接著上一篇對於惡意軟件基本介紹的內容,這次我們要深入探討病毒與蠕蟲,並通過更多的實際攻擊案例來了解它們的工作原理和影響力,以及駭客們是如何利用它們達到攻擊目的的。
一、病毒(Viruses)
(1)病毒的種類
-
引導區病毒(Boot Sector Virus)
這類病毒會感染硬碟或磁碟的引導區,當系統啟動時,會首先載入記憶體並嘗試感染系統中的其他部分。駭客利用引導區病毒的目的是確保病毒在最早期啟動階段便可以執行,比較難被一般的防病毒軟體檢測。
-
文件型病毒(Macro Virus)
文件型病毒主要感染像 Word 或 Excel 這類的文件。利用文件的功能來自我複製並傳播,駭客通常通過電子郵件附件來傳播這類病毒,因為許多人會打開這些文件附的檔案。
-
駐留型病毒(Resident Virus)
駐留型病毒會進入記憶體中,一旦被載入就會感染系統中其他的可執行檔。這類病毒可以持續影響系統,即使最初的感染源被移除也不會消失,這使駭客在進行長期控制時非常有效。
-
多態病毒(Polymorphic Virus)
多態病毒會改變自身的程式碼結構來躲避防病毒軟件的檢測。駭客使用這種技術來對抗簽名式檢測,增加被檢測到的難度。
(2)工作機制
-
感染與觸發
病毒的主要功能是自我複製和感染其他文件或程序。它們通常會等到某個特定事件(例如特定日期)發生後才觸發攻擊行為,這樣可以增加被察覺的難度。
-
潛伏期
很多病毒在被傳播後會潛伏一段時間以降低被發現的風險,這樣駭客可以利用這段時間進行更多攻擊,例如竊取資料或開後門。
(3)過往案例
- **ILOVEYOU **
一種文件型病毒,利用電子郵件附件的方式傳播。受害者一旦打開附件,病毒就會自我複製並傳播到聯絡人,利用這種方式達到大規模傳播的效果。
-
WannaCry 勒索病毒
這是結合了加密勒索技術的病毒,利用 Windows 系統的漏洞進行大規模傳播,駭客藉此對受害者的文件進行加密,並要求支付贖金來解鎖。
(4)駭客會利用的方向
-
破壞系統文件
駭客會編寫病毒感染操作系統的核心文件,使系統無法正常啟動,從而達到癱瘓系統的目的。例如CIH病毒會破壞計算機的BIOS,使設備完全無法啟動。
-
竊取敏感資訊
駭客可以利用病毒來攔截受害者的敏感資訊,如密碼、金融數據等。
-
勒索
駭客利用病毒加密受害者的資料,並索取贖金以換取解密金鑰。
二、蠕蟲(Worms)
(1) 蠕蟲的種類
-
網路蠕蟲(Network Worm)
網路蠕蟲通過掃描網絡漏洞來進行傳播,駭客會針對一些尚未修補的漏洞發起攻擊,使蠕蟲能夠在短時間內感染大量設備。
-
電子郵件蠕蟲(Email Worm)
這類蠕蟲會通過電子郵件的附件或內嵌鏈接來傳播。駭客會利用社交工程,讓受害者點擊附件或鏈接,使得蠕蟲自動執行並繼續感染其他聯絡人。
-
即時通訊蠕蟲(Instant Messaging Worm)
駭客會利用即時通訊工具(如 MSN、WhatsApp)傳播蠕蟲。受感染的帳號會自動向聯絡人發送包含蠕蟲的鏈接,一旦對方點擊,也會受到感染。
(2)工作機制
-
漏洞掃描與自動感染
蠕蟲通常會掃描網路,查找系統中未修補的漏洞。一旦找到漏洞,蠕蟲就會自動感染設備並進一步傳播。駭客藉由自動化工具來進行這些掃描,達到最大化感染的目的。
-
多階段感染
某些蠕蟲會分為多個階段進行感染,例如第一階段只負責掃描和滲透,第二階段才開始執行惡意程式。
(3)過往案例
-
Morris
這是第一個廣為人知的網路蠕蟲,利用 UNIX 系統的漏洞進行傳播。造成了大量電腦癱瘓,駭客也通過這次攻擊展示了蠕蟲的威力。
- **SQL Slammer **
一個高速傳播的蠕蟲,利用 SQL Server 的漏洞來進行攻擊。SQL Slammer 在幾分鐘內就感染了數十萬台設備,成功癱瘓多個網路服務。
(4)駭客會利用的方向
-
大規模傳播感染
蠕蟲通常利用操作系統或應用程序中的漏洞進行快速感染,駭客可以通過蠕蟲控制大量設備形成僵屍網路,進而對其他目標發起攻擊。
-
癱瘓網路
駭客會利用蠕蟲使網路流量暴增,最終導致網路癱瘓,這種情況通常被稱為「分散式阻斷服務攻擊(DDoS)」。
-
安裝後門
蠕蟲也可以被用來安裝後門,讓駭客能夠在後續遠程控制受害者的設備。
下一篇,我們會進一步聚焦於木馬程式,看看它們是如何偽裝進行滲透,以及駭客會如何利用木馬達到長期控制目標系統的目的。