惡意程式碼定義
惡意程式碼描述了損壞或干擾端點裝置正常使用的惡意應用程式或程式碼。當裝置感染惡意程式碼時,您可能會遇到未經授權的存取、資料遭入侵或在您支付贖金前被鎖定在裝置之外。
散布惡意程式碼的人,也稱為網路罪犯,受金錢驅使,會使用受感染的裝置發動攻擊,例如獲取銀行認證、收集可出售的個人資訊、出售對運算資源的存取權或從受害者那裡勒索付款資訊。
惡意程式碼的運作原理為何?
惡意程式碼透過使用欺騙手段來阻礙裝置的正常使用。一旦網路罪犯透過一或多種不同的技術 (例如網路釣魚電子郵件、受感染的檔案、系統或軟體弱點、受感染的 USB 快閃磁碟機或惡意網站) 存取您的裝置,他們就會利用這種情況發動更多的攻擊,獲取帳戶認證、收集個人資訊進行出售、出售對運資源的存取權,或向受害者勒索款項。
任何人都可能成為惡意程式碼攻擊的受害者。雖然有些人可能知道如何發現攻擊者試圖用惡意程式碼攻擊受害者的某些方式,例如知道如何識別網路釣魚電子郵件,但網路罪犯十分老練且不斷改進他們的方法以跟上技術和安全性改善的步伐。惡意程式碼攻擊的外觀和行為也因惡意程式碼的類型而異。例如,作為 Rootkit 攻擊受害者的人甚至可能毫不知情,因為這種類型的惡意程式碼被設計成能保持低調和不引起注意越久越好。
以下是網路罪犯試圖將惡意程式碼傳遞到裝置的幾種方式。
惡意程式碼類型
惡意程式碼有多種形式,以下是一些常見的類型。
網路釣魚
網路釣魚攻擊是透過電子郵件、網站、簡訊或其他形式的電子通訊竊取敏感性資訊的可靠來源。這些攻擊為惡意程式碼提供了一種傳遞機制。常見的攻擊會竊取使用者名稱、密碼、信用卡詳細資料和銀行資訊。這些類型的惡意程式碼攻擊可能導致身分識別盜用或直接從某人的個人銀行帳戶或信用卡中盜取金錢。
例如,網路罪犯可能冒充知名銀行,並傳送一封電子郵件,提醒某人他們的帳戶因可疑活動而被凍結,並催促他們點選電子郵件中的連結以解決問題。一旦他們點選連結,惡意程式碼就會被安裝。
間諜軟體
間諜軟體透過在未經他人同意或提供充分通知的情況下,將自身安裝在裝置上運作。一旦完成安裝,它即可監視線上行為、收集敏感性資訊、變更裝置設定並降低裝置效能。
廣告軟體
如同間諜軟體,廣告軟體會在未經他人同意的情況下將自身安裝到裝置上。但廣告軟體的重點放在積極展示廣告上,通常以快顯的形式展現,從點選中獲利。這些廣告經常會降低裝置的效能。更危險的廣告軟體類型還可以安裝其他軟體、變更瀏覽器設定並使裝置容易遭受其他惡意程式碼攻擊。
病毒
病毒是設計成能透過記錄、破壞或刪除裝置資料來干擾裝置的正常作業。他們經常透過誘騙人們打開惡意檔案,將自身傳播到其他裝置。
惡意探索和惡意探索套件
惡意探索利用軟體中的弱點繞過電腦的安全性保護措施來感染裝置。惡意駭客掃描包含重大弱點的過時系統,然後透過部署惡意程式碼來惡意探索它們。透過在惡意探索中包含 shellcode,網路罪犯可以下載更多感染裝置和滲透組織的惡意程式碼。
惡意探索套件包含一系列可掃描不同類型之軟體弱點的惡意探索。如果偵測到任何惡意程式碼,這些套件會部署額外的惡意程式碼。可能被感染的軟體包含 Adobe Flash Player、Adobe Reader、網頁瀏覽器、Oracle Java 和 Sun Java。Angler/Axpergle、Neutrino 和 Nuclear 是幾種常見的惡意探索套件。
惡意探索和惡意探索套件通常依靠惡意網站或電子郵件附件來入侵網路或裝置,但它們有時也會在合法網站不知情的情況下隱藏在它們的廣告中。
無檔案惡意程式碼
