CompTIA Security+ 惡意軟體完整學習指南

目錄

1. 資訊安全基礎 - CIA 三元素

CIA 是資訊安全的核心概念,三者缺一不可:

縮寫 英文全名 中文意思 重點說明 威脅範例
C Confidentiality 機密性 防止資料被不該知道的人看到 資料外洩、帳號密碼被駭
I Integrity 完整性 確保資料沒被亂改或損壞 網頁被改內容、成績被篡改
A Availability 可用性 確保需要時,資料能正常使用 DDoS 攻擊導致網站無法存取

2. 惡意軟體總覽

定義:惡意軟體(Malware)是指在電腦或網路裝置上執行有害功能的軟體程式。

惡意軟體的主要目的

惡意軟體分類表

病毒 (Virus)

需要依賴人為行為才能散播,會附著在其他程式中執行。

蠕蟲 (Worm)

不需要人為操作就可自我傳播,會自動從一台電腦擴散到另一台。

特洛伊木馬 (Trojan)

偽裝成正常程式,實際內含惡意程式碼。

Rootkit

深層隱藏於系統核心中,取得最高權限並難以偵測。

勒索軟體 (Ransomware)

加密使用者資料,要求支付贖金才能解密。

鍵盤側錄器 (Keylogger)

記錄使用者的鍵盤輸入,包括帳號密碼。

廣告軟體 (Adware)

不斷跳出廣告,可能包含追蹤功能。

間諜軟體 (Spyware)

悄悄監控使用者行為與資料。

殭屍網路 (Botnet)

控制多台被感染電腦進行大規模攻擊。

3. 病毒與蠕蟲

電腦病毒 (Computer Virus)

特性:就像人類病毒一樣,需要「宿主」才能傳播。必須依附在其他程式或檔案上,當使用者執行該程式時,病毒也會被啟動。

病毒類型

類型 特徵 範例
應用程式型病毒 附著在執行檔中,執行程式時啟動 感染 .exe 檔案
開機磁區病毒 感染開機磁區,電腦啟動時就執行 Master Boot Record 感染
腳本病毒 以腳本形式存在於系統或瀏覽器中 JavaScript 惡意腳本
巨集病毒 藏在文書軟體的巨集功能中 Word/Excel 巨集病毒

蠕蟲 (Worm)

高危險性:蠕蟲是一種能自動在系統間移動的病毒,不需要使用者執行任何動作。它利用網路漏洞快速傳播,一旦開始感染就很難控制。

WannaCry 蠕蟲攻擊流程

著名案例:WannaCry (WannaCrypt) 勒索蠕蟲
1
初始感染:一台電腦已感染 WannaCry 蠕蟲並開始執行
2
漏洞掃描:掃描網路尋找其他存在 SMB v1 漏洞的 Windows 系統
3
漏洞利用:使用 EternalBlue 工具攻擊 SMB v1 漏洞(CVE-2017-0144)
4
後門安裝:安裝 DoublePulsar 後門程式取得系統控制權
5
載荷下載:從控制伺服器下載 WannaCry 主程式
6
加密勒索:開始加密電腦資料並顯示勒索訊息
7
繼續傳播:重複步驟 1-6,感染更多電腦

技術細節:

  • SMB v1:Windows 檔案分享協定的第一版,存在嚴重安全漏洞
  • EternalBlue:NSA 開發的漏洞攻擊工具,後來被外洩
  • DoublePulsar:核心級後門程式,可執行任意惡意程式碼

4. 勒索軟體 (Ransomware)

商業模式:勒索軟體利用使用者對重要資料的依賴性來獲利。它會加密所有重要檔案,但保留作業系統正常運作,讓使用者能看到勒索訊息。

勒索軟體分類

類型 特徵 危險程度 應對方法
假勒索軟體 只是顯示假的勒索訊息,沒有真正加密檔案 可請專業人員協助移除
真勒索軟體
(Crypto-malware)		 使用強加密技術真正加密所有資料檔案 極高 只能付贖金或從備份還原

勒索軟體攻擊流程

  1. 入侵系統:通過漏洞、釣魚郵件或惡意網站感染電腦
  2. 掃描資料:尋找重要的文件、照片、影片等使用者資料
  3. 加密檔案:使用公開金鑰加密技術加密所有找到的檔案
  4. 保留系統:不破壞作業系統,確保能顯示勒索訊息
  5. 顯示勒索:要求使用者支付比特幣等加密貨幣獲取解密金鑰

為什麼勒索軟體如此成功?

