特洛伊木馬病毒
什麼是特洛伊木馬病毒?
特洛伊木馬程式是一種惡意軟體,會偽裝成正常軟體並下載到電腦中。投送方式通常是攻擊者使用社交工程在合法軟體隱藏惡意程式碼,試圖用其軟體獲取使用者系統許可權。
要了解"什麼是特洛伊木馬程式",簡單來說,它是一種惡意軟體,通常被隱藏成電子郵件附檔或免費下載檔案,然後傳輸到使用者的裝置。惡意程式碼經下載後,就會執行攻擊者所設計的任務,例如:取得企業系統的後門存取權、監視使用者的網路活動,或竊取敏感資料。
如果裝置上有特洛伊木馬程式正在運作,會出現不尋常活動的跡象,像是電腦設定突然遭到變更。
特洛伊木馬的歷史
原始的特洛伊木馬故事出現在荷馬所著的《奧德賽》和維吉爾的《埃涅伊德》中。在故事中,特洛伊的敵人們透過偽裝成禮物的木馬,成功潛入城市大門內。士兵們躲進巨大的木馬中,進入城門後,他們爬出木馬讓其他士兵進城。
故事中的幾個元素,讓「特洛伊木馬」一詞成為這類網路攻擊的合適名稱:
- 特洛伊木馬是攻擊目標防禦系統的獨特手法。在故事中,敵人已持續攻城十年未果。特洛伊木馬讓他們一舉完成十年大業。同樣地,特洛伊木馬程式病毒也是入侵其他嚴峻防禦機制的好方法。
- 特洛伊木馬外表看似是一個正常的禮物。同樣概念,特洛伊木馬程式病毒看似是合法的軟體。
- 特洛伊木馬的士兵控制著城市的防禦系統。感染木馬病毒後,此惡意軟體會控制您的電腦,讓其他「入侵者」更容易展開攻擊。
特洛伊木馬程式如何運作?
與電腦病毒不同的是, 特洛伊木馬程式 無法自行運作,需要使用者下載伺服器端應用程式才能發揮效果。也就是要啟動執行檔 (.exe) 並安裝特洛伊木馬程式,才能攻擊裝置的系統。
特洛伊木馬程式病毒透過看似正常的電子郵件和附件檔案傳播,這些垃圾郵件會盡可能地觸及每個人的信箱。當電子郵件被打開、惡意附件經下載後,特洛伊木馬程式伺服器將在每次被感染的裝置打開時安裝並自動執行。
此外,網路犯罪分子也會利用社交工程技巧誘騙使用者下載惡意應用程式,使裝置感染上特洛伊木馬程式。惡意檔案可能隱藏在橫幅廣告、彈出式廣告或網站上的連結中。
受特洛伊木馬程式惡意軟體感染的電腦也可能傳播到其他電腦。網路犯罪者將裝置變成殭屍電腦,代表他們可在使用者不知情情況下遠端控制裝置。接下來,駭客可利用殭屍電腦繼續在裝置網路上(稱為殭屍網路)分享惡意軟體。
例如,使用者可能會收到來自熟人的電子郵件,其中夾帶看似正常的附件。不過,附件當中含有惡意程式碼,會在裝置上安裝特洛伊木馬程式。使用者通常不會知道任何意外發生的事件,因為他們的電腦可能繼續正常運作,而不會出現感染的徵兆。
在使用者執行特定動作(例如造訪特定網站或銀行應用程式)之前,此惡意軟體都不會被偵測到。駭客會發動惡意程式碼,而特洛伊木馬程式會執行駭客所需的動作。根據特洛伊木馬程式的類型及其建立方式,惡意軟體可能自行删除、恢復休眠狀態,或在裝置上保持活躍狀態。
此外,特洛伊木馬程式還會利用一連串行動惡意軟體來攻擊和感染智慧型手機和平板電腦。這可將流量重新導向至連上 Wi-Fi 網路的裝置,然後利用該裝置發動網路攻擊。
最常見的特洛伊木馬程式惡意軟體類型
網路犯罪分子會利用許多類型的 特洛伊木馬程式病毒 來執行各種行動和不同的攻擊方法。最常見的特洛伊木馬程式類型包括:
- 後門木馬程式: 後門木馬程式可讓攻擊者遠端存取電腦,並使用後門進行控制。如此一來,歹徒就能在裝置上執行任何動作,例如:將檔案移除、重新開機、竊取資料,或是上傳惡意程式。後門特洛伊木馬程式常用於透過殭屍電腦網路建立殭屍網路。
- 銀行特洛伊木馬程式: 專門攻擊使用者銀行帳號和財務資訊的銀行木馬程式。它會試圖竊取信用卡和金融卡、電子支付系統和網路銀行系統等帳號資料。
