灰色軟件是一個棘手的安全問題。雖然與高頻報道的「惡意軟件」和「勒索軟件」等術語相比,「灰色軟件」略顯耳生,但事實上,咱們每一個人都曾跟它有過親密接觸:例如,許多新系統中所提供的不爲人熟知的應用程序,或是具有爲人熟知的名稱但卻非官方提供的應用程序。瀏覽器
灰色軟件是一個棘手的安全問題。雖然與高頻報道的「惡意軟件」和「勒索軟件」等術語相比,「灰色軟件」略顯耳生,但事實上,咱們每一個人都曾跟它有過親密接觸:例如,許多新系統中所提供的不爲人熟知的應用程序,或是具有爲人熟知的名稱但卻非官方提供的應用程序。這些程序一般是在沒有獲得容許的狀況下安裝和執行的。它們通通屬於「灰色軟件」——或「可能不須要的應用程序」——是計算機安全所面臨的持續性問題。安全
什麼是「灰色軟件」?灰色軟件(Grayware)這個名詞是由趨勢科技發明,用來泛指全部不被認爲是電腦病毒或木馬程序,但會對你所在機構的網絡上所使用的電腦的效能形成負面影響、並引致網絡的保安受損的軟件。根據這個定義,灰色軟件大體包含了如下幾項:服務器
1. 間諜軟件(Spyware)cookie
間諜軟件是一種安裝在電腦上,用於記錄用戶網頁瀏覽喜愛(主要以行銷爲目的)的軟件。在用戶上線的時候,間諜軟件會將這些信息傳送給其做者,或其餘對於這類信息有興趣的團體。間諜軟件常常與一些「免費下載」的軟件一塊兒下載,且不會告知用戶其存在,或詢問用戶安裝其軟件元件的許可。間諜軟件收集的資料可能包含了用戶的擊鍵信息,諸如登入賬號、密碼和信用卡號等,並將其傳送給第三方。網絡
2. 廣告軟件(Adware)工具
廣告軟件是一種會在瀏覽器中顯示廣告的軟件。儘管許多使用者認爲其具備侵略性,但它並未被分類於惡意軟件之中。廣告軟件常常在系統中形成惱人效果,例如不斷的彈出導致電腦網絡或系統效能低落的廣告。廣告軟件一般經由與特定免費軟件搭配分別安裝。廣告軟件也常常與間諜軟件串連起來安裝。這兩種軟件相互依賴知足各自功能——間諜軟件紀錄使用者的網絡行爲,廣告軟件則依據這些紀錄進行特定廣告。廣告軟件顯示廣告並收集例如網絡瀏覽喜愛等可做爲日後對使用者進行廣告的資料。性能
3. 撥號軟件(Dialer)網站
撥號軟件是控制計算機的Modem的灰色軟件。這些程序一般是撥打長途電話或者呼叫昂貴的電話號碼來爲竊取者創收。操作系統
4. 玩笑軟件(Joke program)遊戲
玩笑軟件是一些會讓電腦做出古怪行爲的軟件,例如:螢幕上下倒轉、或改變鼠標的形狀等。這些軟件未必會對用戶的電腦構成傷害,但也有系統管理者會以爲這些軟件很麻煩,由於增添了他們應付用戶查詢的時間。因此這些軟件亦被列入爲灰色軟件。
5. 入侵軟件(Hacker tools)
入侵軟件一般都是一些協助腳本小子用來非法入侵他人電腦的現成軟件。因爲腳本小子通常都缺少高深的計算機科學水平,因此只懂得透過操控這些入侵軟件來達成非法入侵的目的。
6. 遠程訪問軟件(Remote access tools)
遠程訪問軟件自己不必定具備威脅性,相反,不少其實都是商業上用來讓管理員管理其餘電腦的工具。不過,一但這些工具落入非法入侵者的手上,亦會成爲了入侵的工具,因此亦被歸類爲灰色軟件。
通常來講,灰色軟件都會作出一系列用戶不但願碰見、或感到煩惱的行爲。但要知道,灰色軟件不必定是惡意軟件。不少灰色軟件的最終目標是跟蹤網站訪問者來得到搜索結果,以達到某個商業目的。灰色軟件的典型症狀是系統緩慢、彈出廣告、主頁定向到別的網站等,從而形成騷擾。
所以,一些IT專業人士可能會傾向於忽略灰色軟件,留出精力專一於破壞力更爲明顯的惡意軟件和其餘威脅。可是,這種想法顯然並不合適。由於黑客能夠將灰色軟件技術用做其餘惡意目的,例如利用瀏覽器來加載和運行某些程序。這些程序能夠公開訪問系統,收集信息,跟蹤鍵盤輸入,修改設置,或者製造某些破壞。
因此,IT和安全團隊必須充分了解灰色軟件的各類因素,包括它們是什麼?可能存在的潛在威脅有哪些?以及如何處理它們?
