惡意軟體查看源代码讨论查看历史
惡意軟體 |
|---|
|
惡意軟體(Malware Classification)泛指任何類型的惡意軟體,惡意軟體的設計目的是在最終用戶不知情的情況下對電腦、伺服器、客戶端或電腦網路及/或基礎設施造成損害或破壞。
概述
「惡意軟體」是用來入侵電腦的軟體,會在使用者不知情的情況下竊取電腦的機密資訊、逐漸減緩電腦的速度,或甚至盜用電子郵件帳戶來傳送假郵件。[1]網路攻擊者可能因為種種原因而設計、使用及售賣惡意軟體,但它最常用來竊取個資、財務或商業資訊。儘管攻擊動機各有不同,但網路攻擊者幾乎都集中戰術、技術與流程(TTP)力量,攻擊特權憑證及帳號的存取權,以執行其任務。
種類
惡意軟體大致分為下列幾種:
- 病毒: 電腦病毒被執行之後便可透過修改其他程式及插入其惡意程式碼來自我複製。它是唯一能夠「感染」其他檔案的惡意軟體,也是最難清除的惡意軟體之一。
- 蠕蟲: 蠕蟲無需最終用戶的參與即可自我複製,並可從一台機器轉移至另一台機器,迅速傳佈整個網路。
- 木馬程式: 木馬惡意軟體會偽裝成合法程式,因此是最難偵測的惡意軟體類型之一。這種惡意軟體包含惡意程式碼及指令,一旦被受害者執行之後就能為所欲為而不被發現。它通常用來放行其他類型惡意軟體進入系統。
- 混種惡意軟體:現代的惡意軟體通常是多種惡意軟體的「混合品種」或組合。例如「殭屍程式」首先以木馬程式的形式出現,一旦執行後就扮演蠕蟲的角色。在較大規模的全網路攻擊中,它們經常被用來針對個人用戶發動攻擊。
- 廣告軟體: 廣告軟體會向最終用戶投放不需要且越權的廣告(例如彈出式廣告)。
- 惡意廣告:惡意廣告使用合法的廣告向最終用戶的電腦投放惡意軟體。
- 間諜軟體: 間諜軟體會暗中監視毫無戒心的最終用戶,收集憑證及密碼、瀏覽歷史記錄等等。
- 勒索軟體: 勒索軟體會感染電腦、將檔案加密並持有解鎖所需的密鑰,直到受害者支付]贖金為止。以企業及政府實體為目標的勒索軟體攻擊正持續增加,組織為此付出百萬元的代價,因為有些組織為了復原重要系統不得不付錢給攻擊者。Cyptolocker、Petya及Loky都是最常見且最惡名昭著的勒索軟體家族。[2]
散播方式
惡意軟體會利用多種管道入侵您的電腦。常見的惡意軟體散播方式情形如下:
- 從網際網路下載免費軟體,其中夾帶了惡意軟體。
- 下載合法軟體,而其中夾帶了惡意軟體。
- 造訪受惡意軟體感染的網站。
- 點擊了假的錯誤訊息或彈出式視窗,開始下載惡意軟體的動作。
- 開啟包含惡意軟體的電子郵件附件。
入侵管道
惡意軟體可透過多種方式入侵,大部分多在您連線至網路時發生。諾頓使用多種技術組合,在您前往網站之前辨識可能託管惡意軟體的網站、在下載時辨識惡意軟體;即使您忽略警告,諾頓仍會監視您下載的軟體以尋找其在您的電腦、平板電腦和電話上的惡意行為和動作。感染方式包括:
- 人為錯誤: 按下惡意網站連結、下載可疑的電子郵件附件、按下貌似合法的廣告,以及其他類似的錯誤如按下某些內容而導致感染惡意軟體。此外,忽視安全軟體對連結、附件、檔案或程式的警告而仍然點擊。諾頓防護可以監控網路流量中是否存在惡意軟體,並且還開發了行為防護層 SONAR,以監視程式並辨識惡意軟體中常見惡意行為的跡象。
- 網路攻擊:從網路上某個位置發動的攻擊。可能的途徑包括受感染的網站 、專為發動網路攻擊而建立的網站、從被刺探利用的網路瀏覽器或電子郵件用戶端進行的偷渡式下載、惡意廣告、按下會將惡意軟體安裝到您電腦上的廣告,或是網址嫁接 (網路罪犯狡猾地將合法網站的流量重新導向至惡意網站)。諾頓 防護透過入侵預防系統 (IPS) 和主動式刺探利用防護 (PEP) 來防禦零時差刺探利用,建立起第一道防線。
