[專題] 認識互聯網絡常見的攻擊和陷阱

網絡常見的攻擊和陷阱十分之多，一般用家只識叫它們做病毒，其實網絡保安威今時今日影響已十分之細，其至不是主流．

認識及瞭解安全威脅

以下針對這些術語以及它們在本文中的意義進行討論。

1. 病毒/惡意程式

電腦病毒/惡意程式是一種程式（一段可執行程式碼），具有獨特的複製能力。病毒/惡意程式可以將自身附加到任何類型的執行檔上，然後隨著複製四處散播。除了複製外，部分電腦病毒/惡意程式有另一個共通點：傳遞病毒負載的手法。某些負載可能只會顯示訊息或影像，某些也可能會損毀檔案、重新格式化你的硬碟或造成其他損害。

• 惡意程式：惡意程式是執行無法預期或未經授權動作的一種程式，這是一個一般用語，用來表示病毒、特洛伊木馬程式和蠕蟲。惡意程式不一定包含可複製和無法複製的惡意程式碼，視類型而定。

• 特洛伊木馬程式：特洛伊木馬程式並非病毒，它們不會感染檔案，也不會自行複製。它們是偽裝成無害應用程式的惡意程式。某些特洛伊木馬程式聲稱能替電腦消滅病毒/惡意程式，卻暗中將病毒/惡意程式引入你的電腦。這可能會在背景開啟通訊埠，讓惡意駭客控制電腦。常見的惡意目的包括盜用電腦以散播垃圾郵件。由於特洛伊木馬程式不會感染檔案，因此沒有必要做清除動作，掃瞄引擎將會將該檔案報告為「無除」，然後將其刪除或隔離。對於特洛伊木馬程式，只是刪除或隔離通常是不夠的。你必須另外執行清除工作，也就是移除複製到電腦的任何程式、關閉通訊埠、以及移除登錄項目。

• 蠕蟲：電腦蠕蟲是一種自含程式 （或一組程式集），能夠將本身的功能或程式碼的一部分散播到其他電腦系統。這種病毒通常透過網絡連線或電子郵件的附件散播。和病毒/惡意程式不同的是，蠕蟲無需將自身附加到主程式。

• 後門程式：後門程式是嘗試在不被偵測到的情況下，躲避正常驗證、取得電腦遠端存取權和 （或）取得資訊存取權的一種方法。

• Rootkit： Rootkit 是一組程式，設計目的是篡改使用者對作業系統的正當控制權。通常，Rootkit 將會隱藏它的安裝，並嘗試防止透過標準系統安全的破壞因素來移除它。

• 巨集病毒：巨集病毒是針對特定應用程式的病毒。病毒位於應用程式的檔案內，例如：Microsoft Word （.doc）和 Microsoft Excel （.xls）。因此，在具有可使用巨集的應用程式常用的副檔名的檔案中 （例如：.doc、.xls 和 .ppt），可以偵測到它們。巨集病毒會在應用程式的資料檔案之間傳遞，如果未受阻擋，最後可以感染數百個檔案。

• 混合式安全威脅攻擊：混合式安全威脅攻擊會利用企業網絡中的多個進入點和弱點，如，”Nimda” 或 “Code Red” 安全威脅。

面對這些保安威脅，趨勢科技對病毒/惡意程式的建議處理行動是清除。位於用戶端電腦上的這些代理程式 （稱為 Security Agent 與 Messaging Security　Agent）可以在防毒掃瞄期間偵測病毒/惡意程式。
2. 間諜程式/可能的資安威脅程式

可能的資安威脅程式會執行非預期或未經授權的動作。這是一般用語，用來表示間諜程式、廣告軟件、惡意撥號程式、惡作劇程式、遠端存取工具及任何其他不受歡迎的檔案和程式。視類型而定，其可能會包含可以複製和無法複製的惡意程式碼。

• 間諜程式： 間諜程式這一類電腦軟件，可在不經使用者許可或知情的情況下安裝於電腦上，並收集和傳輸個人資訊。

• 惡意撥號程式：進行非寬頻連線需要撥號程式以連接至 Internet。惡意撥號程式的設計目的是透過高費率付費號碼來連接，而非直接連接至你的 ISP。這樣，這些惡意撥號程式的提供者就得以私吞額外的費用。惡意撥號程式的其他使用包括傳輸個人資訊及下載惡意軟件。

• 駭客工具：駭客工具是設計用來進行駭客動作的一個程式或一組程式。
3. 廣告軟件：廣告軟件或廣告贊助軟件可以是任何軟件套件，在電腦上安裝這類軟件之後或在使用應用程式時，會自動播放、顯示或下載廣告內容到電腦上。

