虽然一些网络攻击是显而易见的,但逻辑炸弹通常难以检测,并且会悄悄地破坏您的设备和隐私数据。那么有哪些值得警惕的迹象呢?
什么是逻辑炸弹(logic bomb)?
逻辑炸弹是在满足特定逻辑条件时能改变运行方式,对目标计算机系统实施破坏的计算机程序。这种程序通常隐藏在具有正常功能的程序中,在不具备触发条件的情况下,逻辑炸弹深藏不露,系统运行情况良好,用户也察觉不到任何异常。但是,一旦触发条件得到满足,逻辑炸弹就会“爆炸”,造成对目标系统的硬件破坏、文件破坏、数据破坏、信息渗漏及系统瘫痪等严重后果。逻辑炸弹的触发方式非常多,如事件触发、时间触发、计数器触发等。
逻辑炸弹程序不但可以设置在计算机的软件中,也可以暗藏在计算机的固件中。逻辑炸弹不具传染性,不能自我复制,但触发逻辑炸弹发作的诱因可以存在于逻辑炸弹载体的各个环节,具有不可控制的意外性。
此外,虽然有时逻辑炸弹的交付技术与可能使您的计算机感染病毒或其他恶意软件的技术相同,但更多情况下,它们是由对被攻击系统具有特权访问权限的内部人员植入的,因此很难检测到。
而且,最棘手的部分是逻辑炸弹并不总是以引人注目的方式一次引爆,它们可以多次激活,完成工作后再次进入休眠状态,而您或您的网络安全人员都不会注意到。
逻辑炸弹攻击迹象
识别逻辑炸弹最好的方式是关注计算机的行为,从头到尾了解它的系统,并调查任何感觉奇怪的东西。您可以从下述线索入手,留意任何异常故障。如果您不幸中招,请充分利用市场上最好的恶意软件清除工具,并联系相关安全专家协助处理。
1. 电脑上的奇怪代码
逻辑炸弹病毒需要将自己嵌入到您的计算机中才能工作。因此,发现此类攻击的一种方法是定期检查所有编码。无论您是自己做还是聘请专业人士,都要检查您的操作系统和软件,尤其是您经常使用的任何重要或包含敏感数据的东西。如果您发现不应该存在的代码,那么您可能正在经历网络攻击。
2. 文件消失或更改
即使您没有立即发现异常代码,您的计算机也可以表现出许多指向逻辑炸弹攻击的行为。这一切都取决于病毒的目的。例如,如果恶意软件的创建者在寻找文档,您可能会发现一些无法解释的文件更改行为。任何文件消失或更改异常都可能是有人在试图篡改数据。
3. 并非本人输入的个人信息更改
使用逻辑炸弹进行网络攻击的一个更清晰的迹象是,您的敏感信息细节被更改,但并非您本人所为。您填写的表格可能有一些不同之处——电话号码、参考资料、收入等。您的在线帐户密码可能突然出错,迫使您创建一个新帐户。
这就是您应该时刻留意您的计算机行为的一个关键原因。如果您平时非常忙碌,为免忘记,您可以使用事件日志管理工具或在纸上记录下您的活动。
4. 您的敏感数据始终在线
尽管您尽了最大的努力,但您可能会发现有人正在使用您的凭据、计算机上的信息、外部硬盘驱动器或其他不易访问的特定位置。
如果您怀疑是黑客行为,但没有证据表明其他病毒或任何警报响起,请检查逻辑炸弹。它们非常隐秘,并且擅长在窃取个人数据的同时不触发您的网络安全警报。
5. 您的计算机因莫名其妙的问题崩溃
另一方面,有一些逻辑炸弹被操纵造成破坏,这是勒索软件攻击中的一种常见工具,它们的影响在美国的网络安全统计数据中显而易见。
当满足此类炸弹的条件时,它会“爆炸”并可能造成任何形式的损害——从锁定或破坏关键文件到在线共享客户详细信息等。
即使您没有收到赎金通知,或是专家检查后并未发现明显问题,您的计算机还是因莫名其妙的问题崩溃,这表明它背后可能存在逻辑炸弹。
6. 无缘无故限制您的访问
如前所述,这种恶意软件攻击可以将您锁定在您的计算机、软件或在线帐户之外。如果发生这种情况,并且您确定您或同事没有更改密码,那么是时候寻找逻辑炸弹,并提醒可能受到影响的任何其他人了。
7. 您使用了可疑文件或网站
一个很好的问题是恶意软件最初是如何进入您的系统的。答案可以很简单,就像您访问危险域或单击您不应该访问的链接一样。例如,攻击者可以针对您的电子邮件、网站、电话等,植入静默逻辑炸弹而非木马病毒。因此,如果您的PC以上述任何方式运行,并且您记得访问或下载了一些不寻常的东西,那么您可能正在遭遇逻辑炸弹攻击。
