惡意軟體概念 (Malware Concepts)

為了理解各種惡意軟體 (Malware) 及其對網路和系統資源的影響，我們首先需要討論有關惡意軟體的基本概念。本節將說明惡意軟體的定義，重點介紹攻擊者在網路上分發惡意軟體時常用的技術，並解釋潛在不受歡迎的應用程式 (Potentially Unwanted Applications, PUAs)。

惡意軟體 (Malware) 是指任何旨在破壞、擾亂、或非法存取電腦系統、網路或設備的軟體。其種類包括病毒 (Virus)、蠕蟲 (Worms)、特洛伊木馬 (Trojans)、勒索軟體 (Ransomware)、間諜軟體 (Spyware)、廣告軟體 (Adware) 等。

惡意軟體的例子 (Examples of Malware)：

1. Trojans (木馬程式)
   • 假裝成合法軟體的惡意程式，通常用來竊取數據或建立後門訪問。
2. Backdoors (後門程式)
   • 允許攻擊者在未經授權的情況下進入受感染系統的程式。
3. Rootkits (Rootkit 程式)
   • 用於隱藏攻擊者的存在，並允許長期控制系統。
4. Ransomware (勒索軟體)
   • 將文件加密或鎖定系統，直到受害者支付贖金為止。
5. Adware (廣告軟體)
   • 以未經授權的方式展示廣告的軟體，通常也會收集用戶數據。
6. Viruses (病毒)
   • 能夠複製自身並傳播到其他程式或文件的惡意軟體。
7. Worms (蠕蟲)
   • 不依賴宿主程式進行複製與傳播，並且會在網路上擴散的惡意軟體。
8. Spyware (間諜軟體)
   • 用於秘密監控並收集受害者活動信息的程式。
9. Botnets (殭屍網路)
   • 被攻擊者控制的受感染設備網路，可用於發動分散式拒絕服務攻擊 (DDoS) 或其他惡意行為。
10. Crypters (加密工具)
    • 用於隱藏惡意軟體的工具，通過加密方式使其難以被防毒軟體檢測。

惡意軟體入侵系統的不同方式 (Different Ways for Malware to Enter a System)

以下列出惡意軟體入侵系統的十二種常見途徑：

1. 即時通訊應用程式 (Instant Messenger applications)

   通過即時通訊軟體傳播的惡意軟體，例如透過聊天訊息或檔案傳輸感染系統。

2. 可攜式硬體媒體/可移除設備 (Portable hardware media/removable devices)

   使用 USB、外接硬碟或其他可移除存儲設備傳播惡意軟體。

3. 瀏覽器和電子郵件軟體漏洞 (Browser and email software bugs)

   攻擊者利用瀏覽器或電子郵件客戶端的安全漏洞來植入惡意程式碼。

4. 不安全的補丁管理 (Insecure patch management)

   系統未及時更新安全補丁或修補漏洞，導致惡意軟體有機可乘。

5. 流氓/誘騙應用程式 (Rogue/decoy applications)

   假裝成合法軟體的惡意程式，引誘用戶安裝或運行。

6. 不受信任的網站及免費網頁應用程式/軟體 (Untrusted sites and freeware web applications/software)

   用戶在不受信任的網站下載免費軟體或網頁應用程式時可能被植入惡意軟體。

7. 從網路下載檔案 (Downloading files from the Internet)

   使用者從網路下載不明或未經驗證的檔案時，可能被植入惡意軟體。

8. 電子郵件附件 (Email attachments)

   惡意軟體可能通過電子郵件附件的形式傳播，例如釣魚郵件中的惡意附件。

9. 網路擴散 (Network propagation)

   通過內部網路傳播，如掃描並感染局域網內其他設備。

10. 檔案共享服務 (File sharing services, e.g., NetBIOS, FTP, SMB)

    利用檔案共享協議和服務傳播惡意軟體，如透過網路共享檔案夾進行感染。

11. 其他惡意軟體進行安裝 (Installation by other malware)

    透過已存在於系統中的惡意軟體來安裝其他類型的惡意程式。

12. 藍牙及無線網路 (Bluetooth and wireless networks)

    透過藍牙或無線網路進行傳播，攻擊者可以使用此類技術在範圍內感染其他設備。

攻擊者在網路上散佈惡意軟體的常見技術 (Common Techniques Attackers Use to Distribute Malware on the Web)

