惡意軟體 | 什麼是惡意軟體,以及如何抵禦來自惡意軟體的攻擊
什麼是惡意軟體?
作為目的在於干擾電腦正常功能的軟體,惡意軟體是一種包含病毒、木馬程式和其他破壞性電腦程式的總稱,攻擊者會使用這些軟體來感染系統和網路以存取敏感資訊。
惡意軟體定義
Malware (即「惡意軟體」的縮寫) 是通常透過網路交付,並且用於感染、探索、竊取或執行攻擊者想要的任何行為的檔案或程式碼。由於惡意軟體有多種變體,因此感染電腦系統的方法也相當多樣化。儘管惡意軟體的類型和功能各不相同,但是通常具有以下目標之一:
- 為攻擊者提供遠端控制以使用受感染的電腦。
- 將垃圾郵件從受感染的電腦傳送到毫無戒心的目標。
- 調查受感染使用者的本機網路。
- 竊取敏感數據。
惡意軟體類型:
惡意軟體是所有類型惡意軟體的總稱。惡意軟體範例、惡意軟體攻擊定義和傳播惡意軟體的方法包括:
廣告軟體 – 雖然某些形式的廣告軟體可能會認為是合法的,但是其他廣告軟體仍可能在未經授權的情況下存取電腦系統並大幅干擾使用者。
殭屍網路 –「機器人網路」的縮寫,是由受感染電腦組成的網路,並由使用命令與控制伺服器的單一攻擊方所控制。殭屍網路具有高度通用性和適應性,能夠透過冗餘伺服器並使用受感染電腦轉送流量來保持彈性。殭屍網路通常是現今分佈式拒絕服務 (DDoS) 攻擊背後的主力。
密碼劫持 – 一種惡意加密貨幣採礦 (使用運算能力驗證區塊鏈網路上的交易並提供該服務以賺取加密貨幣的過程) 行為,意指網路罪犯駭入企業和個人電腦、筆記型電腦和行動裝置以安裝軟體。
惡意廣告 – 惡意廣告是「惡意軟體+廣告」的合成詞,具體而言是指一種透過線上廣告散佈惡意軟體的做法。它通常涉及將惡意程式碼或載入惡意軟體的廣告注入合法的線上廣告網路和網頁。
多型態惡意軟體 – 上述任何類型的惡意軟體都能夠定期「變形」、改變程式碼的外觀,同時保留內部的演算法。軟體表面外觀的改變破壞傳統病毒特徵碼的偵測。
勒索軟體 – 是一種犯罪商業模式,其使用惡意軟體來保存有價值的文件、數據或資訊以取得贖金。勒索軟體攻擊受害者的作業效能可能會大幅降低或完全關閉。
遠端管理工具 (RAT) – 允許遠端作業人員控制系統的軟體。這些工具最初是為合法用途而建立,但是現在卻遭到威脅行動者所利用。RAT 可進行管理控制,讓攻擊者幾乎能夠在受感染的電腦上為所欲為。它們很難被偵測到,因為其通常不會出現在執行中程式或任務的清單中,而且其行為經常會誤認為是合法程式執行的動作。
Rootkit – 可對於電腦進行授權 (根層級) 存取的程式。Rootkit 變化莫測並隱藏在作業系統中。
間諜軟體 – 收集受感染電腦的使用資訊並將其傳回給攻擊者的惡意軟體。該詞彙泛指殭屍網路、廣告軟體、後門行為、鍵盤側錄程式、數據竊取和網路蠕蟲。
木馬程式惡意軟體 – 偽裝成合法軟體的惡意軟體。一旦啟動後,木馬程式惡意軟體將依程式設計來執行任何操作。跟病毒和蠕蟲不同,木馬程式不會透過感染進行複製或繁殖。「特洛伊木馬程式」 一詞指的是希臘士兵隱藏在木馬內,然後送給敵方特洛伊城的神話故事。
病毒惡意軟體 – 透過電腦或網路進行自我複製的程式。惡意軟體病毒依附於現有程式中,並且只能在使用者開啟該程式時啟動。在最壞的情況下,病毒可能會破壞或刪除數據、利用使用者的電子郵件進行散佈或抹除硬碟上的所有內容。
蠕蟲惡意軟體 – 利用安全弱點自動在電腦和網路中散佈的自我複製病毒。跟許多病毒不同,惡意軟體蠕蟲不會附加到現有程式或更改檔案。它們通常不會被注意到,直到複製量達到消耗大量系統資源或網路頻寬的規模。
