天创培训:您身边的信息安全培训专家!
行业动态
关于灰色软件(Grayware)及其危害,你了解多少?

灰色软件是一个棘手的安全问题。虽然与高频报道的“恶意软件”和“勒索软件”等术语相比,“灰色软件”略显耳生,但事实上,我们每个人都曾跟它有过亲密接触:例如,许多新系统中所提供的不为人熟知的应用程序,或是具备为人熟知的名称但却非官方提供的应用程序。

灰色软件是一个棘手的安全问题。虽然与高频报道的“恶意软件”和“勒索软件”等术语相比,“灰色软件”略显耳生,但事实上,我们每个人都曾跟它有过亲密接触:例如,许多新系统中所提供的不为人熟知的应用程序,或是具备为人熟知的名称但却非官方提供的应用程序。这些程序通常是在没有得到允许的情况下安装和执行的。它们统统属于“灰色软件”——或“可能不需要的应用程序”——是计算机安全所面临的持续性问题。

什么是“灰色软件”?灰色软件(Grayware)这个名词是由趋势科技发明,用来泛指所有不被认为是电脑病毒或木马程序,但会对你所在机构的网络上所使用的电脑的效能造成负面影响、并引致网络的保安受损的软件。根据这个定义,灰色软件大致包含了以下几项:

1. 间谍软件(Spyware)

间谍软件是一种安装在电脑上,用于记录用户网页浏览喜好(主要以行销为目的)的软件。在用户上线的时候,间谍软件会将这些信息传送给其作者,或其他对于这类信息有兴趣的团体。间谍软件经常与一些“免费下载”的软件一起下载,且不会告知用户其存在,或询问用户安装其软件元件的许可。间谍软件收集的资料可能包含了用户的击键信息,诸如登入帐号、密码和信用卡号等,并将其传送给第三方。

2. 广告软件(Adware)

广告软件是一种会在浏览器中显示广告的软件。尽管许多使用者认为其具有侵略性,但它并未被分类于恶意软件之中。广告软件经常在系统中造成恼人效果,例如不断的弹出致使电脑网络或系统效能低落的广告。广告软件通常经由与特定免费软件搭配分别安装。广告软件也经常与间谍软件串连起来安装。这两种软件相互依赖满足各自功能——间谍软件纪录使用者的网络行为,广告软件则依据这些纪录进行特定广告。广告软件显示广告并收集例如网络浏览喜好等可作为往后对使用者进行广告的资料。

3. 拨号软件(Dialer)

拨号软件是控制计算机的Modem的灰色软件。这些程序通常是拨打长途电话或者呼叫昂贵的电话号码来为窃取者创收。

4. 玩笑软件(Joke program)

玩笑软件是一些会让电脑作出古怪行为的软件,例如:萤幕上下倒转、或改变鼠标的形状等。这些软件未必会对用户的电脑构成伤害,但也有系统管理者会觉得这些软件很麻烦,因为增添了他们应付用户查询的时间。所以这些软件亦被列入为灰色软件。

5. 入侵软件(Hacker tools)

入侵软件通常都是一些协助脚本小子用来非法入侵他人电脑的现成软件。由于脚本小子一般都缺乏高深的计算机科学水平,所以只懂得透过操控这些入侵软件来达成非法入侵的目的。

6. 远程访问软件(Remote access tools)

远程访问软件本身不一定具有威胁性,相反,很多其实都是商业上用来让管理员管理其他电脑的工具。不过,一但这些工具落入非法入侵者的手上,亦会成为了入侵的工具,所以亦被归类为灰色软件。

一般来说,灰色软件都会做出一系列用户不希望遇见、或感到烦恼的行为。但要知道,灰色软件不一定是恶意软件。很多灰色软件的最终目标是跟踪网站访问者来获得搜索结果,以达到某个商业目的。灰色软件的典型症状是系统缓慢、弹出广告、主页定向到别的网站等,从而造成骚扰。

因此,一些IT专业人士可能会倾向于忽略灰色软件,留出精力专注于破坏力更为明显的恶意软件和其他威胁。但是,这种想法显然并不合适。因为黑客可以将灰色软件技术用作其他恶意目的,例如利用浏览器来加载和运行某些程序。这些程序可以公开访问系统,收集信息,跟踪键盘输入,修改设置,或者制造某些破坏。

所以,IT和安全团队必须充分了解灰色软件的各种因素,包括它们是什么?可能存在的潜在威胁有哪些?以及如何处理它们?

灰色软件的潜在危害

1. 灰色软件可能会收集敏感信息

灰色软件可以很好地执行合法任务,但是需要付出代价,即这些软件会在执行工作时捕获信息。虽然并非所有情况都与Cisco Talos识别的Persian  Stalker Telegram灰色软件(2018年,Talos研究人员发现Persian  Stalker灰色软件攻击Instagram和Telegram的伊朗用户)一样明显,但其所收集的信息都具备多样性的特征。

一些灰色软件可以在其应用程序代码中公开收集信息,而且您的用户已同意该操作的可能性极大。针对这种情况,您需要做的就是阅读许可协议的第321段C小节,相关信息就在此处。其他灰色软件可能会植入窃取用户cookie个人信息的间谍软件(tracking  cookie)或是嵌入键盘记录程序。总之,无论是何种用例,都能轻易地在未经用户许可的情况下获取到敏感信息,这是一个非常棘手的问题。

