12,135
次編輯
變更
惡意軟體
,建立新條目
'''惡意軟體'''(Malware Classification)泛指任何類型的惡意軟體,惡意軟體的設計目的是在最終用戶不知情的情況下對電腦、伺服器、客戶端或電腦網路及/或基礎設施造成損害或破壞。
==概述==
「惡意軟體」就是用來入侵電腦的軟體,會在您不知情的情況下竊取電腦的機密資訊、逐漸減緩電腦的速度,或甚至盜用電子郵件帳戶來傳送假郵件。<ref>[https://support.google.com/google-ads/answer/2375413?hl=zh-Hant google Ads說明]</ref>網路攻擊者可能因為種種原因而設計、使用及售賣惡意軟體,但它最常用來竊取個人、財務或商業資訊。儘管攻擊動機各有不同,但網路攻擊者幾乎都集中戰術、技術與流程(TTP)力量,攻擊特權憑證及帳號的存取權,以執行其任務。
==種類==
惡意軟體大致分為下列幾種:<br>
* 病毒: 電腦病毒被執行之後便可透過修改其他程式及插入其惡意程式碼來自我複製。它是唯一能夠「感染」其他檔案的惡意軟體,也是最難清除的惡意軟體之一。
* 蠕蟲: 蠕蟲無需最終用戶的參與即可自我複製,並可從一台機器轉移至另一台機器,迅速傳佈整個網路。
* [[木馬程式]]: 木馬惡意軟體會偽裝成合法程式,因此是最難偵測的惡意軟體類型之一。這種惡意軟體包含惡意程式碼及指令,一旦被受害者執行之後就能為所欲為而不被發現。它通常用來放行其他類型惡意軟體進入系統。
* 混種惡意軟體:現代的惡意軟體通常是多種惡意軟體的「混合品種」或組合。例如「[[殭屍程式]]」首先以木馬程式的形式出現,一旦執行後就扮演蠕蟲的角色。在較大規模的全網路攻擊中,它們經常被用來針對個人用戶發動攻擊。
* 廣告軟體: 廣告軟體會向最終用戶投放不需要且越權的廣告(例如彈出式廣告)。
* 惡意廣告:惡意廣告使用合法的廣告向最終用戶的電腦投放惡意軟體。
* 間諜軟體: 間諜軟體會暗中監視毫無戒心的最終用戶,收集憑證及密碼、瀏覽歷史記錄等等。
* [[勒索軟體]]: 勒索軟體會感染電腦、將檔案加密並持有解鎖所需的密鑰,直到受害者支付贖金為止。以企業及政府實體為目標的勒索軟體攻擊正持續增加,組織為此付出百萬元的代價,因為有些組織為了復原重要系統不得不付錢給攻擊者。Cyptolocker、Petya及Loky都是最常見且最惡名昭著的勒索軟體家族。<ref>[https://www.cyberark.com/zh-hant/what-is/malware/ 惡意軟體]cyberark</ref>
==散播方式==
惡意軟體會利用多種管道入侵您的電腦。常見的惡意軟體散播方式情形如下:<br>
* 從網際網路下載免費軟體,其中夾帶了惡意軟體
* 下載合法軟體,而其中夾帶了惡意軟體
* 造訪受惡意軟體感染的網站
* 點擊了假的錯誤訊息或彈出式視窗,開始下載惡意軟體的動作
* 開啟包含惡意軟體的電子郵件附件
==防範方式==
儘管惡意軟體有許多種散播方式,但這並不代表您無力阻止惡勢力蔓延。現在,您已經瞭解了惡意軟體及其影響,一些您可以用來保護防範惡意軟體的方式有:隨時讓電腦和軟體保持最新狀態、盡可能使用非系統管理員帳戶、點擊連結或下載資料時格外小心、開啟電子郵件附件或圖片時務必小心、不要信任要求您下載軟體的彈出式視窗、對檔案共用設限、使用防毒軟體。
== 惡意軟體實例 ==
以下是網路攻擊者針對敏感資料使用的其中幾種惡意軟體如 Pony 惡意軟體、Loki或Loki-Bot、Krypton Stealer、Triton 惡意軟體:
* Pony 惡意軟體:是最常用來竊取密碼與憑證的惡意軟體。它有時被稱為Pony Stealer、Pony Loader或FareIT。 Pony惡意軟體以Windows電腦為目標,並收集有關系統及其連線用戶的資訊。它可用來下載其他惡意軟體或竊取憑證,然後發送至命令及控制伺服器。
