灰色软件是一个棘手的安全问题。 尽管与经常报道的术语“恶意软件”和“勒索软件”相比,“灰色软件”有点陌生,但事实上,我们每个人都与它有过密切接触:例如,许多新系统、不那么知名的应用程序可在 、 或具有知名但未正式提供的应用程序中使用。 这些程序通常是在未经许可的情况下安装和执行的。 它们都属于“灰色软件”或“可能不需要的应用程序”类别,并且是计算机安全的一个持续问题。
什么是“灰件”?
术语“灰色软件”由趋势科技发明,泛指所有不被视为计算机病毒或特洛伊木马的程序,但可能会对组织网络中使用的计算机的性能产生负面影响并导致网络问题。 受感染的软件。 按照这个定义,灰色软件大致包括以下几项:
1. 间谍软件
间谍软件是安装在计算机上的软件,用于记录用户的网页浏览偏好,主要用于营销目的。 当用户上网时windows恶意软件清理助手,间谍软件会将这些信息传输给其作者或对该信息感兴趣的其他方。 间谍软件通常与某些“免费下载”软件一起下载,而不通知用户其存在或请求安装其软件组件的许可。 间谍软件收集的数据可能包括用户击键,例如登录 ID、密码和信用卡号,并传输给第三方。
2. 广告软件
广告软件是在您的浏览器中显示广告的软件。 尽管许多用户认为它具有侵入性,但它不属于恶意软件。 广告软件通常会对系统造成烦人的影响,例如会降低计算机网络或系统性能的弹出广告。 广告软件通常与某些免费软件一起单独安装。 广告软件也经常与间谍软件一起安装。 这两类软件相互依赖来实现各自的功能——间谍软件记录用户的在线行为,而广告软件则利用这些记录来投放特定的广告。 广告软件会显示广告并收集网络浏览偏好等信息,这些信息可用于未来向目标用户投放广告。
3. 拨号器
拨号软件是控制计算机Modem的灰色软件。 这些程序经常拨打长途电话或拨打昂贵的电话号码,为盗取者创造收入。
4. 笑话节目
玩笑软件是导致计算机行为异常的软件,例如翻转屏幕或改变鼠标形状。 这些软件可能不会对用户的计算机造成损害,但一些系统管理员可能会觉得这些软件很麻烦,因为它增加了他们处理用户查询的时间。 因此,这些软件也被归类为灰色软件。
5. 黑客工具
入侵软件通常是现成的软件,可以帮助脚本小子非法侵入其他人的计算机。 由于脚本小子普遍缺乏先进的计算机科学技能,他们只知道如何控制这些入侵软件来达到非法入侵的目的。
6.远程访问工具
远程访问软件本身并不一定具有威胁性; 相反,许多是商业可用的工具,允许管理员管理其他计算机。 但这些工具一旦落入非法入侵者手中,也将成为入侵的工具,因此也被归类为灰色软件。
一般来说,灰色软件会执行一系列用户不希望遇到或觉得烦人的行为。 但要知道灰色软件不一定是恶意软件。 许多灰色软件的最终目标是跟踪网站访问者以获取搜索结果,以达到某种商业目的。 灰色软件的典型症状是系统缓慢、弹出广告、主页重定向到其他网站等,从而造成骚扰。
因此,一些 IT 专业人员可能会倾向于忽略灰色软件,而将精力集中在更具明显破坏性的恶意软件和其他威胁上。 然而,这种想法显然是不恰当的。 黑客可以将灰色软件技术用于其他恶意目的,例如利用浏览器加载和运行某些程序。 这些程序可以公开访问系统、收集信息、跟踪击键、修改设置或造成某些损害。
因此,IT和安全团队必须充分了解灰色软件的各种因素,包括它们是什么? 可能存在哪些潜在威胁? 该如何处理它们呢?
灰色软件的潜在危害
1.灰色软件可能收集敏感信息
灰色软件可以很好地执行合法任务,但需要付出一定的代价,即软件在执行工作时会捕获信息。 虽然并非所有案例都像 Cisco Talos 识别的 Persian Stalker Telegram 灰软件那么明显(2018 年,Talos 研究人员发现 Persian Stalker 灰软件攻击 Instagram 和 Telegram 的伊朗用户),但收集的信息具有多样性的特点。 。
某些灰色软件可以在其应用程序代码中公开收集信息,并且您的用户很可能已同意此操作。 在这种情况下,您所需要做的就是阅读许可协议第 321 节 C 部分的信息。 其他灰色软件可能嵌入窃取用户 cookie 信息(跟踪 cookie)的间谍软件或嵌入键盘记录程序。 总之,无论何种用例,敏感信息都可以在未经用户许可的情况下轻易获取,这是一个非常困难的问题。
2. 灰色软件增加安全负担
安全专家经常抱怨他们和他们的系统必须对大量数据进行分类才能发现攻击和漏洞。 灰色软件通过将潜在不需要的应用程序及其数据添加到整体组合中,进一步加剧了问题。
灰色软件增加安全负担的第一种方式是通过附加软件。 更多应用的存在意味着越来越多的应用需要分析、部署、配置和管理,这进一步增加了安全人员的工作量。
灰色软件的目的通常是提供广告、收集数据或两者兼而有之。 所有这些都需要组织外部的网络流量和命令与控制 (C&C) 服务器。 必须对流量进行嗅探和分析windows恶意软件清理助手,以便及时发现并阻止恶意流量。 灰色软件的存在使得整体数据量极大,给安全工作增加了更多的负担。 即使灰色软件本身不执行任何恶意操作,它的存在和活动也为隐藏恶意软件提供了良好的基础。
3. 灰色软件可能隐藏恶意软件
除了为恶意软件提供隐藏场所外,灰色软件还可以伴随恶意软件并将其隐藏在应用程序、帮助程序和服务中,声称为用户提供更高的下载价值。
在灰色软件上运行的恶意软件包括伪装成防病毒保护程序的特洛伊木马、系统不支持的浏览器帮助程序以及几乎任何类型的恶意负载示例,其名称和说明表明它们是合法软件。
这些恶意软件示例中的大多数应该能够被反恶意软件保护程序捕获,但是启动如此多灰色软件的软件安装程序可以为恶意软件提供足够的覆盖范围,使其扎根并访问受害者的计算机。 坚持。
4. 灰色软件可能隐藏虚假应用程序
假设您想要将 iTunes 加载到计算机上:您搜索该软件,采纳第一个建议,最后得到一个名为“iPrunes”的音乐管理器和播放器。 你以为只要能用软件交换曲目就无害、不违规是吧? 事实并非那么简单!
