灰色软件是一个棘手的安全问题。虽然与高频报道的“恶意软件”和“勒索软件”等术语相比，“灰色软件”略显耳生，但事实上，我们每个人都曾跟它有过亲密接触：例如，许多新系统中所提供的不为人熟知的应用程序，或是具备为人熟知的名称但却非官方提供的应用程序。这些程式通常是在没有得到允许的情况下安装和执行的。它们统统属于“灰色软件”——或“可能不需要的应用程序”——是电脑保安所面临的持续性问题。

什么是“灰色软件”?

灰色软件(Grayware)这个名词是由趋势科技发明，用来泛指所有不被认为是电脑病毒或木马程式，但会对你所在机构的网络上所使用的电脑的效能造成负面影响、并引致网络的保安受损的软件。根据这个定义，灰色软件大致包含了以下几项：

1. 间谍软件(Spyware)

间谍软件是一种安装在电脑上，用于记录使用者网页浏览喜好(主要以行销为目的)的软件。在使用者上线的时候，间谍软件会将这些资讯传送给其作者，或其他对于这类资讯有兴趣的团体。间谍软件经常与一些“免费下载”的软件一起下载，且不会告知使用者其存在，或询问使用者安装其软件元件的许可。间谍软件收集的资料可能包含了使用者的击键资讯，诸如登入账号、密码和信用卡号等，并将其传送给第三方。

2. 广告软件(Adware)

广告软件是一种会在浏览器中显示广告的软件。尽管许多使用者认为其具有侵略性，但它并未被分类于恶意软件之中。广告软件经常在系统中造成恼人效果，例如不断的弹出致使电脑网络或系统效能低落的广告。广告软件通常经由与特定免费软件搭配分别安装。广告软件也经常与间谍软件串连起来安装。这两种软件相互依赖满足各自功能——间谍软件纪录使用者的网络行为，广告软件则依据这些纪录进行特定广告。广告软件显示广告并收集例如网络浏览喜好等可作为往后对使用者进行广告的资料。

3. 拨号软件(Dialer)

拨号软件是控制计算机的Modem的灰色软件。这些程式通常是拨打长途电话或者呼叫昂贵的电话号码来为窃取者创收。

4. 玩笑软件(Joke program)

玩笑软件是一些会让电脑作出古怪行为的软件，例如：屏幕上下倒转、或改变鼠标的形状等。这些软件未必会对使用者的电脑构成伤害，但也有系统管理者会觉得这些软件很麻烦，因为增添了他们应付使用者查询的时间。所以这些软件亦被列入为灰色软件。

5. 入侵软件(Hacker tools)

入侵软件通常都是一些协助指令码小子用来非法入侵他人电脑的现成软件。由于指令码小子一般都缺乏高深的电脑科学水平，所以只懂得透过操控这些入侵软件来达成非法入侵的目的。

6. 远端访问软件(Remote access tools)

远端访问软件本身不一定具有威胁性，相反，很多其实都是商业上用来让管理员管理其他电脑的工具。不过，一但这些工具落入非法入侵者的手上，亦会成为了入侵的工具，所以亦被归类为灰色软件。

一般来说，灰色软件都会做出一系列使用者不希望遇见、或感到烦恼的行为。

但要知道，灰色软件不一定是恶意软件。很多灰色软件的最终目标是跟踪网站访问者来获得搜寻结果，以达到某个商业目的。灰色软件的典型症状是系统缓慢、弹出广告、主页定向到别的网站等，从而造成骚扰。

因此，一些IT专业人士可能会倾向于忽略灰色软件，留出精力专注于破坏力更为明显的恶意软件和其他威胁。但是，这种想法显然并不合适。因为黑客可以将灰色软件技术用作其他恶意目的，例如利用浏览器来载入和执行某些程式。这些程式可以公开访问系统，收集资讯，跟踪键盘输入，修改设定，或者制造某些破坏。

所以，IT和安全团队必须充分了解灰色软件的各种因素，包括它们是什么?可能存在的潜在威胁有哪些?以及如何处理它们?

灰色软件的潜在危害

灰色软件可以很好地执行合法任务，但是需要付出代价，即这些软件会在执行工作时捕获资讯。虽然并非所有情况都与Cisco Talos识别的Persian Stalker Telegram灰色软件(2018年，Talos研究人员发现Persian Stalker灰色软件攻击Instagram和Telegram的伊朗使用者)一样明显，但其所收集的资讯都具备多样性的特征。

一些灰色软件可以在其应用程序程式码中公开收集资讯，而且您的使用者已同意该操作的可能性极大。针对这种情况，您需要做的就是阅读许可协议的第321段C小节，相关资讯就在此处。其他灰色软件可能会植入窃取使用者cookie个人资讯的间谍软件(tracking cookie)或是嵌入键盘记录程式。总之，无论是何种用例，都能轻易地在未经使用者许可的情况下获取到敏感资讯，这是一个非常棘手的问题。