  • 使用不可追蹤的支付方式(比特幣)
  • 採用軍用級加密技術,無法暴力破解
  • 針對使用者最珍貴的資產(個人資料)
  • 金額設定在使用者承受範圍內

最佳防護:離線備份

確保重要資料有離線備份,因為現代勒索軟體會主動尋找並加密線上備份系統。

5. 特洛伊木馬 (Trojan Horse)

歷史典故:名稱來源於特洛伊戰爭中希臘軍隊使用的木馬計,偽裝成禮物實則暗藏士兵攻城。數位版本同樣偽裝成正常軟體,實際包含惡意程式碼。

特洛伊木馬特性

後門 (Backdoor) 機制

特洛伊木馬的主要目的是建立後門,讓攻擊者能持續控制系統:

1
木馬執行:使用者被騙執行看似正常的程式
2
後門安裝:在系統中創建秘密通道
3
外部通訊:與攻擊者的伺服器建立連線
4
持續控制:攻擊者可遠端操作被感染的電腦

遠端存取木馬 (RAT - Remote Access Trojan)

高危險性:RAT 讓攻擊者獲得完整的遠端控制權,就像坐在你的電腦前操作一樣。

RAT 的主要功能

功能類別 具體能力 潛在危害
系統監控 鍵盤側錄、螢幕截圖、攝影機/麥克風監控 竊取密碼、隱私侵犯
檔案操作 瀏覽、複製、刪除、上傳/下載檔案 資料竊取、重要檔案損失
系統控制 重開機、鎖定系統、執行程式 系統破壞、阻斷服務
網路活動 代理伺服器、網路攻擊跳板 法律責任、頻寬濫用

著名 RAT 工具:DarkComet

案例分析:DarkComet 原本是合法的遠端管理工具,但因為功能強大且免費,被廣泛用於惡意用途。開發者於 2012 年停止開發並公開反對其惡意使用。

  • 具備完整的遠端桌面控制
  • 可錄音錄影、截圖
  • 內建鍵盤側錄功能
  • 曾被用於敘利亞內戰期間的監控活動

6. Rootkit 根套件

命名由來:「Root」指 Linux/Unix 系統的最高權限使用者,「Kit」指工具組。Rootkit 就是讓攻擊者取得系統最高權限並隱藏存在的工具組。

Rootkit 特性

Rootkit 的隱蔽機制

1
核心感染:將惡意程式碼植入作業系統核心
2
API 劫持:攔截系統呼叫,隱藏自己的存在
3
進程隱藏:在工作管理員中不顯示相關進程
4
檔案隱藏:隱藏相關檔案和資料夾
5
防護其他惡意軟體:阻止移除其搭載的惡意程式

著名案例:Zeus + Rootkit

銀行木馬進化:Zeus (Zbot) 原本是竊取銀行帳戶資訊的木馬,但容易被移除。後來結合 Rootkit 技術後,即使系統管理員也無法停止或刪除,大幅增加了移除難度。

  • 監聽銀行網站登入資訊
  • 自動轉帳竊取金錢
  • Rootkit 保護機制讓它無法被終止
  • 影響數百萬台電腦,造成數千萬美元損失

Rootkit 移除方法

移除困難:由於 Rootkit 深度整合於系統核心,需要專門的移除工具:

  • 使用專門的 Rootkit 掃描工具
  • 從外部開機碟進行掃描
  • 使用支援 UEFI Secure Boot 的系統
  • 嚴重情況可能需要完全重新安裝系統

7. 鍵盤側錄器 (Keylogger)

高風險:鍵盤側錄器是最直接的資料竊取工具,能記錄使用者的所有鍵盤輸入,包括密碼、信用卡號、個人資訊等敏感資料。

Keylogger 運作原理

Keylogger 記錄內容

記錄類型 內容範例 潛在風險
鍵盤輸入 密碼、訊息、搜尋關鍵字 帳戶被盜用、隱私洩露
剪貼簿內容 複製的文字、連結、資料 敏感資訊外洩
螢幕截圖 當前畫面、視窗標題 視覺密碼破解、行為追蹤
時間戳記 操作時間、使用習慣 行為模式分析

DarkComet RAT 中的 Keylogger 功能

實際案例:DarkComet RAT 包含完整的鍵盤側錄功能

  • 記錄所有按鍵,包括退格鍵和特殊鍵
  • 顯示目標視窗和應用程式名稱
  • 標記時間戳記方便分析
  • 自動將記錄檔案回傳給攻擊者

8. 廣告軟體與間諜軟體

廣告軟體 (Adware)

商業動機:網路廣告是很有利潤的生意,攻擊者透過強制顯示廣告來獲取收益。

Adware 特性

間諜軟體 (Spyware)

隱密監控:間諜軟體會悄悄監控使用者的一切網路活動和個人行為。

Spyware 監控範圍

監控類別 具體內容 用途
網路瀏覽 造訪的網站、搜尋記錄 建立使用者輪廓、投放精準廣告
購物行為 電商網站、價格比較 插入推廣代碼、賺取佣金
個人資料 姓名、地址、電話、信用卡 身分盜用、詐騙
系統資源 CPU、頻寬、儲存空間 挖礦、代理伺服器

為什麼 Adware/Spyware 如此普遍?