惡意軟體攻擊類型
惡意軟體也會使用各種方法將自身散佈到初始攻擊途徑以外的其他電腦系統。惡意軟體攻擊定義可以包括:
- 包含惡意程式碼的電子郵件附件可以由毫無戒心的使用者開啟並執行。如果這些電子郵件被轉發,惡意軟體可能會更深入地散佈到企業中,進一步造成網路的損害。
- 檔案伺服器,例如基於通用網際網路檔案系統 (SMB/CIFS) 和網路檔案系統 (NFS) 的檔案伺服器,可讓惡意軟體在使用者存取和下載受感染檔案時快速地散佈。
- 檔案共享軟體可讓惡意軟體將自身複製到卸除式媒體上,然後再複製到電腦系統和網路上。
- 點對點 (P2P) 檔案共享可能會分享看似無害的檔案 (例如音樂或圖片) 來引入惡意軟體。
- 可遠端利用的弱點使駭客無論位於任何地理位置,都能在幾乎不需要電腦使用者參與的情況下存取系統。
了解如何使用 Palo Alto Networks 新世代 威脅防禦功能和 WildFire® 雲端式威脅分析服務,保護您的網路免受所有類型的已知和未知惡意軟體所侵害。
如何防禦惡意軟體:
各種用於偵測和預防惡意軟體的安全解決方案。其中包括防火牆、新世代防火牆、網路入侵防禦系統 (IPS)、深度封包檢驗 (DPI) 功能、統一威脅管理系統、防毒軟體和反垃圾郵件閘道、虛擬私人網路、內容篩選和數據洩露防禦系統。為了防止惡意軟體,所有安全解決方案都應使用各種惡意軟體攻擊進行測試,以確保其能正常運作。此外也必須使用強大且最新的惡意軟體特徵碼來確保已針對最新型的攻擊進行測試
Cortex XDR 代理程式在攻擊生命週期的關鍵階段結合多種防禦方法,無論採用何種作業系統、端點處於線上或離線狀態,以及是連接到企業的網路還是漫遊,都能夠阻止惡意程式執行,防止入侵合法的應用程式。由於 Cortex XDR 代理程式不依賴特徵碼,因此其可以透過各種預防方法的組合來防止零時差惡意軟體和未知的入侵。
惡意軟體偵測:
目前存在各種進階惡意軟體分析和偵測工具,例如防火牆、入侵防禦系統 (IPS) 和沙箱解決方案。某些惡意軟體類型更容易被偵測,例如勒索軟體,其會在加密檔案後立即被發現。而像是間諜軟體等其他惡意軟體可能會保留在目標系統上不被發現,讓攻擊者維持對於系統的存取權限。無論惡意軟體類型或惡意軟體意義、其可偵測性或部署者為何,惡意軟體使用的動機始終是惡意的。
當您在端點安全政策中啟用行為威脅防護時,Cortex XDR 代理程式仍可持續監控端點活動,以找出 Palo Alto Networks 識別的惡意事件鏈。
惡意軟體移除:
防毒軟體可以移除大部分的標準感染類型,並且有許多現成的解決方案可供選擇。Cortex XDR 可以在收到警示或調查後對端點進行補救,讓管理員可以選擇開始進行各種緩解步驟,首先可停用遭入侵端點上的所有網路存取 (通往 Cortex XDR 主控台的流量除外) 來隔離端點、終止程序以阻止任何執行中的惡意軟體持續在端點上執行惡意活動,若 Cortex XDR 代理程式尚未進行處理,則可先封鎖其他的執行動作,然後再隔離惡意檔案並將其從工作目錄中移除。
惡意軟體防護:
為了保護您的企業免受惡意軟體的侵害,您需要一個更全面且涵蓋整個企業的惡意軟體防護策略。商品威脅是較不精密的漏洞,結合防火牆上的防毒軟體、反間諜軟體,以及弱點保護功能,還有 URL 篩選與應用程式識別功能,便能輕鬆地偵測與防禦此類威脅。
如需有關惡意軟體、其變體以及如何保護企業免受惡意軟體侵害的詳細資訊,請下載我們的資源之一:
