求真百科欢迎当事人提供第一手真实资料,洗刷冤屈,终结网路霸凌。

恶意软体查看源代码讨论查看历史

事实揭露 揭密真相
跳转至: 导航搜索

恶意软体

图片来自jadespring

恶意软体(Malware Classification)泛指任何类型的恶意软体,恶意软体的设计目的是在最终用户不知情的情况下对电脑、伺服器、客户端或电脑网路及/或基础设施造成损害或破坏。

概述

“恶意软体”是用来入侵电脑的软体,会在使用者不知情的情况下窃取电脑的机密资讯、逐渐减缓电脑的速度,或甚至盗用电子邮件帐户来传送假邮件。[1]网路攻击者可能因为种种原因而设计、使用及售卖恶意软体,但它最常用来窃取个资、财务商业资讯。尽管攻击动机各有不同,但网路攻击者几乎都集中战术、技术与流程(TTP)力量,攻击特权凭证及帐号的存取权,以执行其任务。

种类

恶意软体大致分为下列几种:

  • 病毒: 电脑病毒被执行之后便可透过修改其他程式及插入其恶意程式码来自我复制。它是唯一能够“感染”其他档案的恶意软体,也是最难清除的恶意软体之一。
  • 蠕虫: 蠕虫无需最终用户的参与即可自我复制,并可从一台机器转移至另一台机器,迅速传布整个网路。
  • 木马程式: 木马恶意软体会伪装成合法程式,因此是最难侦测的恶意软体类型之一。这种恶意软体包含恶意程式码及指令,一旦被受害者执行之后就能为所欲为而不被发现。它通常用来放行其他类型恶意软体进入系统。
  • 混种恶意软体:现代的恶意软体通常是多种恶意软体的“混合品种”或组合。例如“僵尸程式”首先以木马程式的形式出现,一旦执行后就扮演蠕虫的角色。在较大规模的全网路攻击中,它们经常被用来针对个人用户发动攻击。
  • 广告软体: 广告软体会向最终用户投放不需要且越权的广告(例如弹出式广告)。
  • 恶意广告:恶意广告使用合法的广告向最终用户的电脑投放恶意软体。
  • 间谍软体: 间谍软体会暗中监视毫无戒心的最终用户,收集凭证及密码、浏览历史记录等等。
  • 勒索软体: 勒索软体会感染电脑、将档案加密并持有解锁所需的密钥,直到受害者支付]赎金为止。以企业及政府实体为目标的勒索软体攻击正持续增加,组织为此付出百万元的代价,因为有些组织为了复原重要系统不得不付钱给攻击者。Cyptolocker、Petya及Loky都是最常见且最恶名昭著的勒索软体家族。[2]

散播方式

恶意软体会利用多种管道入侵您的电脑。常见的恶意软体散播方式情形如下:

  • 从网际网路下载免费软体,其中夹带了恶意软体。
  • 下载合法软体,而其中夹带了恶意软体。
  • 造访受恶意软体感染的网站。
  • 点击了假的错误讯息或弹出式视窗,开始下载恶意软体的动作。
  • 开启包含恶意软体的电子邮件附件。

入侵管道

恶意软体可透过多种方式入侵,大部分多在您连线至网路时发生。诺顿使用多种技术组合,在您前往网站之前辨识可能托管恶意软体的网站、在下载时辨识恶意软体;即使您忽略警告,诺顿仍会监视您下载的软体以寻找其在您的电脑、平板电脑和电话上的恶意行为和动作。感染方式包括:

  • 人为错误: 按下恶意网站连结、下载可疑的电子邮件附件、按下貌似合法的广告,以及其他类似的错误如按下某些内容而导致感染恶意软体。此外,忽视安全软体对连结、附件、档案或程式的警告而仍然点击。诺顿防护可以监控网路流量中是否存在恶意软体,并且还开发了行为防护层 SONAR,以监视程式并辨识恶意软体中常见恶意行为的迹象。
  • 网路攻击:从网路上某个位置发动的攻击。可能的途径包括受感染的网站 、专为发动网路攻击而建立的网站、从被刺探利用的网路浏览器或电子邮件用户端进行的偷渡式下载、恶意广告、按下会将恶意软体安装到您电脑上的广告,或是网址嫁接 (网路罪犯狡猾地将合法网站的流量重新导向至恶意网站)。诺顿 防护透过入侵预防系统 (IPS) 和主动式刺探利用防护 (PEP) 来防御零时差刺探利用,建立起第一道防线。
  • 应用程式或软体“套组”: 有时候,下载的应用程式或软体中可能包含出乎意料的程式。间谍软体和其他类型的恶意软体可能与您下载的内容捆绑在一起。您是否会下载免费应用程式、档案或程式?您是否信任每一个应用程式、档案或程式的发布者?诺顿防护利用应用程式和软体套组的信誉,将其侦测为恶意或潜在垃圾应用程式 (PUA),并将其标记以便移除。