經濟誘因:

  • 規模經濟:感染數百萬台電腦就能產生巨大廣告收益
  • 注意力經濟:使用者的眼球注意力對廣告商有價值
  • 資源濫用:利用使用者的電腦資源挖掘加密貨幣
  • 資料價值:個人資料和瀏覽習慣可以販售獲利

9. 殭屍網路 (Botnet)

定義:Botnet = Robot Network(機器人網路),是由大量被感染的電腦組成的網路,這些電腦可以被遠端統一控制來執行各種任務。

Botnet 架構與運作

殭屍網路的組成

1
Bot(殭屍電腦):被感染的個別電腦,等待接收命令
2
C&C 伺服器:指揮與控制中心,發送指令給所有 Bot
3
Botmaster:控制整個殭屍網路的攻擊者
4
通訊頻道:IRC、HTTP、P2P 等通訊方式

Botnet 感染方式

著名案例:Zeus 殭屍網路

銀行劫匪:Zeus 是歷史上最成功的金融木馬之一

  • 目標:竊取網路銀行登入資訊
  • 手法:等待使用者登入銀行網站,記錄帳號密碼
  • 轉帳:利用竊取的資訊進行非法轉帳
  • 洗錢:透過第三方帳戶將贓款轉給攻擊者
  • 規模:感染數百萬台電腦,損失數千萬美元

Zeus 如何繞過銀行安全措施

技術手段:

  • Web Inject:即時修改銀行網頁內容
  • 社交工程:偽造「安全驗證」頁面
  • 即時攻擊:在使用者登入時同步進行轉帳
  • OTP 繞過:誘導使用者在攻擊者轉帳時輸入驗證碼

Botnet 的商業用途

服務類型 用途說明 市場價格
DDoS 攻擊 癱瘓目標網站或服務 每小時 $5-50
垃圾郵件 發送大量廣告或釣魚郵件 每千封 $1-5
點擊詐騙 虛假點擊網路廣告獲利 每千次點擊 $1-10
加密貨幣挖礦 利用他人電腦挖礦 持續性收入

即時威脅監控

全球監控:可以透過威脅情報平台觀察即時的殭屍網路活動:

  • CheckPoint Threat Map: https://threatmap.checkpoint.com/
  • Kaspersky Cyberthreat Real-time Map
  • FireEye Cyber Threat Map

這些平台顯示全球範圍內正在進行的網路攻擊,包括殭屍網路活動。

10. 防護措施與最佳實務

多層防護策略

1. 系統層面防護

  • 及時更新:保持作業系統和所有應用程式為最新版本
  • 安全修補:立即安裝安全性更新
  • 最小權限:使用一般使用者帳戶,避免以管理員身分日常操作
  • UEFI Secure Boot:使用支援安全開機的現代電腦

2. 防毒軟體防護

  • 即時防護:開啟即時掃描和防護功能
  • 定期更新:每日更新病毒定義檔(建議每小時檢查)
  • 完整掃描:定期進行全系統深度掃描
  • 專用工具:使用 Malwarebytes 等專業反惡意軟體工具

3. 網路安全防護

  • 防火牆:開啟並正確設定防火牆
  • IPS/IDS:使用入侵防禦/偵測系統
  • 流量監控:監控異常的網路連線
  • DNS 過濾:使用安全的 DNS 服務

4. 使用者行為防護

風險行為 安全做法 額外建議
點擊郵件連結 手動輸入網址到瀏覽器 驗證發件者身分
下載軟體 只從官方網站下載 檢查數位簽章
開啟附件 掃描後再開啟 特別注意 Office 巨集
使用 USB 停用自動執行功能 掃描後再使用

5. 資料保護策略

3-2-1 備份原則:

  • 3 份副本:原始資料 + 2 份備份
  • 2 種媒體:使用不同類型的儲存媒體
  • 1 份離線:至少一份備份保持離線狀態

重點:離線備份是對抗勒索軟體的最後防線!

6. 事件應變計畫

發現感染時的處理步驟:

  1. 隔離系統:立即斷開網路連線
  2. 評估損害:確認感染範圍和影響
  3. 專業清除:使用專門工具或求助專家
  4. 系統重建:嚴重情況下考慮重新安裝系統
  5. 資料復原:從備份還原重要資料
  6. 檢討改進:分析感染原因並加強防護

7. 企業額外防護措施

  • 員工訓練:定期進行資安意識教育
  • 權限管理:實施最小權限原則
  • 網路分段:隔離關鍵系統和一般網路
  • 威脅情報:訂閱威脅情報服務
  • 滲透測試:定期進行安全性評估
  • 應變計畫:制定詳細的資安事件應變程序

總結:資安防護的重要原則

  • 多層防護:不依賴單一防護措施
  • 持續更新:保持所有軟體最新狀態
  • 使用者教育:提高安全意識最為重要
  • 定期備份:備份是最後的安全網
  • 監控警覺:注意異常行為和系統變化