惡意程式一向是資訊安全事件發生的重要原因,一般用戶因個人疏忽或本身
系統漏洞,造成電腦遭受惡意程式感染,因此導致重要資訊外洩。而在防護
方面,因惡意程式的數量每年呈現爆炸性成長,且除了傳統個人電腦平台之
外,行動裝置也成為惡意程式喜好的平台,並以
APT
之鎖定性的攻擊手法,
惡意程式的判斷日漸困難。本文就針對惡意程式及其分析技術進行說明。
一、常見之惡意程式種類
一般來說只要非正常用途之程式
通可稱為惡意程式,因其範圍廣大,
一般我們會以其功能再來進行分類,
一般來說大抵包含了以下幾類:
1.
Backdoor
後門為一種繞開正常認證方式,
供駭客在攻擊之後仍然可遠端存取電
腦,並且控制的一種程式。常用的技
術 包 含
Reverse Shells
Generic
Listeners
圖一)。
PaloAltoNetworks ®
惡意程式分
析技術
王仕豪
2.
Bot
使受感染的機器主動連向駭客的
命令主機接受命令,聽從攻擊者指示。
這些指令可能包含複製電腦上的檔案
至攻擊者的主機,嘗試感染同一內網
的其它電腦,或加入其它已受感染的
電腦群組內(
Botnet
),
執行如分
散式阻絕攻擊(
DDos
),
傳遞垃址
郵件(
Spam delivery
),
挖比特幣
Bitcoin Mining
等等。
3.
Scareware
假借資訊安全產品之名以恐嚇受
感染電腦之使用者,要求使用者付費
購買其資料備份,或者攻擊者製作假
的防毒產品,但實際上並沒有解決任
何問題。如
Ransomware
圖二)。
4.
Dropper
Downloader
(1)
Dropper
執行時產行惡意程
式碼並植入電腦內,通常用於單
一惡意程式。
圖一 傳統的
Netcat
後門:開啟一個監
TCP 8080
的連接埠,當駭客連接上後
啟用命令提示字元供駭客操控
186
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用