* Loki或Loki-Bot:是一種資訊竊取惡意軟體,鎖定大約80種程式(包括所有已知的[[瀏覽器]]、[[電子郵件]]客戶端、遠端控制程式及檔案共享程式)的憑證與密碼為目標。自2016年以來廣受網路攻擊者使用,至今仍是竊取憑證及存取個人資料的最常用方法。
* Krypton Stealer:首度出現於2019年初,在國外論壇上以惡意軟體即服務(MaaS)的形式出售,售價僅100美元加密貨幣。它以第7版及更高版本的Windows電腦為目標,而且無需管理員權限即可竊取憑證。該惡意軟體也鎖定儲存在瀏覽器內的信用卡號及其他敏感資料,例如瀏覽記錄、自動填入的資料、下載清單、Cookie及搜尋記錄等。
* Triton 惡意軟體:在2017年造成中東一個重要基礎設施運作癱瘓,這是該類惡意軟體攻擊最早的記錄之一。該惡意軟體以其目標系統– Triconex安全儀表系統(SIS)控制器命名。這些系統被用來關閉出現問題(例如設備故障、爆炸或火災)的核能設施、[[石油]]及[[天然氣]]工廠運作。Triton惡意軟體專為停用這些故障保險機制而設計,進而可能導致對關鍵基礎設施實體的攻擊及潛在的人體傷害。
== 降低風險 ==
為了加強對惡意軟體的防禦及偵測,同時不減損業務生產力,企業組織通常採取下列措施降低惡意軟體的風險:
使用防病毒工具防禦常見及已知的惡意軟體。
使用終端偵測及回應技術持續監控及反擊最終用戶電腦上的惡意軟體攻擊及其他網路威脅。
遵循應用程式及作業系統(OS)的修補最佳實踐程序。
實施最小特權原則 及即時存取,針對特定授權任務提高帳號特權,以便在不提供非必要特權的情況下維持用戶的工作效率。
移除標準用戶帳號的本地管理員權限,以減少攻擊面。
在用戶終端上實行應用程式灰名單,以防止不明應用程式(例如新的勒索軟體實例)存取網際網路並取得加密檔案所需的讀取、寫入及修改權限。
在伺服器上實行應用程式白名單,儘可能加強這些資產的安全性。
頻密而自動備份終端與伺服器上的資料,以確保有效的災變復原。
==參考資料==
{{reflist}}
==概述==
「惡意軟體」就是用來入侵電腦的軟體,會在您不知情的情況下竊取電腦的機密資訊、逐漸減緩電腦的速度,或甚至盜用電子郵件帳戶來傳送假郵件。<ref>[https://support.google.com/google-ads/answer/2375413?hl=zh-Hant google Ads說明]</ref>網路攻擊者可能因為種種原因而設計、使用及售賣惡意軟體,但它最常用來竊取個人、財務或商業資訊。儘管攻擊動機各有不同,但網路攻擊者幾乎都集中戰術、技術與流程(TTP)力量,攻擊特權憑證及帳號的存取權,以執行其任務。
==種類==
惡意軟體大致分為下列幾種:<br>
* 病毒: 電腦病毒被執行之後便可透過修改其他程式及插入其惡意程式碼來自我複製。它是唯一能夠「感染」其他檔案的惡意軟體,也是最難清除的惡意軟體之一。
* 蠕蟲: 蠕蟲無需最終用戶的參與即可自我複製,並可從一台機器轉移至另一台機器,迅速傳佈整個網路。
* [[木馬程式]]: 木馬惡意軟體會偽裝成合法程式,因此是最難偵測的惡意軟體類型之一。這種惡意軟體包含惡意程式碼及指令,一旦被受害者執行之後就能為所欲為而不被發現。它通常用來放行其他類型惡意軟體進入系統。
* 混種惡意軟體:現代的惡意軟體通常是多種惡意軟體的「混合品種」或組合。例如「[[殭屍程式]]」首先以木馬程式的形式出現,一旦執行後就扮演蠕蟲的角色。在較大規模的全網路攻擊中,它們經常被用來針對個人用戶發動攻擊。
* 廣告軟體: 廣告軟體會向最終用戶投放不需要且越權的廣告(例如彈出式廣告)。
* 惡意廣告:惡意廣告使用合法的廣告向最終用戶的電腦投放惡意軟體。
* 間諜軟體: 間諜軟體會暗中監視毫無戒心的最終用戶,收集憑證及密碼、瀏覽歷史記錄等等。