2. 灰色软件会增加安全负担

安全专家经常抱怨称,他们及其系统必须归整大量数据才能找到攻击和漏洞利用。而灰色软件通过将可能不需要的应用程序及其数据添加到整体组合中,进一步加剧了问题的复杂性。

灰色软件增加安全负担的第一种方式就是通过附加软件。更多应用程序的存在意味着需要分析、部署、配置和管理的应用程序越来越多,这进一步增加了安全人员的工作负担。

灰色软件的目的往往是提供广告,收集数据,或两者兼而有之。而所有这些目的的实现都需要网络流量与组织外部的命令与控制(C&C)服务器的支持。流量必须经过嗅探和分析,以便及时发现恶意流量并将其阻断。而灰色软件的存在使得整体数据量变得异常庞大,为安全工作增加了更多负担,即使灰色软件本身没有执行任何恶意操作,但其存在和活动也为恶意软件的藏匿提供了很好的基础。

3. 灰色软件可能会隐藏恶意软件

除了为恶意软件提供藏身之处外,灰色软件还可以附带恶意软件,并将其隐藏在应用程序、助手程序和服务中,声称可以为用户提供更高的下载价值。

在灰色软件上运行的恶意软件包括伪装成防病毒保护程序的木马病毒,系统不支持的浏览器助手程序,以及几乎所有类型的恶意负载示例,其中包含名称以及表明它们是合法软件的描述。

大多数这些恶意软件示例都应该能够通过反恶意软件保护程序来捕获,但是启动这么多灰色软件的软件安装程序可以为恶意软件提供足够长的覆盖时间,使其能够扎根并在受害者计算机上获得持久性。

4. 灰色软件可能会隐藏虚假应用程序

假设您希望将iTunes加载到您的计算机上:您会搜索该软件,采用第一建议,并最终获得一个名为“iPrunes”的音乐管理器和播放器。你觉得只要自己能够用该软件调换曲目,它就没有危害也没有违规,对吧?事实并没有这么简单!

建议使用合法软件的原因之一是,大多数合法软件发行商对其收集和使用的客户信息是公开透明的。但是,具有边缘功能(marginally  functional)的虚假应用程序可能会收集远远超出用户预期的信息,并将其用于更具入侵性的目的。

而“边缘功能”就是关键:开发复杂的现代应用程序并不容易,即使对于大型合法发行商而言亦是如此。因为灰色软件的存在,用户可能会在无意中引入一些功能不佳、不太可靠以及会与其他商业编写的应用程序相冲突的软件,进而引发更多安全问题。

5. 灰色软件可能与浏览器功能混淆

与以往相比,如今的浏览器对不受欢迎的浏览器帮助程序的抵抗力要大得多,但仍然有很多组织出于某种原因还在使用旧版浏览器。通过这些老旧的浏览器,攻击者就能够轻松获取到自己想要的信息。

浏览器攻击主要有两种广泛的方式,即收集未经授权的信息,或向不需要的目的地发送请求。前者对业务IT具有明显的安全隐患,而后者才是真正危险的,因为各种各样的恶意软件可以通过浏览器实现递交。此外,由于许多第三方广告侵占了当今大多数网站,因此用户可能甚至无法察觉浏览器加载项将它们发送到恶意站点然后发送到原始目标时可能发生的多个重定向。

6. 灰色软件会侵占宽带资源

许多用户认为网络宽带是无限的,免费的。但IT专业人士知道这种想法并非真实的,灰色软件与其C&C服务器之间的持续通信(甚至偶尔的数据渗漏)会消耗合法应用程序所使用的宽带。

许多恶意软件开发者已经开发了他们自己的应用程序,通过小流量的形式发送数据,以逃避安全系统的检测。这也就意味着,灰色软件不太可能在篮球四强赛期间的员工流媒体游戏中占用宽带。但是,一旦这种灰色软件在员工间传播开来,一点点小流量的累积便会开始对整体网络性能产生影响。

就像应用程序本身一样,来自灰色软件的数据也会增加安全负担,增加安全团队试图从总流量中筛选出恶意流量的难度。

灰色软件防护方法

由于灰色软件主要是一个定义,而非一个技术问题,因此对于如何有效防范灰色软件的答案可能非常复杂。主要概括为以下几点:

1.  用户教育用户教育最基本的方法是让用户了解灰色软件的特点和危害性,禁止下载和安装来路不明的软件。或在允许下载和安装未知的程序之前,仔细阅读“最终用户许可证”。有恶意倾向的灰色软件和木马程序通常试图隐藏起来,防止被清除或隔离。减少感染机会的另一方法是提高Web浏览器的安全级别,以及对所有的操作系统和应用软件都安装最新的补丁等。

2. 安装反间谍软件程序  新型防灰色软件和计算机上的防病毒软件的功能类似,它们可以依据灰色软件的特征值数量和特征库检测、删除和冻结灰色软件。反灰色软件程序又分基于主机的客户端软件和基于网络的反灰色软件两类。

基于主机的客户端软件的成本在于安装和维护,包括在每台计算机上安装、定时升级软件和病毒库。由于采用许可证方式,整个企业部署的成本较高。另外,很多木马和灰色软件在安装前会主动检测是否有这些防护软件,如果有的话就关闭掉,这样就可以避免被检测到,所以存在一定风险。

基于网络的反灰色软件是在企业网络连接到Internet的边界平台上,部署防灰色软件产品。在灰色软件进入网络前加以识别和清除,降低了安装、维护和保持更新的成本。网关得到升级,所有的防火墙后的计算机会自动地得到保护。

3. 与安全部门合作审核应用程序在现代企业中,灰色软件是急于获取更快、更方便的软件来源所产生的副产品。减少用户摩擦,灰色软件的大部分吸引力都会消失。