灰色軟件的潛在危害
1. 灰色軟件可能會收集敏感信息
灰色軟件能夠很好地執行合法任務,可是須要付出代價,即這些軟件會在執行工做時捕獲信息。雖然並不是全部狀況都與Cisco Talos識別的Persian Stalker Telegram灰色軟件(2018年,Talos研究人員發現Persian Stalker灰色軟件攻擊Instagram和Telegram的伊朗用戶)同樣明顯,但其所收集的信息都具有多樣性的特徵。
一些灰色軟件能夠在其應用程序代碼中公開收集信息,並且您的用戶已贊成該操做的可能性極大。針對這種狀況,您須要作的就是閱讀許可協議的第321段C小節,相關信息就在此處。其餘灰色軟件可能會植入竊取用戶cookie我的信息的間諜軟件(tracking cookie)或是嵌入鍵盤記錄程序。總之,不管是何種用例,都能輕易地在未經用戶許可的狀況下獲取到敏感信息,這是一個很是棘手的問題。
2. 灰色軟件會增長安全負擔
安全專家常常抱怨稱,他們及其系統必須歸整大量數據才能找到攻擊和漏洞利用。而灰色軟件經過將可能不須要的應用程序及其數據添加到總體組合中,進一步加重了問題的複雜性。
灰色軟件增長安全負擔的第一種方式就是經過附加軟件。更多應用程序的存在乎味着須要分析、部署、配置和管理的應用程序愈來愈多,這進一步增長了安全人員的工做負擔。
灰色軟件的目的每每是提供廣告,收集數據,或二者兼而有之。而全部這些目的的實現都須要網絡流量與組織外部的命令與控制(C&C)服務器的支持。流量必須通過嗅探和分析,以便及時發現惡意流量並將其阻斷。而灰色軟件的存在使得總體數據量變得異常龐大,爲安全工做增長了更多負擔,即便灰色軟件自己沒有執行任何惡意操做,但其存在和活動也爲惡意軟件的藏匿提供了很好的基礎。
3. 灰色軟件可能會隱藏惡意軟件
除了爲惡意軟件提供藏身之處外,灰色軟件還能夠附帶惡意軟件,並將其隱藏在應用程序、助手程序和服務中,聲稱能夠爲用戶提供更高的下載價值。
在灰色軟件上運行的惡意軟件包括假裝成防病毒保護程序的木馬病毒,系統不支持的瀏覽器助手程序,以及幾乎全部類型的惡意負載示例,其中包含名稱以及代表它們是合法軟件的描述。
大多數這些惡意軟件示例都應該可以經過反惡意軟件保護程序來捕獲,可是啓動這麼多灰色軟件的軟件安裝程序能夠爲惡意軟件提供足夠長的覆蓋時間,使其可以紮根並在受害者計算機上得到持久性。
4. 灰色軟件可能會隱藏虛假應用程序
假設您但願將iTunes加載到您的計算機上:您會搜索該軟件,採用第一建議,並最終得到一個名爲「iPrunes」的音樂管理器和播放器。你以爲只要本身可以用該軟件調換曲目,它就沒有危害也沒有違規,對吧?事實並無這麼簡單!