這種類型的網路攻擊廣泛描述了不依賴檔案 (例如遭感染的電子郵件附件) 入侵網路的惡意程式碼。舉例來說,它們可能透過惡意探索弱點的惡意網路封包抵達,然後安裝僅存在於核心記憶體中的惡意程式碼。由於大部分的防毒程式不是為掃描韌體所打造的,無檔案的威脅尤其難以發現和移除。
巨集惡意程式碼
您可能已經熟悉巨集,也就是快速自動化一般工作的方法。巨集惡意程式碼透過感染電子郵件附件和 ZIP 檔案來利用此功能。為了誘騙人們開啟檔案,網路罪犯經常將惡意程式碼隱藏在偽裝成發票、收據和法律文件的檔案中。
在過去,巨集惡意程式碼更為常見,因為巨集會在文件被開啟時自動執行。但在最新版本的 Microsoft Office 中,巨集預設為停用,這意味著以這種方式感染裝置的網路罪犯必須說服使用者啟用巨集。
勒索軟體
勒索軟體是一種惡意程式碼,它會透過破壞或封鎖重要資料的存取權來威脅受害人,直到對方支付贖金。人為操作的勒索軟體攻擊會透過常見的系統和滲透組織之設定錯誤的安全性來鎖定組織進行攻擊、瀏覽其企業網路,並隨環境和任何弱點進行調整。存取組織網路以傳遞勒索軟體一種常見的方法就是透過認證竊取,其中網路罪犯會竊取真正員工的認證以冒充他們並存取其帳戶。
使用人為勒索軟體的攻擊者通常以大型組織為目標,因為他們可以支付比普通人更高的贖金,通常是數百萬美元。由於此種規模的入侵事關重大,許多組織會選擇支付贖金,以避免敏感性資料被洩漏或冒著受到網路罪犯進一步攻擊的風險,儘管付款並不保證能防止上述兩種情況發生。
隨著人為勒索軟體攻擊的增加,攻擊背後的罪犯會變得更有組織性。事實上,現今許多勒索軟體行動皆採用勒索軟體即服務模型,這表示一群犯罪開發人員會自行開發勒索軟體,然後僱用其他網路罪犯集團來入侵組織的網路並安裝勒索軟體,兩班人馬再依說好的比例進行利潤分成。
Rootkit
當網路罪犯使用 Rootkit 時,他們會將惡意程式碼隱藏在裝置上越久越好,有時甚至長達數年,以持續竊取資訊和資源。透過攔截和變更標準作業系統程序,Rootkit 可能會更改您的裝置報告有關其自身的資訊。例如,感染了 Rootkit 的裝置可能無法顯示正在執行之程式的準確清單。Rootkit 還可能為網路罪犯提供管理或提升裝置權限,因此他們可以完全控制裝置並執行潛在的惡意動作,例如竊取資料、監視受害者以及安裝其他惡意程式碼。
供應鏈攻擊
這種類型的惡意程式碼透過存取原始程式碼、建置程序或更新合法應用程式中的機制來鎖定軟體開發人員和提供者。一旦網路罪犯發現了不安全的網路通訊協定、未受保護的伺服器基礎結構或不安全的編碼實踐,他們就會闖入、變更原始程式碼並在建置和更新程序中隱藏惡意程式碼。
技術支援詐騙
技術支援詐騙是整個產業共同的問題,技術支援詐騙使用恐嚇策略誘使使用者為不必要的技術支援服務支付費用,這些服務可能被宣傳為修正與裝置、平台或軟體相關的偽造問題。遇到這種類型的惡意程式碼,網路罪犯可能會直接打電話給某人並假裝是軟體公司的員工。一旦他們取得某人的信任,攻擊者通常會催促潛在的受害者安裝應用程式或要求遠端存取他們的裝置。
特洛伊木馬程式
特洛伊木馬程式仰賴使用者在不知不覺中下載它們,因為它們表面上看起來是合法的檔案或應用程式。一旦下載,他們可能會:
- 下載並安裝其他惡意程式碼,例如病毒或蠕蟲。
- 使用受感染的裝置進行點擊詐欺。
- 記錄您的按鍵輸入和所瀏覽的網站。
- 將有關受感染裝置的資訊 (例如密碼、登入詳細資料和瀏覽歷程記錄) 傳送給惡意駭客。
- 讓網路罪犯控制受感染的裝置。
垃圾軟體
當裝置存在垃圾軟體時,使用者可能會遭遇到經過修改的網頁瀏覽體驗、被更改的下載和安裝控制、誤導性訊息以及對裝置設定未經授權的變更。有些垃圾軟體會與人們真正要下載的軟體捆綁在一起。
蠕蟲
