惡意軟體（Malware）是資訊安全最常見也最具破壞性的威脅之一。其目的可能是竊取資料、建立持久存取、破壞系統或勒索贖金。理解不同類型的惡意軟體與其生命週期，能幫助我們在偵測、預防與事件回應時做出有效判斷。

⸻

一、主要類型與特性（精要）
• 病毒（Virus）：透過感染檔案或可執行程式自我複製，往往需要使用者執行被感染檔案才能傳播。
• 蠕蟲（Worm）：能自動在網路中傳播，利用漏洞或弱密碼橫向移動，快速耗盡頻寬或系統資源。
• 木馬（Trojan）：偽裝成合法程式或嵌入合法軟體中，一旦執行會在背後建立後門或竊取資料。
• 勒索軟體（Ransomware）：加密檔案或鎖定系統，向受害者索取贖金以交換解密金鑰；常伴隨資料外流或威脅公開。
• 間諜軟體/資訊竊取器（Spyware/Infostealer）：蒐集敏感資訊（憑證、金鑰、瀏覽器儲存資料）並回傳。
• Rootkit：潛伏於系統內核或核心層，隱藏自身與其他惡意活動，難以被偵測與移除。
• Botnet / 殭屍網路：大量被控制的裝置，可被用來發動 DDoS、垃圾郵件或分散式攻擊。
• Fileless Malware：不在磁碟寫入明顯檔案，利用記憶體、合法系統工具（如 PowerShell、WMI）執行，逃避傳統防毒檢測。

⸻

二、典型攻擊流程（Kill Chain 型式）
1. 偵察（Reconnaissance）：蒐集目標資訊（服務、版本、端點、用戶習慣）。
2. 入侵（Initial Access）：透過釣魚、漏洞利用或被盜憑證取得初始存取。
3. 建立立足點（Establish Foothold）：植入木馬、後門或執行惡意載荷。
4. 橫向移動（Lateral Movement）：利用弱密碼、遠端管理工具或已知漏洞擴散。
5. 權限提升（Privilege Escalation）：取得更高權限以存取敏感資源。
6. 資料存取/破壞（Action on Objectives）：竊取資料、加密檔案或破壞系統。
7. 維持隱匿（Persistence / Cover Tracks）：安裝 rootkit、修改日誌、建立持久機制。

⸻

三、偵測指標（IOCs / 行為徵兆）
• 突然出現大量未知進程或高 CPU/磁碟 I/O。
• 非工作時間異常的外部連線（未知 IP、異地 ASN）。
• 大量檔案被快速加密並出現陌生副檔名；或出現勒索訊息檔案。
• 系統日誌被刪除或遭篡改。
• 使用者憑證在多地異常登入（水平或地理異常）。
• EDR/防毒偵測到可疑 PowerShell 指令、可疑 DLL 注入或記憶體中的惡意載荷。

採用 EDR（Endpoint Detection & Response）、網路流量分析與集中日誌（SIEM）能顯著提升偵測能力。

⸻

四、防禦與緩解措施（技術與流程）

預防（Prevent）
• 定期修補（Patch Management）：關鍵系統與第三方軟體維持最新補丁。
• 最小權限與帳號管理：限制管理帳號使用、採用原則性權限與特權存取管理（PAM）。
• 多因子驗證（MFA）：對外部存取、遠端管理與關鍵帳號啟用 MFA。
• 電子郵件防護：啟用郵件過濾、附件沙箱與 URL 檢查機制。
• 限制可執行位置與軟體白名單：應用程式控制（AppLocker、SELinux 類別方法）避免未知程式執行。
• 離線與異地備份：按 3-2-1 原則保存備份，並定期演練還原。
• 網路分段與零信任：分離管理平面、限制橫向移動路徑。

偵測（Detect）
• 部署 EDR、IDS/IPS、網路行為分析（NBA）與集中日誌（SIEM）。
• 設定異常行為告警（高頻檔案修改、大量外連、未授權管理工具執行等）。
• 使用 YARA、IOC 列表與威脅情資（Threat Intel）來比對樣本。

回應（Respond & Recover）
• 隔離受感染主機：快速將裝置從網路斷開以阻止擴散。
• 保存證據：保留記憶體映像、磁碟映像與日誌供鑑識分析。
• 根除與修補：清除惡意程式、修補利用漏洞、重設受影響憑證。
• 恢復服務：從乾淨備份恢復系統，確保已清除所有持久化機制。
• 通報與法遵：若涉及個資或法規要求，依規定通報主管機關與受影響者。

⸻

五、針對不同規模的具體建議

個人/小型團隊
• 啟用系統自動更新與安全性修補。
• 使用可信防毒/EDR（商業或付費方案效果更佳）。
• 定期對重要資料做離線備份（外接硬碟或雲端且保留版本）。
• 勿以管理員權限執行日常帳號；啟用 MFA。

中大型企業
• 部署 EDR 與 SIEM，建立威脅獵捕（Threat Hunting）例行。
• 建立分層備份與備援機制，且定期做還原演練。
• 設立 Incident Response 團隊與演練（tabletop & live drills）。
• 與資安服務商/上游 ISP 協調，建立緊急支援與法務流程。

⸻

六、實務檢核清單（可複製執行）
• 是否有完整的補丁管理流程？（是/否）
• 是否為所有重要帳號啟用 MFA？（是/否）
• 是否部署 EDR 並保存至少 30 天以上的端點日誌？（是/否）
• 是否遵循最小權限原則，定期稽核特權帳號？（是/否）
• 是否有定期備份與還原演練記錄？（是/否）
• 是否有事件回應計畫（含聯絡清單、流程、法務/通報步驟）且已演練？（是/否）

⸻

結語

惡意軟體的形態與工具持續演變：從明顯的檔案型惡意程式到日益精巧的 fileless 與供應鏈攻擊，防護不僅依賴單一技術，而是要結合 修補管理、最小權限、偵測能力（EDR/SIEM）、備份策略與事件回應能力。預防能降低發生率，良好的偵測與回應則能將損害降到最低。