什麼是惡意軟體?
惡意軟體 (Malware) 通常用於入侵、破壞或從電腦系統中擷取資訊。網路犯罪分子使用惡意軟體進行各種活動,從竊取資料、刪除檔案、記錄鍵盤輸入,到破解登入憑證。這使得惡意軟體成為極具威脅性的工具,每個組織都必須正視並加以防範。
一旦系統感染惡意軟體,威脅行為者便能幾乎甚至完全掌控該系統。此外,他們可以隨時存取受感染的裝置。這在非上班時段尤其令人擔憂,因為許多組織在這段期間的資安團隊支援較為薄弱。
惡意軟體攻擊平均每 11 秒就會發生一次。為了幫助保護您的組織,請先瞭解各種不同類型的惡意軟體。
惡意軟體的類型
惡意軟體有多種形式。我們在下方列出了最常見的惡意軟體系列類型。
電腦病毒(Computer Viruses)
電腦病毒透過惡意程式碼在系統的各個元件之間自我複製,模仿真實病毒的行為。通常,電腦病毒是透過某個軟體程式或系統元件被植入系統中。這使得清除病毒的過程變得困難,因為若要根除病毒的原始來源,可能會導致整個系統一併故障。
為了成功防止病毒造成進一步的損害,必須先將其隔離;接著阻止其持續複製的行為,最後才能將其徹底從系統中移除。
電腦蠕蟲(Computer Worms)
電腦蠕蟲通常是能自我複製的惡意程式,透過複製自身來進行擴散。這類程式特別危險,因為它們不需要使用者的任何操作就能成功感染整個網路。
勒索軟體(Ransomware)
勒索軟體顧名思義,是一種以勒索為目的的惡意軟體,會將使用者的檔案與系統鎖定,直到支付贖金為止。即使組織支付了贖金,也不一定能重新取得系統或資料的存取權限。勒索軟體攻擊日益猖獗,並已演變為雙重勒索手法:攻擊者除了加密資料外,還會竊取敏感資訊,並威脅若不支付贖金就將其公開。
鍵盤側錄程式(Keyloggers)
鍵盤側錄程式是一種監控鍵盤輸入的惡意軟體(在某些情況下也可能是一般軟體),可讓外部人士追蹤使用者的每一次鍵盤操作。有些鍵盤側錄程式具有合法用途(例如企業為了資安或其他目的監控員工活動),但若落入不當人士手中,則可能導致資料外洩及其他惡意行為,對企業構成風險。
特洛伊木馬病毒(Trojan Horses)
「特洛伊木馬」一詞源自古代特洛伊戰爭中的戰術工具,當時希臘軍隊將士兵藏在木馬內,藉此滲透敵方城堡,並為其他士兵創造額外的進攻通道。
同樣的概念也適用於網路戰。數位特洛伊木馬通常偽裝成合法軟體,透過電子郵件連結、看似無害的應用程式,甚至是手法進行散布。接著,特洛伊木馬會開啟後門,讓攻擊者得以存取企業數位基礎架構中的各個區域。
間諜軟體(Spyware)
間諜軟體也就是「間諜惡意軟體」,通常被具有不良意圖的人用來監視受害者,並存取資料以謀取自身利益。其主要目的在於蒐集個人識別資訊 (personally identifying information, PII),這些資訊可能被用來牟利,或進一步取得其他敏感資料。
後門(Backdoors)
雖然後門在某些情況下確實有其價值,例如協助合法使用者重新存取其訂閱的軟體或程式,但它也可能遭到心懷不軌的人濫用。許多科技供應商會為內部用途保留後門,但若這些後門落入不當人士手中,後果可能非常嚴重。
無檔案惡意軟體(Fileless Malware)
無檔案惡意軟體讓攻擊者能透過作業系統取得存取權限,例如 API、登錄機碼或排程任務。攻擊者可以輕易地隱藏在現有的指令碼或通訊協定中,長時間不被發現。從網路安全角度來看,這種攻擊方式也使針對其的偵測與防範變得更加困難。
廣告軟體(Adware)
