惡意程式有多種形態,它是一種刻意設計用來造成損害、竊取資訊,或者未經授權擅自存取使用者或企業系統的軟體。
目錄
惡意程式並無單一散播途徑,事實上,它幾乎可經由任何 IT 通訊協定或傳輸機制散播。即便到了今日,零星案例顯示它還可能被預先安裝在智慧型手機之類的硬體上。本文探討您可能遇到的一些最常見的類型。
病毒
電腦病毒是惡意程式的一種,其目標是要將自己附著在正常的檔案或應用程式來破壞資料、干擾系統運作,甚至擴散至同一網路上的其他系統。
病毒範例:1999 年的 Melissa 病毒專門攻擊 Microsoft Word 和 Outlook 系統,這個電腦病毒是經由電子郵件附件散布,在當時造成了大規模的伺服器當機,以及估計約 11 億美元的全球損失。直到 2000 年為止,電腦病毒一直是惡意程式中的主宰者,使得專門對抗惡意程式碼的產業被稱為「防毒」產業。
蠕蟲
有別於病毒,蠕蟲不靠人為互動來散播。蠕蟲會自我複製,並利用系統漏洞來感染網路上的多台裝置。他們自主傳播的能力讓它們變得特別危險,經常導致嚴重的營運中斷和資料損失。
蠕蟲範例:2017 年專門攻擊 Windows 漏洞的 WannaCry 蠕蟲會將資料加密並要求支付贖金。
蠕蟲可快速癱瘓整個網路,利用龐大的流量讓系統不堪負荷,或者攻擊關鍵的資料存取點,對企業和政府環境造成破壞。儘管蠕蟲非常危險,但它們很少被用於聯合攻擊,因為它們相對上較為高調,因此容易被人發現。此外,對駭客來說它們也難以掌控,容易導致非預期的副作用。
木馬程式 (Trojan Horse)
木馬程式喜歡偽裝成正常軟體來誘騙使用者下載,受害者一旦安裝了這類惡意程式,就會導致各種不良後果,包括:建立後門讓駭客能竊取資料,甚至提供完整的系統控制權。木馬程式非常多元,而且有多種形態,包括:後門木馬程式、銀行木馬程式、遠端存取木馬程式 (RAT)。銀行木馬程式的目標是金融資訊,而 RAT 則是讓駭客從遠端監視及遙控被感染的裝置。
木馬程式範例: 自 2007 年起即活躍至今的 Zeus 木馬程式是最惡名昭彰的範例之一,它藉由竊取銀行登入憑證和登入資訊,盜取了數百萬美元。
勒索病毒
勒索病毒是一種會將受害者資料加密,然後要求支付一筆贖金來救回資料的惡意程式。勒索病毒攻擊日益猖獗,企業、醫院及政府機關都曾出現一些知名攻擊案例,駭客通常會要求一大筆贖金。駭客大多利用網路釣魚 郵件或惡意下載來發動攻擊。
勒索病毒範例:2016 年的 Petya 是最嚴重的勒索病毒攻擊之一,它會將整顆硬碟加密來讓企業無法運作,直到支付贖金為止。勒索病毒所帶來的財務與營運損失可能相當龐大,因為它會造成停機、敏感資料外洩,以及高額的贖金。
使用勒索病毒來索取贖金是網路犯罪集團最成功的伎倆之一。今日,一些高度組織化的集團會透過服務模式來為其他駭客提供勒索病毒。根據歐盟網路安全局 (European Unions Agency for Cybersecurity,簡稱 ENISA) 指出,「勒索病毒服務」(Ransomware as a Service) 集團在 2023 年 7 月至 2024 年 6 月期間涉及了將近 1,500 起針對歐盟企業的攻擊。
間諜程式
間諜程式是惡意程式的一種,它會在使用者不知情的狀況下從受感染的系統蒐集敏感資料。它可監控瀏覽習慣、側錄鍵盤輸入,並擷取登入憑證,對個人隱私與企業安全都是一項嚴重威脅。
間諜程式範例:2016 年發現的 Pegasus 間諜程式是最典型的一個範例,它能讓駭客竊取 iOS 和 Android 裝置上的資料。間諜程式通常會隨附在看似正常的軟體中,或者經由惡意網站下載。駭客可利用這些資訊來冒用身分、從事商業間諜活動,或其他惡意用途。
廣告程式
廣告程式是一種在受感染系統上顯示不受歡迎廣告的惡意程式,儘管它的危害不像其他類型的惡意程式那麼大,但仍可能帶來重大風險。廣告程式的作用是要藉由顯示廣告來為駭客創造營收,如果使用者點選了廣告,還可以透過 PPC (按點選次數付費) 來產生營收。雖然廣告程式通常不會竊取敏感資料,但它卻會降低使用者體驗,並且可能招來更嚴重的惡意程式感染。