恶意软体还可能会利用软体中的漏洞进入装置。软体公司会定期发布其软体的更新和修补程式,务必要在这些更新可用时进行安装,因为许多更新都包含针对安全漏洞的修复。有时,这些更新会定期发布并冠以“Patch Tuesday”这样的昵称,但诺顿装置安全解决方案可协助每天保护装置。[3]

防范方式

尽管恶意软体有许多种散播方式,但这并不代表您无力阻止恶势力蔓延。现在,您已经了解了恶意软体及其影响,一些您可以用来保护防范恶意软体的方式有:随时让电脑和软体保持最新状态、尽可能使用非系统管理员帐户、点击连结或下载资料时格外小心、开启电子邮件附件或图片时务必小心、不要信任要求您下载软体的弹出式视窗、对档案共用设限、使用防毒软体。

恶意软体实例

以下是网路攻击者针对敏感资料使用的其中几种恶意软体如 Pony 恶意软体、Loki或Loki-Bot、Krypton Stealer、Triton 恶意软体:

  • Pony 恶意软体:是最常用来窃取密码与凭证的恶意软体。它有时被称为Pony Stealer、Pony Loader或FareIT。 Pony恶意软体以Windows电脑为目标,并收集有关系统及其连线用户的资讯。它可用来下载其他恶意软体或窃取凭证,然后发送至命令及控制伺服器。
  • Loki或Loki-Bot:是一种资讯窃取恶意软体,锁定大约80种程式(包括所有已知的浏览器电子邮件客户端、远端控制程式及档案共享程式)的凭证与密码为目标。自2016年以来广受网路攻击者使用,至今仍是窃取凭证及存取个人资料的最常用方法。
  • Krypton Stealer:首度出现于2019年初,在国外论坛上以恶意软体即服务(MaaS)的形式出售,售价仅100美元加密货币。它以第7版及更高版本的Windows电脑为目标,而且无需管理员权限即可窃取凭证。该恶意软体也锁定储存在浏览器内的信用卡号及其他敏感资料,例如浏览记录、自动填入的资料、下载清单、Cookie及搜寻记录等。
  • Triton 恶意软体:在2017年造成中东一个重要基础设施运作瘫痪,这是该类恶意软体攻击最早的记录之一。该恶意软体以其目标系统– Triconex安全仪表系统(SIS)控制器命名。这些系统被用来关闭出现问题(例如设备故障、爆炸或灾)的核能设施、石油天然气工厂运作。Triton恶意软体专为停用这些故障保险机制而设计,进而可能导致对关键基础设施实体的攻击及潜在的人体伤害。

降低风险

为了加强对恶意软体的防御及侦测,同时不减损业务生产力,企业组织通常采取下列措施降低恶意软体的风险: 使用防病毒工具防御常见及已知的恶意软体。 使用终端侦测及回应技术持续监控及反击最终用户电脑上的恶意软体攻击及其他网路威胁。 遵循应用程式及作业系统(OS)的修补最佳实践程序。 实施最小特权原则 及即时存取,针对特定授权任务提高帐号特权,以便在不提供非必要特权的情况下维持用户的工作效率。 移除标准用户帐号的本地管理员权限,以减少攻击面。 在用户终端上实行应用程式灰名单,以防止不明应用程式(例如新的勒索软体实例)存取网际网路并取得加密档案所需的读取、写入及修改权限。 在伺服器上实行应用程式白名单,尽可能加强这些资产的安全性。 频密而自动备份终端与伺服器上的资料,以确保有效的灾变复原。

参考资料

  1. google Ads说明
  2. 恶意软体cyberark
  3. 恶意软体如何入侵?泉琨科技
取自“https://pediainside.com/index.php?title=惡意軟體&oldid=4746825