以下列出攻擊者在網路上散佈惡意軟體的幾種常見技術：

1. 黑帽搜索引擎優化 (Black hat Search Engine Optimization, SEO)

   攻擊者通過優化惡意軟體相關頁面來提高其在搜索結果中的排名，誘導用戶點擊。

2. 社會工程式誘導點擊 (Social Engineered Click-jacking)

   利用社會工程技術，欺騙用戶點擊看似無害的網頁來觸發惡意軟體的執行。

3. 魚叉式釣魚網站 (Spear-phishing Sites)

   偽裝成合法機構的網站，意圖竊取用戶的登入憑證或其他敏感資訊。

4. 惡意廣告 (Malvertising)

   將惡意軟體嵌入廣告網路中，這些廣告會在數百個合法的、高流量的網站上顯示。

5. 已被攻破的合法網站 (Compromised Legitimate Websites)

   攻擊者在合法網站中嵌入惡意軟體，當不知情的訪客瀏覽該網站時，會被傳播至目標系統中。

6. 隨意下載 (Drive-by Downloads)

   攻擊者利用瀏覽器軟體中的漏洞，在用戶訪問網頁時就自動安裝惡意軟體，而不需要用戶進一步操作。

7. 垃圾郵件 (Spam Emails)

   將惡意軟體作為電子郵件附件傳送，並欺騙受害者點擊附件來執行惡意程式。

8. RTF 注入攻擊 (RTF Injection)

   攻擊者將惡意巨集（malicious macros）注入 RTF 文件中，誘使受害者打開含有惡意程式碼的文件。

惡意軟體的組成元件 (Components of Malware)

潛在不受歡迎的應用程式 (Potentially Unwanted Applications, PUAs)

PUAs 是指一些可能對使用者造成負面影響，但並未直接被定義為惡意的應用程式。這類應用通常與合法軟體捆綁安裝，但可能執行不必要的活動，如收集用戶數據、顯示不請自來的廣告，甚至在用戶不知情的情況下更改系統設定。PUAs 的常見例子包括廣告軟體 (Adware)、工具列 (Toolbars)、及其他影響用戶體驗的軟體。

什麼是進階持續性威脅 (Advanced Persistent Threat, APT)?

進階持續性威脅 (APT) 是一種網路攻擊類型，攻擊者獲取目標網路的未授權存取權限，並在長時間內保持隱密不被偵測。APT 攻擊的特點如下：

1. 進階性 (Advanced)：使用技術性手法來利用系統中潛在的漏洞進行攻擊。
2. 持續性 (Persistent)：攻擊者透過外部的指揮與控制系統 (Command and Control, C&C) 持續提取資料並監控受害者的網路活動。
3. 威脅性 (Threat)：指的是攻擊中由人類進行協調與操作的參與。

APT 攻擊屬於高度複雜的攻擊，攻擊者通常會利用精心設計的惡意程式碼與多個零日漏洞 (Zero-day Exploits) 組合來取得目標網路的存取權限。這類攻擊通常包含精密的計劃與協調方式，攻擊者在完成其目標後，還會移除其惡意活動的痕跡。