廣告程式範例:2017 年感染了數百萬台系統的 Fireball 廣告程式,會挾持瀏覽器並追蹤使用者行為以方便提供廣告,突顯了廣告程式的侵入性特質。
惡意挖礦程式 (亦稱為挖礦病毒、虛擬加密貨幣綁架)
虛擬加密貨幣挖礦 (例如開採比特幣) 是一種合法的活動,只要底層系統屬於挖礦者所有或已取得了擁有者的同意即合法。然而,犯罪集團經常透過非法方式讓系統感染這類軟體,所以才會被稱為「虛擬加密貨幣綁架」(Cryptojacking)。惡意程式會消耗主機的電力來產生虛擬加密貨幣讓駭客拿去販賣。
惡意挖礦程式範例:電力被偷通常會被視為小問題而遭到忽略,所以,挖礦病毒也可能被「存取服務」(Access as a Service) 犯罪集團用來在等客戶上門時多少賺一些外快。
Rootkit
Rootkit 是最危險、也最難偵測及清除的惡意程式類型之一。這種惡意工具可讓駭客取得系統的長期、特權存取權限而不被使用者和資安軟體發現。Rootkit 可篡改系統檔案、駭入處理程序,還有變更資安設定來避免自己被偵測,使駭客長期掌控遭到入侵的系統。
Rootkit 範例:在 2005 年的 Sony BMG Rootkit 醜聞事件當中,Rootkit 被偷偷安裝在 CD 上作為一種防拷措施,但卻導致系統可能遭到進一步的惡意程式攻擊。
鍵盤側錄程式
鍵盤側錄程式屬於間諜程式的一種,專門用來記錄使用者的鍵盤輸入,好讓駭客擷取一些敏感資訊,例如:密碼、信用卡卡號,以及私人訊息。鍵盤側錄程式通常是經由網路釣魚攻擊來部署,或者隨附於其他惡意程式。一旦安裝之後,他們會暗中記錄每一個按鍵動作,然後將資料傳回給駭客來加以利用。這類惡意程式在金融與企業環境內尤其危險,因為可能導致銀行帳號或安全系統的登入憑證遭到竊取。
鍵盤側錄程式範例: Limitless 和 Predator Pain 是兩個常見的鍵盤側錄程式,通常經由網路釣魚郵件和惡意附件散布。這些工具會以現成可用的套件販售,可讓駭客竊取登入憑證、追蹤使用者活動,以及擷取敏感資訊。由於簡單易用,因此被廣泛用於網路犯罪與間諜行動,不論個人或企業都可能成為受害目標。
殭屍網路
殭屍網路是一群遭駭客入侵的裝置所組成的網路,這些裝置又被稱為「殭屍」,因為它們會受到駭客的遠端搖控。這些裝置可被用於大規模攻擊,例如:分散式阻斷服務 (DDoS) 攻擊或垃圾郵件攻擊。殭屍網路的建立通常是讓裝置感染惡意程式,進而將裝置變成不知情的惡意活動參與者。
殭屍網路範例:Mirai 是最大的殭屍網路之一,在 2016 年造成了大規模的 DDoS 攻擊,一些大型網站都因而暫時關閉。殭屍網路可被用於癱瘓網路、竊取資料,或是在使用者不知情的狀況下執行其他惡意行動。
預防措施與最佳實務原則
要防範這些惡意程式,您應該採取以下幾項最佳實務原則:
讓您的所有軟體隨時保持更新:定期更新您的作業系統、系統驅動程式,以及裝置上的所有軟體。軟體更新通常會包含一些程式修補來修正可能遭到攻擊的問題或漏洞。
使用防火牆:防火牆可封鎖未經授權的網路存取,並監控進出流量當中的可疑活動。
教育員工:員工應接受網路資安訓練以便能夠分辨網路釣魚攻擊以及有害的連結或下載。
建置端點偵測及回應 (EDR) 工具:EDR 解決方案能持續監控及偵測各種裝置的資安威脅,在惡意程式造成廣泛損害之前預先加以攔截。
TrendAI Vision One™ 平台
透過單一平台,更快速地制止惡意攻擊並掌握您的資安風險。藉由全方位的防範、偵測及回應能力,再搭配 AI、領先的威脅研究和情報,就能實現面面俱到的資安管理。
TrendAI Vision One 支援多元混合 IT 環境,自動化並協調工作流程,提供專業的資安服務,讓您能夠簡化並整合資安營運。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.