任何在網路上瀏覽的人,即使用了彈出式視窗阻擋器,也很可能接觸到廣告軟體。廣告軟體最常見的行為是將使用者重新導向至提供類似產品的其他網站。此外,攻擊者也會利用廣告軟體透過像是 Google AdSense 等線上廣告服務來獲取收入。
惡意廣告(Malvertising)
惡意廣告是一種偽裝成正常廣告的惡意行銷手法,實際上卻是惡意軟體。大多數看起來可疑的廣告通常與惡意內容有關。當使用者點擊這類廣告時,就會將惡意軟體植入系統,使攻擊者得以控制該裝置。
Rootkit
Rootkit 是一種惡意軟體,會接管系統的管理權限,同時避開偵測。這種攻擊方式可能造成系統管理員面臨各種問題,例如被鎖定在系統之外,無法掌控系統運作。由於 Rootkit 是在作業系統層級運作,其功能遠比其他類型的惡意軟體更強大。
機器人與殭屍網路(Bots and Botnets)
機器人與殭屍網路能夠結合特洛伊木馬、蠕蟲與病毒,透過自動化攻擊使系統超載。如果組織沒有做好適當的準備,這種近乎持續不斷的攻擊可能癱瘓最強大的網路安全防護機制。分散式阻斷服務攻擊 (Distributed denial of service, DDoS) 攻擊就是殭屍網路的典型例子;當遭到惡意人士執行時,可能導致系統或網站長時間無法運作。
隨機存取記憶體 (Random-Access Memory, RAM) 擷取程式
RAM 擷取程式會擷取暫時儲存在隨機存取記憶體 (RAM) 中的資料,因此得名。這類惡意軟體主要針對敏感裝置(例如POS系統)中的 RAM 儲存空間,在如金融資訊等資料尚未加密、短暫傳輸的期間進行攔截。
行動惡意軟體(Mobile Malware)
行動惡意軟體正如其名,是針對行動裝置的惡意軟體。通常,「已越獄(Jailbreak , JB)或取得root權限」的手機更容易受到這類惡意軟體的攻擊,因為它們缺乏行動裝置預設所具備的安全防護機制。
惡意軟體如何滲透與傳播?
惡意軟體可以透過各種方式進入並在系統、網路或裝置中傳播。以下列出最常見的手法。
漏洞(Vulnerabilities)
漏洞可能是系統中尚未修補的區域、對社交工程(Social Engineering)不了解的員工,或是具有威脅行為的使用者直接進入了未受保護的資料中心等各種情況。
具有威脅行為的使用者經常利用漏洞來取得對組織的預設存取權限。
後門(Backdoors)
如前面文章所述,面對不良意圖者,後門構成極大的風險。攻擊者可以長時間且大規模地利用後門進行滲透。許多情況下,資安管理人員是直到事態嚴重時,才發現入侵者是透過後門取得存取權限的。
扁平式網路(Flat Networks)
企業必須設定盡可能多的防線與障礙,以防止攻擊者入侵。雖然扁平式網路架構可節省如路由器(Routers)等額外硬體的成本,但它無法讓組織有效控管網路流量,也難以實施像是網路分段等網路安全防護措施。
偷渡式下載(Drive-by Downloads)
偷渡式下載通常發生在使用者造訪受感染網站時,在毫無察覺的情況下遭遇惡意軟體。這類攻擊不需要使用者進行任何操作,只要瀏覽被入侵的網頁就可能中招,因此特別危險。
混合式威脅(Hybrid Threats)
混合式威脅將多種惡意軟體合而為一,藉此分散網路安全系統的注意力,使其無法偵測真正的威脅。這種技術試圖規避偵測,透過隱藏惡意軟體的真正意圖,在使用者毫無察覺的情況下進行攻擊。
透過 SailPoint 實現網路安全
透過 SailPoint,企業可以更有信心,確保其網路安全計畫採用了業界最優質的安全通訊協定之一。瞭解我們如何竭盡所能協助您的公司實現身分安全、身分治理和其他網路安全目標。