• 按鍵記錄程式：按鍵記錄程式是會記錄使用者所有按鍵輸入的電腦軟件。之後駭客便可擷取此資訊，並供其個人使用。

• Bot：Bot （「機器人 （Robot）」的簡稱）是一種程式，可做為使用者或其他程式的代理程式運作或模擬人類活動。Bot 一旦執行，可能會自行複製、壓縮和散播其副本。Bot 可用於協調對用戶端電腦的自動攻擊。

面對這些攻擊，Trend Micro 的應付手法是透過 Security Agent 和 Messaging Security Agent 偵測可能的資安威脅程式。並建議中小企對間諜程式/可能的資安威脅程式執行清除處理行動。嚴格說來，透過網絡傳播的病毒，並不算是網絡病毒。只有本節提到的某些安全威脅 （例如：蠕蟲），才算的上是網絡病毒。具體來說，網絡病毒使用網絡通訊協定 （例如：TCP、FTP、UDP、HTTP）和電子郵件通訊協定來自行複製。防火牆配合網絡病毒碼檔案來辨識和封鎖網絡病毒。

4. 垃圾郵件

垃圾郵件是由來路不明的電子郵件 （垃圾郵件）所組成，這類郵件通常屬於商業性質，會隨機傳送至多個郵件清單、個人或新聞群組。垃圾郵件有兩種類型：來路不明的商業電子郵件 （UCE）或來路不明的大型電子郵件 （UBE）。

4. 電腦入侵

入侵是指藉由強制或沒有權限的方式，進入網絡或電腦。它也表示略過網絡或電腦的安全防護。

5. 惡意行為

惡意行為指的是軟件對作業系統、登錄項目、其他軟件或檔案和資料夾進行未經授權的變更。

6. 偽冒的存取點

「偽冒的存取點」 (亦稱為「Evil Twin」) 是用於詐欺 Wi-Fi 存取點的術語，其會顯示為在營運場所內所提供的合法存取點，但實際上是由駭客所設定，以便於無線通訊上進行竊聽。

7. IM 應用程式中明確/限制的內容

組織中的明確或限制的內容均會透過即時通訊應用程式進行傳輸。例如：公司的機密資訊。線上按鍵監聽程式

8. 封裝程式

封裝程式是壓縮可執行程式的工具。壓縮可執行程式會使傳統的防毒掃瞄產品更難偵測可執行程式中包含的程式碼。封裝程式可能會隱藏特洛伊木馬程式或蠕蟲。趨勢科技掃瞄引擎可以偵測封裝的檔案，而對封裝檔案的建議處理行動是「隔離」。

9. 網絡釣魚事件

網絡釣魚事件的源頭是謊稱來自立案或合法公司的電子郵件。訊息會鼓勵收件者按下會將他們的瀏覽器重新導向詐欺網站的連結。該網站會要求使用者更新個人資訊 (例如：密碼、社會安全號碼、信用卡號碼) ，企圖哄騙收件人提供私人資訊，可能進而盜竊身份。

Trend Micro 的應對手法是透過 Messaging Security Agent 會使用垃圾郵件防護來偵測網絡釣魚事件。趨勢科技對網絡釣魚事件的建議處理行動為將偵測到內含網絡釣魚的整個郵件「刪除」。

10. 大量郵件攻擊

透過電子郵件傳播的病毒/惡意程式，可以藉由中毒電腦的電子郵件用戶端自動以電子郵件傳播病毒/惡意程式，或自行傳播病毒/惡意程式。大量郵件行為指的是感染狀況在 Microsoft Exchange 環境中快速傳播的情況。趨勢科技設計的掃瞄引擎可以偵測大量郵件攻擊的行為模式。這些行為都記錄在病毒碼檔案中，透過「趨勢科技主動式更新伺服器」來更新。

你可以啟動 MSA 採取特殊動作，在偵測到大量郵件行為時避免受到大量郵件攻擊。對大量郵件行為設定的處理行動會優先於所有其他處理行動。對付大量郵件攻擊的預設處理行動為「刪除整封郵件」。

例如：你可以設定 MSA 在偵測到受蠕蟲或特洛伊木馬程式感染的郵件時，隔離該郵件。你也可以啟動大量郵件行為，並設定 MSA 刪除所有符合大量郵件行為模式的郵件。當 MSA 收到包含蠕蟲 (例如 MyDoom 的變種) 的郵件時，這個蠕蟲會利用它自己的 SMTP 引擎把，它自己傳送到它在中毒電腦上收集到的電子郵件信箱。一旦 MSA 偵測到 MyDoom 蠕蟲並辨識出它的大量郵件行為，便會刪除所有包含該蠕蟲的電子郵件；而對並未出現大量郵件行為的蠕蟲，則是採取隔離動作。

第一篇：SMB：Worry-Free 如何幫到我?

第二篇：認識網絡及理解網絡安全之威脅

第三篇：部署 Worry-Free 方案注意事項及要求

第四篇：Worry-Free Business Security 核心元件