2. 灰色软件会增加安全负担

安全专家经常抱怨称，他们及其系统必须归整大量资料才能找到攻击和漏洞利用。而灰色软件通过将可能不需要的应用程序及其资料新增到整体组合中，进一步加剧了问题的复杂性。

灰色软件增加安全负担的第一种方式就是通过附加软件。更多应用程序的存在意味着需要分析、部署、配置和管理的应用程序越来越多，这进一步增加了安全人员的工作负担。

灰色软件的目的往往是提供广告，收集资料，或两者兼而有之。而所有这些目的的实现都需要网络流量与组织外部的命令与控制(C&C)服务器的支援。流量必须经过嗅探和分析，以便及时发现恶意流量并将其阻断。而灰色软件的存在使得整体资料量变得异常庞大，为安全工作增加了更多负担，即使灰色软件本身没有执行任何恶意操作，但其存在和活动也为恶意软件的藏匿提供了很好的基础。

3. 灰色软件可能会隐藏恶意软件

除了为恶意软件提供藏身之处外，灰色软件还可以附带恶意软件，并将其隐藏在应用程序、助手程式和服务中，声称可以为使用者提供更高的下载价值。

在灰色软件上执行的恶意软件包括伪装成防病毒保护程式的木马病毒，系统不支援的浏览器助手程式，以及几乎所有型别的恶意负载示例，其中包含名称以及表明它们是合法软件的描述。

大多数这些恶意软件示例都应该能够通过反恶意软件保护程式来捕获，但是启动这么多灰色软件的软件安装程式可以为恶意软件提供足够长的覆盖时间，使其能够扎根并在受害者计算机上获得永续性。

4. 灰色软件可能会隐藏虚假应用程序

假设您希望将iTunes载入到您的计算机上：您会搜寻该软件，采用第一建议，并最终获得一个名为“iPrunes”的音乐管理器和播放器。你觉得只要自己能够用该软件调换曲目，它就没有危害也没有违规，对吧?事实并没有这么简单!

建议使用合法软件的原因之一是，大多数合法软件发行商对其收集和使用的客户资讯是公开透明的。但是，具有边缘功能(marginally functional)的虚假应用程序可能会收集远远超出使用者预期的资讯，并将其用于更具入侵性的目的。

而“边缘功能”就是关键：开发复杂的现代应用程序并不容易，即使对于大型合法发行商而言亦是如此。因为灰色软件的存在，使用者可能会在无意中引入一些功能不佳、不太可靠以及会与其他商业编写的应用程序相冲突的软件，进而引发更多安全问题。

5. 灰色软件可能与浏览器功能混淆

与以往相比，如今的浏览器对不受欢迎的浏览器帮助程式的抵抗力要大得多，但仍然有很多组织出于某种原因还在使用旧版浏览器。通过这些老旧的浏览器，攻击者就能够轻松获取到自己想要的资讯。

浏览器攻击主要有两种广泛的方式，即收集未经授权的资讯，或向不需要的目的地传送请求。前者对业务IT具有明显的安全隐患，而后者才是真正危险的，因为各种各样的恶意软件可以通过浏览器实现递交。此外，由于许多第三方广告侵占了当今大多数网站，因此使用者可能甚至无法察觉浏览器载入项将它们传送到恶意站点然后传送到原始目标时可能发生的多个重定向。

6. 灰色软件会侵占宽频资源

许多使用者认为网络宽频是无限的，免费的。但IT专业人士知道这种想法并非真实的，灰色软件与其C&C服务器之间的持续通讯(甚至偶尔的资料渗漏)会消耗合法应用程序所使用的宽频。

许多恶意软件开发者已经开发了他们自己的应用程序，通过小流量的形式传送资料，以逃避安全系统的检测。这也就意味着，灰色软件不太可能在篮球四强赛期间的员工流媒体游戏中占用宽频。但是，一旦这种灰色软件在员工间传播开来，一点点小流量的累积便会开始对整体网络效能产生影响。

就像应用程序本身一样，来自灰色软件的资料也会增加安全负担，增加安全团队试图从总流量中筛选出恶意流量的难度。

灰色软件防护方法

1. 使用者教育使用者教育最基本的方法是让使用者了解灰色软件的特点和危害性，禁止下载和安装来路不明的软件。或在允许下载和安装未知的程式之前，仔细阅读“终端使用者许可证”。有恶意倾向的灰色软件和木马程式通常试图隐藏起来，防止被清除或隔离。减少感染机会的另一方法是提高Web浏览器的安全级别，以及对所有的操作系统和应用软件都安装最新的补丁等。

2. 安装反间谍软件程式 新型防灰色软件和计算机上的防病毒软件的功能类似，它们可以依据灰色软件的特征值数量和特征库检测、删除和冻结灰色软件。反灰色软件程式又分基于主机的客户端软件和基于网络的反灰色软件两类。

基于主机的客户端软件的成本在于安装和维护，包括在每台计算机上安装、定时升级软件和病毒库。由于采用许可证方式，整个企业部署的成本较高。另外，很多木马和灰色软件在安装前会主动检测是否有这些防护软件，如果有的话就关闭掉，这样就可以避免被检测到，所以存在一定风险。

基于网络的反灰色软件是在企业网络连线到Internet的边界平台上，部署防灰色软件产品。在灰色软件进入网络前加以识别和清除，降低了安装、维护和保持更新的成本。闸道器得到升级，所有的防火墙后的计算机会自动地得到保护。

3. 与安全部门合作稽核应用程序在现代企业中，灰色软件是急于获取更快、更方便的软件来源所产生的副产品。减少使用者摩擦，灰色软件的大部分吸引力都会消失。