主要存在於電子郵件附件、簡訊、檔案共用程式、社交網站、網路共用和抽取式磁碟機中,蠕蟲透過惡意探索安全性弱點和複製自身在網路中進行傳播。依據蠕蟲的類型,它可能會竊取敏感性資訊、變更您的安全性設定或阻止您存取檔案。
加密貨幣挖礦程式
隨著加密貨幣的普及,挖礦已成為一種有利可圖的做法。加密貨幣挖礦程式使用裝置的運算資源來挖掘加密貨幣。此類惡意程式碼的感染通常始於嘗試安裝惡意程式碼的電子郵件附件,或使用網頁瀏覽器中的弱點,或利用電腦的處理能力將惡意程式碼新增到裝置的網站。
使用複雜的數學計算,加密貨幣挖礦程式維護區塊鏈總帳以竊取允許挖礦程式建立新加密貨幣的計算資源。然而,挖礦需要大量的電腦處理能力才能竊取相對少量的加密貨幣。出於這個原因,網路罪犯經常團隊合作以最大化利潤並進行分成。
然而並非所有的加密貨幣挖礦程式都是用於犯罪,個人和組織有時會購買硬體和電力來進行合法的挖礦。當網路罪犯在公司不知情的情況下滲透網路並利用其計算能力進行挖礦時,該行為就構成犯罪。
惡意程式碼防護
儘管任何人都可能成為惡意程式碼攻擊的受害者,但有很多方法可以防止攻擊發生。
安裝防毒程式
預防就是最好的防護。組織可以使用受信任的安全性解決方案或反惡意程式碼服務阻止或偵測許多惡意程式碼攻擊,例如適用於端點的 Microsoft Defender 或 Microsoft Defender 防毒軟體。當您使用此類程式時,您的裝置首先會掃描您嘗試開啟的所有檔案或連結,以協助確保它們安全無虞。如果檔案或網站是惡意的,程式會提醒您並建議您不要開啟。這些程式還可以從已被感染的裝置中移除惡意程式碼。
實作進階電子郵件和端點保護
使用適用於 Office 365 的 Microsoft Defender 協助防止惡意程式碼攻擊,它會掃描電子郵件和共同作業工具 (例如 SharePoint、OneDrive 和 Microsoft Teams) 中的連結和附件。作為 Microsoft Defender 全面偵測回應 的一部分,適用於 Office 365 的 Defender 提供偵測和回應功能,以消除惡意程式碼攻擊的威脅。
作為 Microsoft Defender 全面偵測回應 的一部分,適用於端點的 Microsoft Defender 使用端點行為感應器、雲端安全性分析和威脅情報來幫助組織防止、偵測、調查和回應進階威脅。
定期舉行訓練
透過定期訓練讓員工了解如何發現網路釣魚和其他網路攻擊的跡象。這樣不僅能教導他們更安全的工作方法,還能讓他們知道如何更安全地使用個人裝置。模擬和訓練工具,例如適用於 Office 365 的 Defender 中的攻擊模擬訓練,協助模擬環境中的實際威脅,並根據模擬結果為終端使用者指派訓練。
利用雲端備份
當您將資料移動到雲端式服務時,您即可輕鬆備份資料以更安全地保存它們。如果您的資料曾遭惡意程式碼入侵,這些服務能協助確保立即全方位復原。
採用零信任模型
零信任模型在允許所有裝置和使用者存取應用程式、檔案、資料庫和其他裝置之前評估其風險,從而降低惡意身分或裝置存取資源和安裝惡意程式碼的可能性。例如,實作多重要素驗證 (零信任模型的其中一個元件) 已被證明可以將身分識別攻擊的有效性降低 99% 以上。要評估貴組織的零信任成熟度階段,請進行我們的零信任成熟度評定。
加入資訊共用群組
資訊共用群組經常會按產業或地理位置進行管理,鼓勵類似結構的組織共同合作致力於網路安全性解決方案。這些群組還能為組織提供不同的好處,例如事件回應和數位鑑識服務、有關最新威脅的消息以及公用 IP 範圍和網域的監控。
維護離線備份
由於某些惡意程式碼會嘗試搜尋並刪除您可能擁有的任何線上備份,因此最好保留您定期測試之敏感性資料的更新離線備份,以確保在您受到惡意程式碼攻擊時可以還原。