8. 员工的可疑活动
逻辑炸弹在内部人员的帮助下进入公司网络也很常见。他们可能是心怀不满的员工,也可能是想利用公司并从中受益的人。他们需要做的就是将病毒下载到计算机或通过USB驱动器传输。无论炸弹的目的是什么,它都可以很容易地从中运行。
您可以使用优质、最新的反恶意软件来应对此类攻击,并密切关注员工,尤其是那些离开业务和外部合作伙伴的员工。如果您认为自己遭受了逻辑炸弹的影响,请回想一下任何可能行为可疑或从攻击中获利的人。它比IT工作更具侦探性,但它可以为您指明正确的方向。
逻辑炸弹攻击案例
1982年,一场大规模爆炸中断了一条穿越西伯利亚的重要天然气传输管道。多年来,一直有谣言称,这是中央情报局的破坏行为。据称,美国情报人员发现他们的苏联同行正试图从西方窃取自动化管道所需的计算机代码,因为苏联本土的软件行业无法胜任这项任务。所以,美国人故意让苏联人窃取了藏有逻辑炸弹的代码,最终导致管道中断。此次事件被称为原始的逻辑炸弹攻击,尽管此事从未得到任何官方证实,且有一些证据表明破坏可能只是管道老化的结果。
虽然我们可能永远无法得知那条管道究竟发生了什么,但有很多有据可查的逻辑炸弹攻击案例:
2001年底,一名系统管理员辞去了他在瑞银的工作,仅几个小时后,他购买了许多“看跌”期权,如果其前雇主的股票在2002年3月15日之前下跌,他就可以获利。结果,他留下的逻辑炸弹在3月4日成功引爆,瑞银的众多系统遭到破坏。最终,他被捕并被判处多年监禁,还被迫支付数百万美元的赔偿金。
2003年,一名系统管理员因担心其雇主Medco Health Solutions解雇他,便在他们的服务器上设置了一个逻辑炸弹,以删除大量数据。他将炸弹设置在自己2004年生日那天触发,但由于编程错误最终宣告失败,所以他在次年又更改了触发日期。不过,最终该逻辑炸弹提前几个月被发现并禁用,他也被判入狱30个月。
2008年,一名被美国抵押贷款巨头Fannie Mae解雇的程序员设法在网络访问权限被终止前植入了一个逻辑炸弹,旨在清除该公司的所有数据。但最终,Fannie Mae的程序员通过网络日志追踪到他的恶意脚本,并通过比较他在被终止那天在笔记本电脑上创建的目录发现并禁用了该逻辑炸弹。
2014年-2016年间,一位在宾夕法尼亚州任职的西门子派遣工将逻辑炸弹放入了西门子用于管理订单的电子表格中,然后他又收取数万美元的报酬来修复这些电子表格。
逻辑炸弹攻击防御策略
由于某些逻辑炸弹是通过恶意软件传递的,因此有效防御的一种方法就是遵循反恶意软件最佳实践:
· 注意网络钓鱼电子邮件,如果您不确定附件来自哪里,请不要打开或下载附件;
· 同样地,请勿下载或安装来自非可信来源或非官方的应用程序,包括浏览器导航栏,这是一种常见的恶意软件载体;
· 使用更新的防病毒/端点安全软件保护您的计算机安全。
不过,只是对抗恶意软件并不足以化解所有潜在的逻辑炸弹。当代码中隐藏逻辑炸弹时,组织对第三方代码(在这种情况下是开源库)的重用也会成为问题。而且,没有防病毒程序可以保护您免受内部威胁。
检测嵌入到您自己软件中的恶意代码(无论是心怀不满的员工故意为之,还是以第三方库的形式无意为之)的最佳方法,是将安全编码实践融入您的开发管道中。这些做法旨在确保任何代码在投入生产之前通过安全测试,并防止内部攻击者以不安全的方式单方面更改代码。
同时,定期的员工培训也是必不可少的。只有不断学习新的威胁类型以及防御策略,才有能力应对急速变化的网络格局。
本文翻译自:https://www.makeuseof.com/spot-logic-bomb-attack/ 与 https://www.csoonline.com/article/2115905/logic-bomb.html如若转载,请注明原文地址