建议使用正版软件的原因之一是,大多数正版软件发行商对其收集和使用的客户信息都是公开透明的。 然而,功能有限的虚假应用程序可能会收集比用户预期更多的信息,并将其用于更具侵入性的目的。
“边缘功能”是关键:开发复杂的现代应用程序并不容易,即使对于大型合法发行商来说也是如此。 由于灰色软件的存在,用户可能会无意中引入功能不佳、可靠性较差、与其他商业编写的应用程序冲突的软件,从而引发进一步的安全问题。
5. 灰色软件可能与浏览器功能相混淆
今天的浏览器比以往任何时候都更能抵抗不受欢迎的浏览器帮助程序,但仍然有许多组织出于某种原因仍在使用旧版浏览器。 通过这些旧浏览器,攻击者可以轻松获取他们想要的信息。
浏览器攻击主要通过两种方式发生:收集未经授权的信息或向不需要的目的地发送请求。 前者对于企业 IT 来说存在明显的安全风险,但后者确实很危险,因为各种恶意软件都可以通过浏览器传播。 此外,当今大多数网站都充斥着如此多的第三方广告,用户甚至可能没有意识到当浏览器插件将其发送到恶意网站然后发送到原始目标时可能会发生多个重定向。
6、灰色软件会占用宽带资源
许多用户认为互联网宽带是无限且免费的。 但 IT 专业人士知道这种想法并不正确,灰色软件与其 C&C 服务器之间的持续通信(甚至偶尔的数据泄露)会消耗合法应用程序使用的带宽。
许多恶意软件开发人员开发了自己的应用程序,以小量突发方式发送数据以逃避安全系统的检测。 这意味着灰色软件不太可能在篮球四强赛期间的员工流媒体比赛中消耗带宽。 但一旦这种灰色软件在员工中传播,一点点流量的积累就可能开始对整体网络性能产生影响。
与应用程序本身一样,来自灰色软件的数据会增加安全负担,并使安全团队更难以从总体流量中筛选出恶意流量。
灰色软件保护方法
由于灰色软件主要是一个定义而不是一个技术问题,因此如何有效防范灰色软件的答案可能很复杂。 主要概括如下:
1、用户教育
用户教育最基本的方法是让用户了解灰色软件的特点和危害,禁止下载、安装来历不明的软件。 或者在允许下载和安装未知程序之前仔细阅读最终用户许可证。 具有恶意倾向的灰色软件和特洛伊木马通常会试图保持隐藏状态并阻止删除或隔离。 减少感染机会的另一种方法是提高网络浏览器的安全级别,并为所有操作系统和应用软件安装最新补丁。
2. 安装反间谍软件程序
新的反灰色软件的功能与计算机上的防病毒软件类似。 他们可以根据灰色软件的特征值数量和特征库来检测、删除和冻结灰色软件。 反灰色软件程序分为两类:基于主机的客户端软件和基于网络的反灰色软件。 基于主机的客户端软件的成本是安装和维护,包括在每台计算机上安装以及定期更新软件和病毒库。 由于许可方法,企业范围内的部署更加昂贵。 另外,很多木马、灰色软件在安装前会主动检测这些防护软件是否存在,如果有则将其关闭以避免被检测到,因此存在一定的风险。
网络化反灰色软件是在企业网络与互联网连接的边界平台上部署反灰色软件产品。 在灰色软件进入网络之前识别并删除它可以降低安装、维护和更新的成本。 网关已升级,防火墙后面的所有计算机都会自动受到保护。
3. 与安全部门合作审核申请
在现代企业中,灰色软件是急于获得更快、更方便的软件来源的副产品。 减少用户摩擦,灰色软件的大部分吸引力就会消失。
本文翻译自:(and-what-to-do-about-it)/d/d-id/1333216?image_number=1 若转载请注明原文地址: