逻辑炸弹是一种非常传统的恶意代码攻击形式,其原型可以追溯到美苏冷战时期80年代。当时,前苏联的一家科技公司窃取了加拿大精密的控制系统,用于建设自己的工业设施,但其中却暗中植入了逻辑炸弹。逻辑炸弹在1982年的特定时间触发,导致涡轮机和阀门失控,产生巨大压力,导致西伯利亚天然气管道爆炸。虽然随着APT、勒索软件、供应链攻击等新威胁的出现,逻辑炸弹攻击似乎已经销声匿迹,淡出人们的视野,但从数字经济时代网络安全的发展来看,逻辑炸弹一直存在。在成长。毕竟对于敏感的信息系统来说,应用一旦交付,就会产生巨大的商业价值,同时也会受到多重安全措施的保护。此时,逻辑炸弹成为最难被发现和有效防护的攻击手段。1.什么是逻辑炸弹?逻辑炸弹是一种计算机程序,当满足一定的逻辑条件时,可以改变其运行模式并摧毁目标计算机系统。这类程序一般隐藏在功能正常的软件系统中。在没有触发条件的情况下,逻辑炸弹是隐藏的,系统运行良好,用户察觉不到任何异常。但一旦满足触发条件,逻辑炸弹就会“爆炸”,造成目标系统硬件损坏、文件损坏、系统瘫痪等严重后果。逻辑炸弹的触发方式有很多种,例如事件触发、时间触发、反触发等。逻辑炸弹之所以被称为“炸弹”,是因为它在原理和破坏力上都与真炸弹高度相似。真炸弹的引爆需要触发条件,逻辑炸弹也有类似的触发条件。当满足预先设定的条件时,逻辑炸弹就会开始工作。逻辑炸弹与真炸弹一样具有惊人的破坏力,只是伤害目标不同而已。逻辑炸弹攻击不仅可以安装在企业的应用软件系统中,还可以隐藏在计算设备的硬件系统中,如主板、硬盘、CPU等。逻辑炸弹通常没有传染性,也不能自我复制,但引发逻辑炸弹爆发的诱因却可以存在于逻辑炸弹载体的每一个环节,发生不可控的事故。此外,虽然逻辑炸弹有时是通过计算机病毒感染或其他恶意软件传播的,但更多时候它们是在开发过程中由对受攻击系统具有特权访问权限的内部人员植入的,因此很难被发现。逻辑炸弹不同于病毒。逻辑炸弹的显着特征不是它如何传播,而是它是如何被触发的,但它可以通过病毒传播。但并不是所有的逻辑炸弹都需要被病毒投放。事实上,许多逻辑炸弹被程序员隐藏在合法的软件程序中。2、逻辑炸弹的危害逻辑炸弹的触发器(具有记忆功能的逻辑元件)一般分为正触发器和负触发器两种形式。如果某个事件发生,积极的触发因素就会消失;相反,如果某个事件没有发生,负面触发器可能会消失。负面触发并不难理解,我们可以想一想企业面临的内部威胁,这也是逻辑炸弹的常见案例。例如,心存不满的员工怀疑自己即将被解雇,于是在公司服务器上植入逻辑炸弹,如果创建者不干预,逻辑炸弹将在上午10点执行删除公司有价值数据的程序。如果员工没有被解雇并且仍然保持对系统的访问权限,他们可以删除逻辑炸弹程序以防止炸弹触发执行。这也是他们与雇主讨价还价的筹码——如果满意,他们就会停止炸弹;一旦被解雇,他们就会选择让逻辑炸弹爆炸。逻辑炸弹破坏的范围包括文件或硬盘驱动器删除、勒索威胁或报复行为、数据泄露等。可以认为,逻辑炸弹的危害性完全取决于恶意攻击设计者的专业技能和想象力。当然,也有一些看似逻辑炸弹但实际上无害的应用。例如,某些通过互联网免费试用下载的程序可能会在15天后停止运行。用户在下载这些程序时已被告知,不会对用户造成伤害或损失。人们有时将定时炸弹视为网络攻击的一种形式,但它们实际上是逻辑炸弹的一个子集。定时炸弹是一种逻辑炸弹,它的触发器在特定时间触发。在某些方面,它可能被认为是最容易发射的逻辑炸弹。定时炸弹触发器类似于物理爆炸定时炸弹:给攻击者足够的时间来隐藏他们的攻击可以降低他们被怀疑为攻击者的可能性。负触发器是定时炸弹概念的更复杂的变体,因为它的时间限制可以被用户操作延迟或阻止,从而产生一种“死人开关”,使操作员失去能力。诸如在死亡、失去知觉或离开控制设备时可以自动操作的开关,最初起源于重型机械领域,后来被应用到计算机软件等虚拟应用中。例如,如果用户长时间不活动,则向用户发送通知或自动注销帐户。3.如何检测和防御逻辑炸弹攻击逻辑炸弹是一种危害特别大的攻击类型,因为攻击代码本身可能会长期处于休眠状态。通常,即使使用最好的端点安全软件也很难检测到处于休眠状态的逻辑炸弹。由于一些逻辑炸弹是通过病毒等恶意软件传播的,因此针对逻辑炸弹的基本防护是遵循反恶意软件的最佳实践:(1)关注钓鱼邮件,请勿打开和下载来源不明的邮件附件。(2)不要下载或安装来自未知来源或非官方的应用程序,包括浏览器导航栏,这是一种常见的恶意软件向量。(3)及时安装和更新杀毒/端点安全软件,保护您的电脑。然而,针对恶意软件的防护不足以防护所有逻辑炸弹,尤其是内部员工设置的恶意逻辑炸弹程序。当逻辑炸弹隐藏在代码中时,现有的防病毒产品也难以发挥作用。检测企业业务软件系统中嵌入的恶意代码的最佳方法——无论是心怀不满的员工故意破坏还是无意中以第三方软件库的形式出现——是有效的软件开发过程控制,将安全编码实践纳入开发过程过程。这些做法旨在确保任何代码在应用程序正式部署之前通过安全测试,并防止恶意内部员工以不安全的方式单方面修改代码。参考链接https://www.csoonline.com/article/2115905/logic-bomb.html。