建議使用合法軟件的緣由之一是,大多數合法軟件發行商對其收集和使用的客戶信息是公開透明的。可是,具備邊緣功能(marginally functional)的虛假應用程序可能會收集遠遠超出用戶預期的信息,並將其用於更具入侵性的目的。
而「邊緣功能」就是關鍵:開發複雜的現代應用程序並不容易,即便對於大型合法發行商而言亦是如此。由於灰色軟件的存在,用戶可能會在無心中引入一些功能不佳、不太可靠以及會與其餘商業編寫的應用程序相沖突的軟件,進而引起更多安全問題。
5. 灰色軟件可能與瀏覽器功能混淆
與以往相比,現在的瀏覽器對不受歡迎的瀏覽器幫助程序的抵抗力要大得多,但仍然有不少組織出於某種緣由還在使用舊版瀏覽器。經過這些老舊的瀏覽器,攻擊者就可以輕鬆獲取到本身想要的信息。
瀏覽器攻擊主要有兩種普遍的方式,即收集未經受權的信息,或向不須要的目的地發送請求。前者對業務IT具備明顯的安全隱患,然後者纔是真正危險的,由於各類各樣的惡意軟件能夠經過瀏覽器實現遞交。此外,因爲許多第三方廣告侵佔了當今大多數網站,所以用戶可能甚至沒法察覺瀏覽器加載項將它們發送到惡意站點而後發送到原始目標時可能發生的多個重定向。
6. 灰色軟件會侵佔寬帶資源
許多用戶認爲網絡寬帶是無限的,免費的。但IT專業人士知道這種想法並不是真實的,灰色軟件與其C&C服務器之間的持續通訊(甚至偶爾的數據滲漏)會消耗合法應用程序所使用的寬帶。
許多惡意軟件開發者已經開發了他們本身的應用程序,經過小流量的形式發送數據,以逃避安全系統的檢測。這也就意味着,灰色軟件不太可能在籃球四強賽期間的員工流媒體遊戲中佔用寬帶。可是,一旦這種灰色軟件在員工間傳播開來,一點點小流量的累積便會開始對總體網絡性能產生影響。
就像應用程序自己同樣,來自灰色軟件的數據也會增長安全負擔,增長安全團隊試圖從總流量中篩選出惡意流量的難度。
灰色軟件防禦方法
因爲灰色軟件主要是一個定義,而非一個技術問題,所以對於如何有效防範灰色軟件的答案可能很是複雜。主要歸納爲如下幾點:
1. 用戶教育用戶教育最基本的方法是讓用戶瞭解灰色軟件的特色和危害性,禁止下載和安裝來路不明的軟件。或在容許下載和安裝未知的程序以前,仔細閱讀「最終用戶許可證」。有惡意傾向的灰色軟件和木馬程序一般試圖隱藏起來,防止被清除或隔離。減小感染機會的另外一方法是提升Web瀏覽器的安全級別,以及對全部的操做系統和應用軟件都安裝最新的補丁等。
2. 安裝反間諜軟件程序 新型防灰色軟件和計算機上的防病毒軟件的功能相似,它們能夠依據灰色軟件的特徵值數量和特徵庫檢測、刪除和凍結灰色軟件。反灰色軟件程序又分基於主機的客戶端軟件和基於網絡的反灰色軟件兩類。
基於主機的客戶端軟件的成本在於安裝和維護,包括在每臺計算機上安裝、定時升級軟件和病毒庫。因爲採用許可證方式,整個企業部署的成本較高。另外,不少木馬和灰色軟件在安裝前會主動檢測是否有這些防禦軟件,若是有的話就關閉掉,這樣就能夠避免被檢測到,因此存在必定風險。
基於網絡的反灰色軟件是在企業網絡鏈接到Internet的邊界平臺上,部署防灰色軟件產品。在灰色軟件進入網絡前加以識別和清除,下降了安裝、維護和保持更新的成本。網關獲得升級,全部的防火牆後的計算機會自動地獲得保護。
3. 與安所有門合做審覈應用程序在現代企業中,灰色軟件是急於獲取更快、更方便的軟件來源所產生的副產品。減小用戶摩擦,灰色軟件的大部分吸引力都會消失。