譯者 | 布加迪

審校 | 重樓

今天我們要討論的是最狡猾的網(wǎng)絡(luò)安全威脅之一：邏輯炸彈。這個(gè)名字聽(tīng)起來(lái)可能沒(méi)什么害處，但這種網(wǎng)絡(luò)攻擊很難被發(fā)現(xiàn)，會(huì)造成各種各樣的破壞，甚至可以從貴組織內(nèi)部攻擊。

下面介紹邏輯炸彈的定義、這種攻擊的工作機(jī)理以及貴組織可以采取什么措施來(lái)防護(hù)。

邏輯炸彈的定義

邏輯炸彈是有意植入到軟件中的一段惡意代碼，在某一時(shí)刻攻擊操作系統(tǒng)、程序或網(wǎng)絡(luò)。代碼一直處于潛伏狀態(tài)，直至滿(mǎn)足某些條件，然后顯示其惡意載荷。

激活邏輯炸彈的必要條件可能是攻擊者設(shè)定的時(shí)間（定時(shí)炸彈)、刪除某個(gè)文件等。在它被觸發(fā)之前，您無(wú)法判斷攻擊載荷是什么。它可能刪除或竊取文件、破壞數(shù)據(jù)、發(fā)送垃圾郵件，甚至清除整個(gè)硬盤(pán)驅(qū)動(dòng)器或服務(wù)器。

這種攻擊的名字來(lái)源于這個(gè)想法：一旦滿(mǎn)足預(yù)定義的條件，代碼就會(huì)“爆炸”。它又叫渣代碼。它們也可能被合并到惡意軟件中，比如病毒、蠕蟲(chóng)或特洛伊木馬。

邏輯炸彈的工作機(jī)理

這種類(lèi)型的攻擊比較難追蹤。邏輯炸彈可能在幾個(gè)月后甚至幾年后才會(huì)激活。由于植入代碼和激活代碼之間有時(shí)間間隔，威脅分子可以掩蓋蹤跡。比較謹(jǐn)慎的網(wǎng)絡(luò)犯罪分子可以在感染的最后階段銷(xiāo)毀任何證據(jù)。

邏輯炸彈可能由心懷不滿(mǎn)的員工植入，這是一種內(nèi)部威脅。但它也可能來(lái)自不誠(chéng)實(shí)的供應(yīng)商，甚至是政府特工。

網(wǎng)絡(luò)犯罪分子可以設(shè)定積極或消極的條件作為觸發(fā)攻擊的誘因。比如說(shuō)，如果我們談?wù)撘粋€(gè)積極的條件，當(dāng)條件滿(mǎn)足時(shí)惡意代碼就會(huì)行動(dòng)（查看某個(gè)特定的文件）。而條件不滿(mǎn)足時(shí)（在一段時(shí)間內(nèi)未被發(fā)現(xiàn)或處于停用狀態(tài))，消極條件就會(huì)觸發(fā)炸彈。

因此，無(wú)論滿(mǎn)足的條件是積極條件還是消極條件，它都會(huì)觸發(fā)邏輯炸彈。阻止它的唯一方法是緩解條件或刪除代碼。

邏輯炸彈的特征

這種類(lèi)型的攻擊具有以下幾個(gè)特征：

• 它在一段時(shí)間后變得活躍。起初它被植入后，惡意代碼是不活躍的，無(wú)法被檢測(cè)到。
• 您無(wú)法知道攻擊載荷的內(nèi)容。在炸彈被激活之前，您猜不出惡意軟件會(huì)釋放什么載荷。后果可能不一樣，有的是泄露數(shù)據(jù)，有的是傳播垃圾郵件。
• 它需要一定的條件才能激活。條件好比雷管，邏輯炸彈只有在條件滿(mǎn)足的情況下才會(huì)實(shí)現(xiàn)其惡意目的。條件包括：從公司的工資單中刪除一名員工、某個(gè)特定的日期等。

邏輯炸彈的例子

據(jù)說(shuō)，邏輯炸彈的歷史始于美國(guó)和前蘇聯(lián)冷戰(zhàn)時(shí)期。2002年，瑞士跨國(guó)投資銀行瑞銀集團(tuán)的一名系統(tǒng)管理員策劃了一次攻擊。該事件影響了該公司400個(gè)辦公室的2000臺(tái)服務(wù)器。結(jié)果他被判入獄8年多，罰款300萬(wàn)美元。

2003年，Medco的一名系統(tǒng)工程師擔(dān)心被解雇。于是他植入了一個(gè)邏輯炸彈，可以在他離開(kāi)組織后清除一些數(shù)據(jù)。當(dāng)他試圖清除炸彈時(shí)被人發(fā)現(xiàn)，后被判入獄30個(gè)月。2018年，這種惡意代碼刪除了美國(guó)陸軍的大量數(shù)據(jù)。

2019年，西門(mén)子公司的一名合同工在他創(chuàng)建的自動(dòng)化電子表格中植入了惡意代碼。惡意代碼導(dǎo)致系統(tǒng)頻繁出現(xiàn)故障。他的目的是，每當(dāng)程序不能正常運(yùn)行、只好由他修復(fù)時(shí)，就向西門(mén)子公司收費(fèi)。這名網(wǎng)絡(luò)犯罪分子后來(lái)被抓獲并被入獄。

如何保護(hù)貴公司免受邏輯炸彈攻擊？

貴公司猜不出惡意軟件攜帶哪種載荷，也猜不出將遭受的損害程度。所以，保護(hù)是最穩(wěn)當(dāng)?shù)倪x擇。

以下是可以保護(hù)貴公司免受此類(lèi)攻擊的幾個(gè)措施：

• 使用基于人工智能的反病毒和反惡意軟件。
• 經(jīng)常更新貴公司的軟件以避免任何漏洞。
• 掃描所有文件，包括經(jīng)過(guò)壓縮的文件和子目錄。
• 避免可疑的電子郵件附件。
• 只從官方商店下載軟件。
• 定期備份，以便遭到攻擊時(shí)快速恢復(fù)。
• 由于威脅可能來(lái)自?xún)?nèi)部，所以要加強(qiáng)貴公司的安全檢查、招聘流程以及用來(lái)密切監(jiān)視員工和自由職業(yè)者的方法。

原文標(biāo)題：??Find Out What Is a Logic Bomb. Definition, Characteristics, and Protection Measures??，作者：Andreea Chebac