在 Mac 或 Windows 机器上打开文件怎么可能感染恶意软件?

信息安全 恶意软件
2021-09-06 07:15:50

企业安全培训一直在说“从网络或电子邮件附件下载文件并打开它,您可能会被感染”。我知道这在 90 年代的旧 Windows 机器上曾经是这种情况,但在任何计算机上仍然是这种情况吗?显然,如果您打开可能有问题的 shell 文件或可执行文件或应用程序,但至少在 Mac 上,Apple 会弹出该警告。

他们基本上是在暗示我们“经常”使用的软件中可能存在一些可利用的漏洞(例如 excel 或 Apple 编号,或 PDF 的 Apple 预览版),他们可以利用这些漏洞以某种方式安装某些东西吗?提供软件的公司不知道漏洞,但攻击者知道?这是我可以看到他们访问您的计算机的唯一方法,还有其他方法吗?我假设在当今世界,通过在 Mac 上打开 PDF 或 .xlsx 或 .doc 文件有 0% 的机会被“感染”,但这不是真的吗?

作为一个额外的问题,如果今天打开“正常”文件可能会安装恶意软件仍然是正确的,那么避免这种情况的推荐方法是什么,假设您希望能够打开这些文件(并假设您已经检查过它来自有信誉的来源等)。

4个回答

“正确”指令的简单指令

您可能是安全专家,或者至少是计算机方面知识渊博的人,但绝大多数人——即使是那些每天使用计算机的人——都不是。我完全认识太多人,他们认为计算机基本上是一个装满塑料和魔法的盒子。

向这些人解释哪些文件扩展名更可能是危险的,哪些文件扩展名不太可能是危险的,可能会导致很多混乱。我向您保证,大量在办公室工作的人无法区分 PDF 文档和 Word 文档之间的区别,因此解释每种文档的风险不是很有成效。

因此,诸如“不要打开电子邮件附件中的文件,除非它们来自受信任的来源”之类的宽泛声明仍然有用,即使它们在技术上不是 100% 正确。

哪些文件是危险的?

基本上,所有这些。始终假定文件是危险的,即使您无法想象它是如何可能的。以下是一些常见文件类型的列表以及它们的危险性:

  • PDF 文件:PDF 是一种复杂的文件格式,截至撰写本文时,CVE 数据库中存在超过 1500 个与 PDF 相关的说明。
  • Office 文档:Office 文档中最突出的攻击之一是宏。一般的想法是,您向某人发送一份办公文档,声称其中包含一些重要信息,然后以仅在启用宏时才显示假定信息的方式创建文档。例如,您可以像这样窃取 NTLM 哈希
  • 电子表格:还与 Office 应用程序相关,您可以创建恶意电子表格,在打开时执行操作系统命令。这种攻击称为CSV 注入
  • ZIP 文件:ZIP 文件可能非常危险。一方面,它们可以通过诸如zip 炸弹之类的东西引起拒绝服务攻击,或者通过zip slipping在机器上放置任意文件

虽然确实有一些措施可以减轻其中一些风险,但这些措施通常包括询问用户是否想做一些有风险的事情。5 次中有 9 次他们会说是。不是因为他们知道他们将要采取的行动是有风险的,而是因为他们的计算机经常询问他们是否想做某事,而且他们习惯于玩小游戏,在那里他们必须找到使电脑做他们想做的事。

如何减轻这种风险?

没有完美的一刀切解决方案。如果有,我们就不必担心恶意软件。这在很大程度上取决于与您交谈的人的技术专长。

与专家交谈时,我会说“相信你的直觉!”。你的本能是大脑中最先进的部分,经过数百万年来最残酷的优化过程进行了优化——你最好利用它。

如果您对文件有不好的感觉,请不要打开它。如果必须,请在气隙机器上的 VM 中执行此操作,之后您可以完全擦洗。

与普通用户交谈时,我会重复您听过一百万次的相同安全提示。不要打开来自不可靠来源的文件,不要使用最新的防病毒软件等等。你已经听过一百万次了。

仅仅下载一个文件不太可能是危险的,但是对下载的文件进行任何使用都可能是危险的。即使是“未使用”的文件也经常在您不知情的情况下被使用。例如,您的防病毒软件会定期检查下载的文件,并且可能会从下载的图像生成缩略图。这些用途不能保证 100% 安全。

有一种情况,一个广泛部署的 jpg 库是攻击媒介——你所要做的就是查看图像——尽管查看图像通常被认为是安全的。

想象一下,如果恶意软件成功地使用 Windows Defender 作为攻击媒介,那么微软会感到尴尬。AFAIK 这从未发生过,但它可以。

他们基本上是在暗示我们“经常”使用的软件中可能存在一些可利用的漏洞(例如 excel 或 Apple 数字,或 PDF 的 Apple 预览版),他们可以利用这些漏洞以某种方式安装某些东西吗?

大概就是这个担心吧。例如,您是否曾经使用过或听说过 WinRar?你知道它有一个 19 年的代码执行漏洞,2019 年才被发现吗?它被公开后,被积极利用。这个漏洞是否有可能在 2000 年到 2019 年之间的某个时间被利用?很难证明它不是。假设用户安装了 WinRar 并打开一个文件“foo.text.ace”,对用户来说它看起来像 foo.txt,因为公司政策不允许显示文件扩展名(为什么,我永远不会明白。)

现实情况是,每台 Windows 机器上都可能安装了易受攻击的应用程序。问题是是否有人知道这些漏洞。等到有人通过安装勒索软件来利用它时再担心它真的不是一个好计划。用户需要知道这是一个潜在的风险。

是的,Excel 是一种广为人知的传播恶意软件的好方法。如果您可以让用户启用宏,那么游戏就结束了。

无论操作系统或程序如何,如果打开不可信的文件总是会导致漏洞利用

那是因为所有文件都必须由某个程序解析才能有用。程序是由人类编写的,他们犯的错误是人类甚至无法识别的错误,而文件也是由人类和机器制作的。因此,您永远不能真正相信任何程序是 100% 安全的。由于 MacOS 较小的市场份额和 Apple 的沙盒,它的针对性较低。然而,墙壁只有这么高,目标较少,只会通过默默无闻(苹果使用专有软件)给人一种安全的错觉(又名安全剧院)。

具有自己的脚本语言(如 Word 或 Excel)的文件解释程序允许攻击者对用户进行社会工程以运行他们的脚本,这相当于执行攻击者刚刚发送给您的程序。这是勒索软件运营商用来访问您的系统的最常用方法,除了从暗网上购买凭证之外。除了打开文件之外,这通常需要一些操作。

其他不执行脚本的文件解析程序仍然容易受到其解析器中未发现的缺陷的影响,这些缺陷可能导致更难发现和开发但除了在程序中打开文件之外不需要用户输入的漏洞。

从技术上讲,任何网络浏览器都是带有脚本语言的文件解释程序。您访问的任何网站本质上都是您的计算机下载、渲染和执行由不可信任的服务器提供的多个文件。这就是为什么 Chrome 和 Firefox 等浏览器必须每两周更新一次安全补丁的原因。它们具有很强的针对性,并且不断处理不受信任的文件。

100% 保证未知文件不会伤害您的唯一方法是不允许任何程序解释文件的任何部分

其它你可能感兴趣的问题
上一篇无人驾驶汽车上的 CD 驱动器会带来安全风险吗? 下一篇为安全起见的计算机名称命名约定