APT 攻擊主要針對擁有高度價值資訊的組織，例如：金融、醫療保健、國防與航太、製造業及企業組織。APT 攻擊的主要目標是竊取敏感資訊，而非破壞組織或其網路。

攻擊者透過 APT 攻擊可取得的資訊包括：

• 機密文件
• 用戶憑證
• 員工或客戶的個人資訊
• 交易資訊
• 信用卡資訊
• 組織的商業策略資訊
• 網路結構資訊
• 控制系統存取資訊

APT 攻擊是一種需要高度技術性與資源的攻擊方式，通常由具備豐富經驗的攻擊者團隊執行，目的是進行長期的資訊蒐集而不被察覺。

(Advanced Persistent Threat, APT) 特徵

1. 目標 (Objectives): 取得敏感資訊或達成政治或策略性目標。
2. 時間性 (Timeliness): 攻擊者從評估目標系統弱點到取得並維持存取權限所需的時間。
3. 資源 (Resources): 執行攻擊所需的知識、工具及技術的數量。
4. 風險承受度 (Risk Tolerance): 攻擊在目標網路中保持不被偵測的程度。
5. 技能與方法 (Skills and Methods): 攻擊者用來執行攻擊的方法與工具。
6. 行動 (Actions): APT 由特定數量的技術“行動”組成，使其不同於其他網路攻擊。
7. 攻擊發起點 (Attack Origination Points): 多次嘗試進入目標網路。
8. 涉及的攻擊數量 (Numbers Involved in the Attack): 攻擊中涉及的主機系統數量。
9. 知識來源 (Knowledge Source): 透過網上公開來源收集關於特定威脅的資訊。
10. 多階段 (Multi-phased): APT 攻擊包含多個階段，包括偵察、取得存取權限、發現、捕獲及資料外流。
11. 針對弱點 (Tailored to the Vulnerabilities): APT 攻擊針對受害者網路中的特定弱點。
12. 多重進入點 (Multiple Points of Entry): 攻擊者透過伺服器創建多個進入點以維持對目標網路的存取。
13. 繞過基於特徵偵測系統 (Evading Signature-Based Detection Systems): APT 攻擊能輕易繞過如防火牆、防毒軟體、IDS/IPS 及電子郵件垃圾郵件過濾器等安全機制。
14. 特定警告徵兆 (Specific Warning Signs): APT 攻擊的特定警示徵兆包括無法解釋的使用者帳戶活動、後門存在、異常的檔案傳輸和檔案上傳、不尋常的資料庫活動等。

(Advanced Persistent Threat, APT) 生命週期

1. 準備階段 (Preparation)
   • 定義目標 (Define target)
   • 研究目標 (Research target)
   • 組織團隊 (Organize team)
   • 建立或取得攻擊工具 (Build or attain tools)
   • 測試偵測機制 (Test for detection)
2. 初步入侵 (Initial Intrusion)
   • 部署惡意軟體 (Deployment of malware)
   • 建立外部連接 (Establishment of outbound connection)
3. 擴展 (Expansion)
   • 擴展存取範圍 (Expand access)
   • 獲取憑證 (Obtain credentials)
4. 持續存取 (Persistence)
   • 維持存取權限 (Maintain access)
5. 搜尋與外流 (Search and Exfiltration)
   • 搜尋並外流資料 (Exfiltration data)
6. 清理 (Cleanup)
   • 掩蓋足跡 (Cover tracks)
   • 保持不被偵測 (Remain undetected)

APT 攻擊通常遵循這六個階段的生命週期，攻擊者會不斷調整策略，以在目標系統中隱藏自己的行為並長時間保留存取權限。這使得APT攻擊極具威脅性與挑戰性。

什麼是木馬程式 (Trojan)?

1. 木馬程式是一種惡意或有害程式碼，被包含在表面看似無害的程式或資料中，這些程式或資料在日後可能會取得系統控制權並造成破壞。
2. 當用戶執行某些預定義的操作時，木馬程式會被激活。
3. 木馬程式攻擊的跡象可能包括異常的系統或網路活動，例如防毒軟體被停用或網頁被重定向至未知的網站。
4. 木馬程式會在受害者的電腦與攻擊者之間建立一個隱蔽的通訊管道，用來傳輸敏感資料。

駭客如何利用木馬程式 (How Hackers Use Trojans)

1. 刪除或替換關鍵的作業系統檔案 (Delete or replace critical operating system files)
2. 生成虛假流量以發動 DoS 攻擊 (Generate fake traffic to create DoS attacks)
3. 錄製受害者電腦的截圖、音訊與影片 (Record screenshots, audio, and video of victim’s PC)
4. 利用受害者的電腦進行垃圾郵件和大量電子郵件發送 (Use victim’s PC for spamming and blasting email messages)
5. 下載間諜軟體、廣告軟體和惡意檔案 (Download spyware, adware, and malicious files)
6. 停用防火牆和防毒軟體 (Disable firewalls and antivirus)
7. 建立後門以取得遠端存取權限 (Create backdoors to gain remote access)
8. 將受害者的電腦感染為代理伺服器以進行中繼攻擊 (Infect victim’s PC as a proxy server for relaying attacks)
9. 利用受害者的電腦作為殭屍網路進行 DDoS 攻擊 (Use the victim’s PC as a botnet to perform DDoS attacks)
10. 竊取個人資訊，如密碼、安全碼和信用卡資訊 (Steal personal information such as passwords, security codes, and credit card information)

常見木馬程式使用的連接埠 (Common Ports Used by Trojans)

不同的木馬程式通常會使用特定的連接埠來與駭客進行通訊，以便進行控制與資料傳輸。以下列出一些常見木馬程式及其使用的連接埠：

待補