灰色软件是一个棘手的安全问题。虽然与高频报道的“恶意软件”和“勒索软件”等术语相比,“灰色软件”略显耳生,但事实上,咱们每一个人都曾跟它有过亲密接触:例如,许多新系统中所提供的不为人熟知的应用程序,或是具有为人熟知的名称但却非官方提供的应用程序。浏览器
灰色软件是一个棘手的安全问题。虽然与高频报道的“恶意软件”和“勒索软件”等术语相比,“灰色软件”略显耳生,但事实上,咱们每一个人都曾跟它有过亲密接触:例如,许多新系统中所提供的不为人熟知的应用程序,或是具有为人熟知的名称但却非官方提供的应用程序。这些程序一般是在没有获得容许的状况下安装和执行的。它们通通属于“灰色软件”——或“可能不须要的应用程序”——是计算机安全所面临的持续性问题。安全
什么是“灰色软件”?灰色软件(Grayware)这个名词是由趋势科技发明,用来泛指全部不被认为是电脑病毒或木马程序,但会对你所在机构的网络上所使用的电脑的效能形成负面影响、并引致网络的保安受损的软件。根据这个定义,灰色软件大体包含了如下几项:服务器
1. 间谍软件(Spyware)cookie
间谍软件是一种安装在电脑上,用于记录用户网页浏览喜爱(主要以行销为目的)的软件。在用户上线的时候,间谍软件会将这些信息传送给其做者,或其余对于这类信息有兴趣的团体。间谍软件常常与一些“免费下载”的软件一块儿下载,且不会告知用户其存在,或询问用户安装其软件元件的许可。间谍软件收集的资料可能包含了用户的击键信息,诸如登入账号、密码和信用卡号等,并将其传送给第三方。网络
2. 广告软件(Adware)工具
广告软件是一种会在浏览器中显示广告的软件。尽管许多使用者认为其具备侵略性,但它并未被分类于恶意软件之中。广告软件常常在系统中形成恼人效果,例如不断的弹出导致电脑网络或系统效能低落的广告。广告软件一般经由与特定免费软件搭配分别安装。广告软件也常常与间谍软件串连起来安装。这两种软件相互依赖知足各自功能——间谍软件纪录使用者的网络行为,广告软件则依据这些纪录进行特定广告。广告软件显示广告并收集例如网络浏览喜爱等可做为日后对使用者进行广告的资料。性能
3. 拨号软件(Dialer)网站
拨号软件是控制计算机的Modem的灰色软件。这些程序一般是拨打长途电话或者呼叫昂贵的电话号码来为窃取者创收。操作系统
4. 玩笑软件(Joke program)游戏
玩笑软件是一些会让电脑做出古怪行为的软件,例如:萤幕上下倒转、或改变鼠标的形状等。这些软件未必会对用户的电脑构成伤害,但也有系统管理者会以为这些软件很麻烦,由于增添了他们应付用户查询的时间。因此这些软件亦被列入为灰色软件。
5. 入侵软件(Hacker tools)
入侵软件一般都是一些协助脚本小子用来非法入侵他人电脑的现成软件。因为脚本小子通常都缺少高深的计算机科学水平,因此只懂得透过操控这些入侵软件来达成非法入侵的目的。
6. 远程访问软件(Remote access tools)
远程访问软件自己不必定具备威胁性,相反,不少其实都是商业上用来让管理员管理其余电脑的工具。不过,一但这些工具落入非法入侵者的手上,亦会成为了入侵的工具,因此亦被归类为灰色软件。
通常来讲,灰色软件都会作出一系列用户不但愿碰见、或感到烦恼的行为。但要知道,灰色软件不必定是恶意软件。不少灰色软件的最终目标是跟踪网站访问者来得到搜索结果,以达到某个商业目的。灰色软件的典型症状是系统缓慢、弹出广告、主页定向到别的网站等,从而形成骚扰。
所以,一些IT专业人士可能会倾向于忽略灰色软件,留出精力专一于破坏力更为明显的恶意软件和其余威胁。可是,这种想法显然并不合适。由于黑客能够将灰色软件技术用做其余恶意目的,例如利用浏览器来加载和运行某些程序。这些程序能够公开访问系统,收集信息,跟踪键盘输入,修改设置,或者制造某些破坏。
因此,IT和安全团队必须充分了解灰色软件的各类因素,包括它们是什么?可能存在的潜在威胁有哪些?以及如何处理它们?