- 應用程式或軟體「套組」: 有時候,下載的應用程式或軟體中可能包含出乎意料的程式。間諜軟體和其他類型的惡意軟體可能與您下載的內容綑綁在一起。您是否會下載免費應用程式、檔案或程式?您是否信任每一個應用程式、檔案或程式的發布者?諾頓防護利用應用程式和軟體套組的信譽,將其偵測為惡意或潛在垃圾應用程式 (PUA),並將其標記以便移除。
惡意軟體還可能會利用軟體中的漏洞進入裝置。軟體公司會定期發布其軟體的更新和修補程式,務必要在這些更新可用時進行安裝,因為許多更新都包含針對安全漏洞的修復。有時,這些更新會定期發布並冠以「Patch Tuesday」這樣的暱稱,但諾頓裝置安全解決方案可協助每天保護裝置。[3]
防範方式
儘管惡意軟體有許多種散播方式,但這並不代表您無力阻止惡勢力蔓延。現在,您已經瞭解了惡意軟體及其影響,一些您可以用來保護防範惡意軟體的方式有:隨時讓電腦和軟體保持最新狀態、盡可能使用非系統管理員帳戶、點擊連結或下載資料時格外小心、開啟電子郵件附件或圖片時務必小心、不要信任要求您下載軟體的彈出式視窗、對檔案共用設限、使用防毒軟體。
惡意軟體實例
以下是網路攻擊者針對敏感資料使用的其中幾種惡意軟體如 Pony 惡意軟體、Loki或Loki-Bot、Krypton Stealer、Triton 惡意軟體:
- Pony 惡意軟體:是最常用來竊取密碼與憑證的惡意軟體。它有時被稱為Pony Stealer、Pony Loader或FareIT。 Pony惡意軟體以Windows電腦為目標,並收集有關系統及其連線用戶的資訊。它可用來下載其他惡意軟體或竊取憑證,然後發送至命令及控制伺服器。
- Loki或Loki-Bot:是一種資訊竊取惡意軟體,鎖定大約80種程式(包括所有已知的瀏覽器、電子郵件客戶端、遠端控制程式及檔案共享程式)的憑證與密碼為目標。自2016年以來廣受網路攻擊者使用,至今仍是竊取憑證及存取個人資料的最常用方法。
- Krypton Stealer:首度出現於2019年初,在國外論壇上以惡意軟體即服務(MaaS)的形式出售,售價僅100美元加密貨幣。它以第7版及更高版本的Windows電腦為目標,而且無需管理員權限即可竊取憑證。該惡意軟體也鎖定儲存在瀏覽器內的信用卡號及其他敏感資料,例如瀏覽記錄、自動填入的資料、下載清單、Cookie及搜尋記錄等。
- Triton 惡意軟體:在2017年造成中東一個重要基礎設施運作癱瘓,這是該類惡意軟體攻擊最早的記錄之一。該惡意軟體以其目標系統– Triconex安全儀表系統(SIS)控制器命名。這些系統被用來關閉出現問題(例如設備故障、爆炸或火災)的核能設施、石油及天然氣工廠運作。Triton惡意軟體專為停用這些故障保險機制而設計,進而可能導致對關鍵基礎設施實體的攻擊及潛在的人體傷害。
降低風險
為了加強對惡意軟體的防禦及偵測,同時不減損業務生產力,企業組織通常採取下列措施降低惡意軟體的風險: 使用防病毒工具防禦常見及已知的惡意軟體。 使用終端偵測及回應技術持續監控及反擊最終用戶電腦上的惡意軟體攻擊及其他網路威脅。 遵循應用程式及作業系統(OS)的修補最佳實踐程序。 實施最小特權原則 及即時存取,針對特定授權任務提高帳號特權,以便在不提供非必要特權的情況下維持用戶的工作效率。 移除標準用戶帳號的本地管理員權限,以減少攻擊面。 在用戶終端上實行應用程式灰名單,以防止不明應用程式(例如新的勒索軟體實例)存取網際網路並取得加密檔案所需的讀取、寫入及修改權限。 在伺服器上實行應用程式白名單,儘可能加強這些資產的安全性。 頻密而自動備份終端與伺服器上的資料,以確保有效的災變復原。