名詞解釋
什麼是惡意軟體 — 種類、感染途徑與基本的防禦
惡意軟體是危害裝置或資料的不良軟體的統稱。本文以防禦視角、不公開攻擊手法地講解病毒·勒索軟體·間諜軟體·木馬·蠕蟲·殭屍程式等種類、主要感染途徑(可疑附件/巨集·假下載·未修補的漏洞),以及守護方式(更新·EDR·最小權限·備份)。
「危害裝置或資料的不良軟體」的統稱——這就是惡意軟體。本文講解主要的種類,以及種類不同但共通的守護方式(不公開攻擊手法)。
惡意軟體的種類(一張地圖)
名稱雖然很多,但你需要記住的只是「大致有這些族群」這張地圖就夠了。因為如後所述,守護方式是共通的。
病毒
寄生於正常檔案,被執行時就複製並擴散感染。無法單獨行動。
蠕蟲
能單獨自我複製,透過網路自動擴散。在疏於防護的網路中爆發性蔓延。
木馬
偽裝成有用的正常軟體來入侵,然後在背後進行不良動作。特徵是「你自己把它裝進來」。
勒索軟體
加密檔案並索要贖金。如今多半還伴隨竊取資料的雙重勒索(→專門文章)。
間諜軟體
不被察覺地潛伏,竊取按鍵輸入·認證資訊·瀏覽紀錄等。
殭屍程式 / 殭屍網路
遠端操控被感染的裝置,把大量裝置束成一群用於攻擊。命令從 C2 傳來(→C2)。
實際上,一個惡意軟體同時兼具多種性質也並不罕見(例如:以木馬的形式入侵,作為間諜軟體竊取資訊,最後投放勒索軟體)。正因如此,與其花時間去分類「這是什麼病毒?」,不如把入口·偵測·復原的防禦鞏固起來更為實用。
主要感染途徑(了解入口)
惡意軟體並非像魔法一樣憑空出現,而是從幾乎固定的一組門進來。這裡只呈現高層次的途徑(不公開具體手法)。
每一種入口,都是「不小心開啟/放著不更新/不確認來源」這種人與維運的縫隙。反過來說,接下來的防禦就能封堵掉大部分。
守護方式(種類不同,該做的事一樣)
不必逐一記住每種種類的個別對策。堆疊對惡意軟體整體皆有效的三層防禦才是基本。
封堵入口:更新·可疑檔案·MFA
勤加更新作業系統與軟體,不讓已知的缺口放著不管。不開啟沒有印象的附件·巨集·連結。用多因素驗證(MFA)守護主要帳號,即使認證資訊被竊也不會立刻被攻入(→ 如何選擇 MFA)。
放置偵測的一層:防毒軟體/EDR
用包含作業系統內建在內的防毒軟體攔下已知的威脅,若需要更高的防禦,就用 EDR 監控「行為」,連未知的也一併捕捉(→ EDR 是什麼)。不過偵測並非萬能,切勿只依賴這一項。
縮小受害範圍:最小權限
不要以系統管理員權限進行日常作業。把權限保持在必要的最小限度,萬一真的被執行,也能抑制受害的蔓延(一台·一個帳號的入侵不會波及整體)。
能夠復原:備份
最後一道防線是備份。尤其面對勒索軟體,離線/防竄改的副本再加上定期的復原演練就是決定性關鍵(→ 備份與復原的基礎)。
傳統型防毒軟體(比對已知)
- 以比對已知惡意軟體的「指紋(特徵碼)」來偵測
- 輕便·輕量,對廣泛流通的威脅有效
- 容易漏掉未知·剛做出來的變種
- 常被誤解成「裝了就安心」
EDR(監控行為)
- 不看檔名,而以可疑的行為(異常的加密·對外通訊)偵測
- 能察覺未知的攻擊與「正常工具被濫用」
- 會留下紀錄,可用於感染後的調查·遏制
- 即便如此,仍無法取代入口(更新)與復原(備份)
本站的觀點:死記種類不是防禦戰略
攻擊者會不斷改變名稱與外觀。所以追逐「這個月的惡意軟體名稱」並不會讓防禦變強。普遍有效的,是入口·偵測·復原的三層這個結構本身。本站對自己也套用同一原則——持續更新依賴套件來封堵入口,機械化監控 CVE 來偵測,把組態保持在可重現的狀態以便復原。防範惡意軟體並非什麼特別的事,而是這些基礎的延伸。
盲點:「我裝了防毒軟體,所以沒事」並不成立
最常見的誤解,就是把一個偵測軟體當成「護身符」。偵測必定會漏掉一定的比例,一旦那裡被突破,防禦就歸零。真正強的是層層疊穿:在入口減少母數(不開啟·勤更新),用偵測(防毒軟體/EDR)捕捉,再用復原(備份)讓仍然漏掉的東西失效。不依賴任何單獨一層,正是惡意軟體防禦的出發點。
接下來閱讀
- 術語:什麼是勒索軟體(受害最嚴重的種類·雙重勒索)· 什麼是 C2(命令與控制)(殭屍程式被操控的通訊)
- 術語:EDR 是什麼(憑行為偵測未知)· IOC(入侵指標)是什麼(感染的痕跡)
- 入門:備份與復原的基礎(能夠復原=最後一道防線)· 資安最低限度檢查清單(入口·偵測·復原的地基)
FAQ
Q惡意軟體和病毒有什麼區別?
病毒是惡意軟體的一種。惡意軟體是「危害裝置或資料的不良軟體」整體的統稱,包含病毒·蠕蟲·木馬·勒索軟體·間諜軟體·殭屍程式等。日常對話中人們習慣把什麼都叫「病毒」,但嚴格來說「病毒」是指寄生於其他檔案來自我複製的那一種,而惡意軟體是把它們統括起來的大傘。
Q只用免費的防毒軟體就夠了嗎?
作為個人的基本,作業系統內建的防護(如 Windows 的 Microsoft Defender)+勤加更新+備份+最小權限,就能涵蓋相當大的部分。不過防毒軟體以比對「已知的壞東西」為主,未知或巧妙的攻擊會有漏網之魚。在需要更高防禦的場景,監控行為以捕捉未知攻擊的 EDR 可作為補充。無論如何,不要只依賴「偵測」,還要把入口(更新·不開啟可疑檔案)與復原(備份)一併備齊才重要。
Q我好像感染了惡意軟體,該怎麼辦?
首先,不要慌張付款。步驟依序是:(1) 把該裝置從網路斷開(阻止擴散與對外通訊);(2) 用另一台安全的裝置,變更電子郵件·銀行·主要帳號的密碼並啟用多因素驗證;(3) 用備份還原或初始化,回到乾淨的狀態;(4) 切斷你懷疑的入口(開啟過的附件·安裝過的應用程式·插過的 USB)。若是存放重要資料的裝置,也可考慮諮詢專家。