譯者 | 布加迪

審校 | 重樓

今天我們要討論的是最狡猾的網絡安全威脅之一：邏輯炸彈。這個名字聽起來可能沒什么害處，但這種網絡攻擊很難被發現，會造成各種各樣的破壞，甚至可以從貴組織內部攻擊。

下面介紹邏輯炸彈的定義、這種攻擊的工作機理以及貴組織可以采取什么措施來防護。

邏輯炸彈的定義

邏輯炸彈是有意植入到軟件中的一段惡意代碼，在某一時刻攻擊操作系統、程序或網絡。代碼一直處于潛伏狀態，直至滿足某些條件，然后顯示其惡意載荷。

激活邏輯炸彈的必要條件可能是攻擊者設定的時間（定時炸彈)、刪除某個文件等。在它被觸發之前，您無法判斷攻擊載荷是什么。它可能刪除或竊取文件、破壞數據、發送垃圾郵件，甚至清除整個硬盤驅動器或服務器。

這種攻擊的名字來源于這個想法：一旦滿足預定義的條件，代碼就會“爆炸”。它又叫渣代碼。它們也可能被合并到惡意軟件中，比如病毒、蠕蟲或特洛伊木馬。

邏輯炸彈的工作機理

這種類型的攻擊比較難追蹤。邏輯炸彈可能在幾個月后甚至幾年后才會激活。由于植入代碼和激活代碼之間有時間間隔，威脅分子可以掩蓋蹤跡。比較謹慎的網絡犯罪分子可以在感染的最后階段銷毀任何證據。

邏輯炸彈可能由心懷不滿的員工植入，這是一種內部威脅。但它也可能來自不誠實的供應商，甚至是政府特工。

網絡犯罪分子可以設定積極或消極的條件作為觸發攻擊的誘因。比如說，如果我們談論一個積極的條件，當條件滿足時惡意代碼就會行動（查看某個特定的文件）。而條件不滿足時（在一段時間內未被發現或處于停用狀態)，消極條件就會觸發炸彈。

因此，無論滿足的條件是積極條件還是消極條件，它都會觸發邏輯炸彈。阻止它的唯一方法是緩解條件或刪除代碼。

邏輯炸彈的特征

這種類型的攻擊具有以下幾個特征：

• 它在一段時間后變得活躍。起初它被植入后，惡意代碼是不活躍的，無法被檢測到。
• 您無法知道攻擊載荷的內容。在炸彈被激活之前，您猜不出惡意軟件會釋放什么載荷。后果可能不一樣，有的是泄露數據，有的是傳播垃圾郵件。
• 它需要一定的條件才能激活。條件好比雷管，邏輯炸彈只有在條件滿足的情況下才會實現其惡意目的。條件包括：從公司的工資單中刪除一名員工、某個特定的日期等。

邏輯炸彈的例子

據說，邏輯炸彈的歷史始于美國和前蘇聯冷戰時期。2002年，瑞士跨國投資銀行瑞銀集團的一名系統管理員策劃了一次攻擊。該事件影響了該公司400個辦公室的2000臺服務器。結果他被判入獄8年多，罰款300萬美元。

2003年，Medco的一名系統工程師擔心被解雇。于是他植入了一個邏輯炸彈，可以在他離開組織后清除一些數據。當他試圖清除炸彈時被人發現，后被判入獄30個月。2018年，這種惡意代碼刪除了美國陸軍的大量數據。

2019年，西門子公司的一名合同工在他創建的自動化電子表格中植入了惡意代碼。惡意代碼導致系統頻繁出現故障。他的目的是，每當程序不能正常運行、只好由他修復時，就向西門子公司收費。這名網絡犯罪分子后來被抓獲并被入獄。

如何保護貴公司免受邏輯炸彈攻擊？

貴公司猜不出惡意軟件攜帶哪種載荷，也猜不出將遭受的損害程度。所以，保護是最穩當的選擇。

以下是可以保護貴公司免受此類攻擊的幾個措施：

• 使用基于人工智能的反病毒和反惡意軟件。
• 經常更新貴公司的軟件以避免任何漏洞。
• 掃描所有文件，包括經過壓縮的文件和子目錄。
• 避免可疑的電子郵件附件。
• 只從官方商店下載軟件。
• 定期備份，以便遭到攻擊時快速恢復。
• 由于威脅可能來自內部，所以要加強貴公司的安全檢查、招聘流程以及用來密切監視員工和自由職業者的方法。

原文標題：??Find Out What Is a Logic Bomb. Definition, Characteristics, and Protection Measures??，作者：Andreea Chebac