* [[勒索軟體]]: 勒索軟體會感染電腦、將檔案加密並持有解鎖所需的密鑰,直到受害者支付贖金為止。以企業及政府實體為目標的勒索軟體攻擊正持續增加,組織為此付出百萬元的代價,因為有些組織為了復原重要系統不得不付錢給攻擊者。Cyptolocker、Petya及Loky都是最常見且最惡名昭著的勒索軟體家族。<ref>[https://www.cyberark.com/zh-hant/what-is/malware/ 惡意軟體]cyberark</ref>
==散播方式==
惡意軟體會利用多種管道入侵您的電腦。常見的惡意軟體散播方式情形如下:<br>
* 從網際網路下載免費軟體,其中夾帶了惡意軟體
* 下載合法軟體,而其中夾帶了惡意軟體
* 造訪受惡意軟體感染的網站
* 點擊了假的錯誤訊息或彈出式視窗,開始下載惡意軟體的動作
* 開啟包含惡意軟體的電子郵件附件
==防範方式==
儘管惡意軟體有許多種散播方式,但這並不代表您無力阻止惡勢力蔓延。現在,您已經瞭解了惡意軟體及其影響,一些您可以用來保護防範惡意軟體的方式有:隨時讓電腦和軟體保持最新狀態、盡可能使用非系統管理員帳戶、點擊連結或下載資料時格外小心、開啟電子郵件附件或圖片時務必小心、不要信任要求您下載軟體的彈出式視窗、對檔案共用設限、使用防毒軟體。
== 惡意軟體實例 ==
以下是網路攻擊者針對敏感資料使用的其中幾種惡意軟體如 Pony 惡意軟體、Loki或Loki-Bot、Krypton Stealer、Triton 惡意軟體:
* Pony 惡意軟體:是最常用來竊取密碼與憑證的惡意軟體。它有時被稱為Pony Stealer、Pony Loader或FareIT。 Pony惡意軟體以Windows電腦為目標,並收集有關系統及其連線用戶的資訊。它可用來下載其他惡意軟體或竊取憑證,然後發送至命令及控制伺服器。
* Loki或Loki-Bot:是一種資訊竊取惡意軟體,鎖定大約80種程式(包括所有已知的[[瀏覽器]]、[[電子郵件]]客戶端、遠端控制程式及檔案共享程式)的憑證與密碼為目標。自2016年以來廣受網路攻擊者使用,至今仍是竊取憑證及存取個人資料的最常用方法。
* Krypton Stealer:首度出現於2019年初,在國外論壇上以惡意軟體即服務(MaaS)的形式出售,售價僅100美元加密貨幣。它以第7版及更高版本的Windows電腦為目標,而且無需管理員權限即可竊取憑證。該惡意軟體也鎖定儲存在瀏覽器內的信用卡號及其他敏感資料,例如瀏覽記錄、自動填入的資料、下載清單、Cookie及搜尋記錄等。
* Triton 惡意軟體:在2017年造成中東一個重要基礎設施運作癱瘓,這是該類惡意軟體攻擊最早的記錄之一。該惡意軟體以其目標系統– Triconex安全儀表系統(SIS)控制器命名。這些系統被用來關閉出現問題(例如設備故障、爆炸或火災)的核能設施、[[石油]]及[[天然氣]]工廠運作。Triton惡意軟體專為停用這些故障保險機制而設計,進而可能導致對關鍵基礎設施實體的攻擊及潛在的人體傷害。
== 降低風險 ==
為了加強對惡意軟體的防禦及偵測,同時不減損業務生產力,企業組織通常採取下列措施降低惡意軟體的風險:
使用防病毒工具防禦常見及已知的惡意軟體。
使用終端偵測及回應技術持續監控及反擊最終用戶電腦上的惡意軟體攻擊及其他網路威脅。
遵循應用程式及作業系統(OS)的修補最佳實踐程序。
實施最小特權原則 及即時存取,針對特定授權任務提高帳號特權,以便在不提供非必要特權的情況下維持用戶的工作效率。
移除標準用戶帳號的本地管理員權限,以減少攻擊面。
在用戶終端上實行應用程式灰名單,以防止不明應用程式(例如新的勒索軟體實例)存取網際網路並取得加密檔案所需的讀取、寫入及修改權限。
在伺服器上實行應用程式白名單,儘可能加強這些資產的安全性。
頻密而自動備份終端與伺服器上的資料,以確保有效的災變復原。
==參考資料==
{{reflist}}