不像几年前那么明显了。据信,勒索软件已经完全取代了流氓扫描仪。
销售点(POS)
销售点(POS)恶意软件是专门创建的软件,以窃取客户数据,特别是从借记卡和信用卡等电子支付卡以及零售店的POS机器。它通过从POS的内存(RAM)刮擦临时未加密的卡数据来实现这一点,然后将其写入文本文件,然后将其发送到稍后的日期或远程检索它。据信,这种恶意软件的扩散背后的罪犯主要是在他们可以出售的数据之后,而不是他们自己的个人使用。虽然被视为普通PC银行木匠特洛伊木马的复杂,但POS恶意软件仍然可以极大地影响卡用户,而在不知不觉中使用受影响的终端,仍然可以很大影响,因为他们可能会发现自己陷入了可能损害他们声誉的法律混乱。
POS恶意软件可能有三种类型:键盘,内存转储器和网络嗅探器。
信息偷窃者
信息窃取者这个术语不言自明。这种类型的恶意软件驻留在受感染的计算机中,并收集数据以发送给攻击者。典型的目标是在网上银行服务、社交媒体网站、电子邮件或FTP账户中使用的凭证。
信息窃取者可能使用许多方法来获取数据。最常见的是:
- 连接浏览器(有时还有其他应用程序)并窃取用户输入的凭据
- 使用web注入脚本,在web表单中添加额外的字段,并将它们中的信息提交给攻击者拥有的服务器
- 表格抓取(查找特定的打开的窗户并窃取他们的内容)
- 键合金
- 窃取在系统和cookie中保存的密码
现代信息窃贼通常是僵尸网络的一部分。有时,攻击的目标和相关事件的目标是通过从命令和控制服务器(C&C)发送的命令远程配置。