將軟體更新至最新版本
除了持續更新防毒程式解決方案外 (考慮選擇自動更新),請務必在可用時立即下載並安裝任何其他系統更新和軟體修補程式。這有助於最大限度地減少安全性漏洞,讓網路罪犯無法輕易惡意探索並存取您的網路或裝置。
建立事件回應計劃
就像如果發生火災,制定如何離開家裡的緊急計劃,可以讓您更安全、更有準備,如果您遭受惡意程式碼攻擊,建立事件回應計劃將為您提供可採取的步驟,來應對不同的攻擊情況,讓您盡快恢復正常且安全的執行。
如何偵測並移除惡意程式碼
惡意程式碼並不總是能輕易偵測到,尤其是在無檔案惡意程式碼的情況下。對於組織和個人來說,密切注意快顯廣告、網頁瀏覽器重新導向、社交媒體帳戶上的可疑貼文以及有關遭入侵帳戶或裝置安全性的增加都是不錯的方法。裝置效能的變更,例如執行速度變得緩慢,也可能是一個值得注意的指標。
如果您擔心自己成為惡意程式碼攻擊的受害者,幸運的是,您可以選擇偵測和移除。第一步,利用防毒程式產品,例如 Windows 原生提供的產品來掃描惡意程式碼。安裝防毒程式後,執行裝置掃描以尋找任何惡意程式或程式碼。如果程式偵測到惡意程式碼,它將列出類型並提供移除建議。移除後,請務必持續更新軟體和並讓其保持執行狀態,以防範未來的攻擊。
對於防毒程式無法偵測和封鎖之針對組織更複雜的攻擊,安全性資訊與事件管理 (SIEM) 和延伸偵測及回應 (XDR) 工具為安全性專業人員提供雲端供應式的端點安全性方法,協助偵測和回應攻擊端點裝置上的攻擊。由於這些類型的攻擊是多方面的,網路罪犯的目標不僅是對裝置的控制,因此 SIEM 與 XDR 能協助組織了解橫跨所有網域之攻擊的整體情況,包括裝置、電子郵件和應用程式。
開始使用 SIEM & XDR 工具 (例如 Microsoft Sentinel、 Microsoft Defender 全面偵測回應 和 適用於雲端的 Microsoft Defender),是啟用防毒程式功能的好開始。安全性專業人員應確保裝置設定隨時處於最新狀態,以符合最新的建議,協助防止惡意程式碼威脅。
深入了解 Microsoft 安全性
Microsoft Sentinel
破解精心策劃的威脅,並使用由雲端和 AI 提供強大且易於採取的 SIEM 解決方案果斷地進行回應。
Microsoft Defender 全面偵測回應
透過統一 XDR 解決方案,以更廣的可見度和一流的 AI 技術來中斷跨網域攻擊。
適用於雲端的 Microsoft Defender
強化雲端安全性,以及監控和保護多雲端環境之間的工作負載。
適用於 Office 365 的 Microsoft Defender
協助保護貴組織免於遭受電子郵件、連結和共同作業工具所帶來的威脅。
Microsoft 數位防禦報告
熟悉目前的威脅情勢以及如何建置數位防禦。
常見問題集
-
-
惡意程式碼會透過許多不同的方式發生。您可能會點選惡意連結、開啟受感染的電子郵件附件,或者什麼也沒做,當您沒有採取任何動作時,有些攻擊會利用裝置的安全性弱點。
-
惡意程式碼攻擊可能是毀滅性的,例如您的身分識別和金錢被盜,或是不那麼嚴重但仍然具有侵入性,例如在您的裝置上顯示垃圾廣告。
-
防毒程式是一種可以主動保護您免受裝置上惡意程式碼侵害並移除它們的軟體。安裝防毒程式服務後,您會在存取遭入侵的檔案或連結之前收到通知,警告您它可能不安全。
-
最好的方法是透過下載和安裝防毒程式來防止惡意程式碼攻擊,該程式將監視您的裝置活動和動作,並在任何可疑的檔案、連結或程式成為問題之前標記它們。
關注 Microsoft