惡意軟體泛指任何類型的惡意軟體,惡意軟體的設計目的是在最終用戶不知情的情況下對電腦、伺服器、客戶端或電腦網路及/或基礎設施造成損害或破壞。
網路攻擊者可能因為種種原因而設計、使用及售賣惡意軟體,但它最常用來竊取個人、財務或商業資訊。儘管攻擊動機各有不同,但網路攻擊者幾乎都集中戰術、技術與流程(TTP)力量,攻擊特權憑證及帳號的存取權,以執行其任務。
Malware Classification
惡意軟體大致分為下列幾種:
- lok
- 病毒: 電腦病毒被執行之後便可透過修改其他程式及插入其惡意程式碼來自我複製。它是唯一能夠「感染」其他檔案的惡意軟體,也是最難清除的惡意軟體之一。
- 蠕蟲: 蠕蟲無需最終用戶的參與即可自我複製,並可從一台機器轉移至另一台機器,迅速傳佈整個網路。
- 木馬程式: 木馬惡意軟體會偽裝成合法程式,因此是最難偵測的惡意軟體類型之一。這種惡意軟體包含惡意程式碼及指令,一旦被受害者執行之後就能為所欲為而不被發現。它通常用來放行其他類型惡意軟體進入系統。
- 混種惡意軟體:現代的惡意軟體通常是多種惡意軟體的「混合品種」或組合。例如「殭屍程式」首先以木馬程式的形式出現,一旦執行後就扮演蠕蟲的角色。在較大規模的全網路攻擊中,它們經常被用來針對個人用戶發動攻擊。
- 廣告軟體: 廣告軟體會向最終用戶投放不需要且越權的廣告(例如彈出式廣告)。
- 惡意廣告:惡意廣告使用合法的廣告向最終用戶的電腦投放惡意軟體。
- 間諜軟體: 間諜軟體會暗中監視毫無戒心的最終用戶,收集憑證及密碼、瀏覽歷史記錄等等。
- 勒索軟體: 勒索軟體 會感染電腦、將檔案加密並持有解鎖所需的密鑰,直到受害者支付贖金為止。以企業及政府實體為目標的勒索軟體攻擊正持續增加,組織為此付出百萬元的代價,因為有些組織為了復原重要系統不得不付錢給攻擊者。Cyptolocker、Petya及Loky都是最常見且最惡名昭著的勒索軟體家族。
惡意軟體的例子
以下是網路攻擊者針對敏感資料使用的其中幾種惡意軟體:
- Pony 惡意軟體 是最常用來竊取密碼與憑證的惡意軟體。它有時被稱為Pony Stealer、Pony Loader或FareIT。 Pony惡意軟體以Windows電腦為目標,並收集有關系統及其連線用戶的資訊。它可用來下載其他惡意軟體或竊取憑證,然後發送至命令及控制伺服器。
- Loki或Loki-Bot是一種資訊竊取惡意軟體,鎖定大約80種程式(包括所有已知的瀏覽器、電子郵件客戶端、遠端控制程式及檔案共享程式)的憑證與密碼為目標。自2016年以來廣受網路攻擊者使用,至今仍是竊取憑證及存取個人資料的最常用方法。
- Krypton Stealer首度出現於2019年初,在國外論壇上以惡意軟體即服務(MaaS)的形式出售,售價僅100美元加密貨幣。它以第7版及更高版本的Windows電腦為目標,而且無需管理員權限即可竊取憑證。該惡意軟體也鎖定儲存在瀏覽器內的信用卡號及其他敏感資料,例如瀏覽記錄、自動填入的資料、下載清單、Cookie及搜尋記錄等。
- Triton 惡意軟體在2017年造成中東一個重要基礎設施運作癱瘓,這是該類惡意軟體攻擊最早的記錄之一。該惡意軟體以其目標系統– Triconex安全儀表系統(SIS)控制器命名。這些系統被用來關閉出現問題(例如設備故障、爆炸或火災)的核能設施、石油及天然氣工廠運作。Triton惡意軟體專為停用這些故障保險機制而設計,進而可能導致對關鍵基礎設施實體的攻擊及潛在的人體傷害。
如何降低惡意軟體的風險
為了加強對惡意軟體的防禦及偵測,同時不減損業務生產力,企業組織通常採取下列措施:
- 使用防病毒工具防禦常見及已知的惡意軟體。
- 使用終端偵測及回應技術持續監控及反擊最終用戶電腦上的惡意軟體攻擊及其他網路威脅。
- 遵循應用程式及作業系統(OS)的修補最佳實踐程序。
- 實施最小特權原則 及即時存取,針對特定授權任務提高帳號特權,以便在不提供非必要特權的情況下維持用戶的工作效率。
- 移除標準用戶帳號的本地管理員權限,以減少攻擊面。
- 在用戶終端上實行應用程式灰名單,以防止不明應用程式(例如新的勒索軟體實例)存取網際網路並取得加密檔案所需的讀取、寫入及修改權限。
- 在伺服器上實行應用程式白名單,儘可能加強這些資產的安全性。
- 頻密而自動備份終端與伺服器上的資料,以確保有效的災變復原。