灰色软件的潜在危害
1. 灰色软件可能会收集敏感信息
灰色软件能够很好地执行合法任务,可是须要付出代价,即这些软件会在执行工做时捕获信息。虽然并不是全部状况都与Cisco Talos识别的Persian Stalker Telegram灰色软件(2018年,Talos研究人员发现Persian Stalker灰色软件攻击Instagram和Telegram的伊朗用户)同样明显,但其所收集的信息都具有多样性的特征。
一些灰色软件能够在其应用程序代码中公开收集信息,并且您的用户已赞成该操做的可能性极大。针对这种状况,您须要作的就是阅读许可协议的第321段C小节,相关信息就在此处。其余灰色软件可能会植入窃取用户cookie我的信息的间谍软件(tracking cookie)或是嵌入键盘记录程序。总之,不管是何种用例,都能轻易地在未经用户许可的状况下获取到敏感信息,这是一个很是棘手的问题。
2. 灰色软件会增长安全负担
安全专家常常抱怨称,他们及其系统必须归整大量数据才能找到攻击和漏洞利用。而灰色软件经过将可能不须要的应用程序及其数据添加到总体组合中,进一步加重了问题的复杂性。
灰色软件增长安全负担的第一种方式就是经过附加软件。更多应用程序的存在乎味着须要分析、部署、配置和管理的应用程序愈来愈多,这进一步增长了安全人员的工做负担。
灰色软件的目的每每是提供广告,收集数据,或二者兼而有之。而全部这些目的的实现都须要网络流量与组织外部的命令与控制(C&C)服务器的支持。流量必须通过嗅探和分析,以便及时发现恶意流量并将其阻断。而灰色软件的存在使得总体数据量变得异常庞大,为安全工做增长了更多负担,即便灰色软件自己没有执行任何恶意操做,但其存在和活动也为恶意软件的藏匿提供了很好的基础。
3. 灰色软件可能会隐藏恶意软件
除了为恶意软件提供藏身之处外,灰色软件还能够附带恶意软件,并将其隐藏在应用程序、助手程序和服务中,声称能够为用户提供更高的下载价值。
在灰色软件上运行的恶意软件包括假装成防病毒保护程序的木马病毒,系统不支持的浏览器助手程序,以及几乎全部类型的恶意负载示例,其中包含名称以及代表它们是合法软件的描述。
大多数这些恶意软件示例都应该可以经过反恶意软件保护程序来捕获,可是启动这么多灰色软件的软件安装程序能够为恶意软件提供足够长的覆盖时间,使其可以扎根并在受害者计算机上得到持久性。
4. 灰色软件可能会隐藏虚假应用程序
假设您但愿将iTunes加载到您的计算机上:您会搜索该软件,采用第一建议,并最终得到一个名为“iPrunes”的音乐管理器和播放器。你以为只要本身可以用该软件调换曲目,它就没有危害也没有违规,对吧?事实并无这么简单!
建议使用合法软件的缘由之一是,大多数合法软件发行商对其收集和使用的客户信息是公开透明的。可是,具备边缘功能(marginally functional)的虚假应用程序可能会收集远远超出用户预期的信息,并将其用于更具入侵性的目的。
而“边缘功能”就是关键:开发复杂的现代应用程序并不容易,即便对于大型合法发行商而言亦是如此。由于灰色软件的存在,用户可能会在无心中引入一些功能不佳、不太可靠以及会与其余商业编写的应用程序相冲突的软件,进而引起更多安全问题。
5. 灰色软件可能与浏览器功能混淆
与以往相比,现在的浏览器对不受欢迎的浏览器帮助程序的抵抗力要大得多,但仍然有不少组织出于某种缘由还在使用旧版浏览器。经过这些老旧的浏览器,攻击者就可以轻松获取到本身想要的信息。
浏览器攻击主要有两种普遍的方式,即收集未经受权的信息,或向不须要的目的地发送请求。前者对业务IT具备明显的安全隐患,然后者才是真正危险的,由于各类各样的恶意软件能够经过浏览器实现递交。此外,因为许多第三方广告侵占了当今大多数网站,所以用户可能甚至没法察觉浏览器加载项将它们发送到恶意站点而后发送到原始目标时可能发生的多个重定向。
6. 灰色软件会侵占宽带资源
许多用户认为网络宽带是无限的,免费的。但IT专业人士知道这种想法并不是真实的,灰色软件与其C&C服务器之间的持续通讯(甚至偶尔的数据渗漏)会消耗合法应用程序所使用的宽带。
许多恶意软件开发者已经开发了他们本身的应用程序,经过小流量的形式发送数据,以逃避安全系统的检测。这也就意味着,灰色软件不太可能在篮球四强赛期间的员工流媒体游戏中占用宽带。可是,一旦这种灰色软件在员工间传播开来,一点点小流量的累积便会开始对总体网络性能产生影响。
就像应用程序自己同样,来自灰色软件的数据也会增长安全负担,增长安全团队试图从总流量中筛选出恶意流量的难度。
灰色软件防御方法
因为灰色软件主要是一个定义,而非一个技术问题,所以对于如何有效防范灰色软件的答案可能很是复杂。主要归纳为如下几点:
1. 用户教育用户教育最基本的方法是让用户了解灰色软件的特色和危害性,禁止下载和安装来路不明的软件。或在容许下载和安装未知的程序以前,仔细阅读“最终用户许可证”。有恶意倾向的灰色软件和木马程序一般试图隐藏起来,防止被清除或隔离。减小感染机会的另外一方法是提升Web浏览器的安全级别,以及对全部的操做系统和应用软件都安装最新的补丁等。
2. 安装反间谍软件程序 新型防灰色软件和计算机上的防病毒软件的功能相似,它们能够依据灰色软件的特征值数量和特征库检测、删除和冻结灰色软件。反灰色软件程序又分基于主机的客户端软件和基于网络的反灰色软件两类。
基于主机的客户端软件的成本在于安装和维护,包括在每台计算机上安装、定时升级软件和病毒库。因为采用许可证方式,整个企业部署的成本较高。另外,不少木马和灰色软件在安装前会主动检测是否有这些防御软件,若是有的话就关闭掉,这样就能够避免被检测到,因此存在必定风险。
基于网络的反灰色软件是在企业网络链接到Internet的边界平台上,部署防灰色软件产品。在灰色软件进入网络前加以识别和清除,下降了安装、维护和保持更新的成本。网关获得升级,全部的防火墙后的计算机会自动地获得保护。
3. 与安所有门合做审核应用程序在现代企业中,灰色软件是急于获取更快、更方便的软件来源所产生的副产品。减小用户摩擦,灰色软件的大部分吸引力都会消失。