- 分散式阻斷服務 (DDoS) 特洛伊木馬程式: 這些特洛伊木馬程式會利用流量對網路進行超載。它會從電腦或一組電腦傳送多個請求,以擠爆目標網址並造成 DoS。
- 下載器特洛伊木馬程式: 下載器特洛伊木馬程式專門攻擊已遭惡意軟體感染的電腦,然後下載並安裝更多惡意程式。可能是其他特洛伊木馬程式或其他類型的惡意軟體,例如廣告軟體。
- 漏洞攻擊特洛伊木馬程式: 漏洞攻擊惡意軟體程式含有一些程式碼或資料,會利用應用程式或電腦系統當中的特定漏洞。網路犯罪者會利用網路釣魚攻擊之類的方法攻擊使用者,然後使用程式中的程式碼來入侵已知的弱點。
- 假防毒軟體特洛伊木馬程式: 假防毒軟體木馬程式會模擬正常防毒軟體的動作。此特洛伊木馬程式專門用來偵測和移除一些威脅,像是防毒軟體,然後勒索使用者來移除一些可能不存在的威脅。
- 遊戲帳號特洛伊木馬程式: 專門竊取線上遊戲玩家帳號資訊的特洛伊木馬程式。
- 即時訊息傳送 (IM) 特洛伊木馬程式: 這類特洛伊木馬程式專門攻擊 IM 服務,以竊取使用者帳號和密碼。它會鎖定熱門的訊息平台,像是 AOL Instant Messenger、ICQ、MSN Messenger、Skype 和 Yahoo Pager。
- 資訊竊取特洛伊木馬程式: 此惡意軟體可用來安裝特洛伊木馬程式,或防止使用者偵測惡意程式。資訊竊取特洛伊木馬程式的元件,會讓防毒系統難以透過掃描發現蹤跡。
- 郵件特洛伊木馬程式: 郵件特洛伊木馬程式專門用來收集和竊取儲存在電腦上的電子郵件地址。
- 勒索病毒特洛伊木馬程式: 勒索病毒特洛伊木馬程式試圖損害電腦效能或攔截裝置的資料,讓使用者無法再存取或使用。接下來,攻擊者會向使用者或組織勒索,要求支付贖金以復原受損裝置,或是解鎖受影響的資料。
- 遠端存取特洛伊木馬程式: 與後門木馬程式類似,這類惡意軟體可讓駭客完全掌控使用者的電腦。網路犯罪者會透過遠端網路連線來維持對裝置的存取,藉此竊取使用者資訊或監視使用者。
- Rootkit 特洛伊木馬程式: Rootkit 是一種會藏在使用者電腦內的惡意軟體。它的目的是阻止惡意程式被偵測到,使惡意軟體在受感染的電腦上保持活躍的時間更長。
- 簡訊服務 (SMS) 特洛伊木馬程式: 一種感染行動裝置的 SMS 特洛伊木馬程式,能發送和攔截簡訊。這包括發送訊息至付費的電話號碼,增加使用者電話帳單的費用。
- 間諜特洛伊木馬程式: 間諜特洛伊木馬程式專門用於使用者的電腦和間諜活動。包括記錄鍵盤動作、擷取螢幕畫面、存取他們使用的應用程式,以及追蹤登入資訊。
- SUNBURST: SUNBURST 特洛伊木馬程式病毒發佈在許多 SolarWinds Orion 平臺上。受害者遭到木馬化版本的合法 SolarWinds 數位簽章檔案所入侵,檔名為:SolarWinds.Orion.Core.BusinessLayer.dll。木馬化的檔案是一個後門程式。一旦進入目標電腦,它會保持休眠兩個星期,然後擷取命令以允許傳輸、執行、執行偵察、重新開機和停止系統服務。透過 http 傳輸至預定的 URI。
如何辨識特洛伊木馬程式病毒
特洛伊木馬程式病毒通常可在裝置上停留數個月,而使用者不知道他們的電腦已受到感染。不過,特洛伊木馬程式的出現徵兆包括:電腦設定突然變更、電腦效能損失,或是不尋常的活動。辨識特洛伊木馬程式的最佳方式,是使用特洛伊木馬程式掃描器或惡意軟體移除軟體來搜尋裝置。
如何保護自己免受特洛伊木馬程式病毒侵害
特洛伊木馬程式病毒通常可在裝置上停留數個月,而使用者不知道他們的電腦已受到感染。不過,特洛伊木馬程式的出現徵兆包括:電腦設定突然變更、電腦效能損失,或是不尋常的活動。辨識特洛伊木馬程式的最佳方式,是使用特洛伊木馬程式掃描器或惡意軟體移除軟體來搜尋裝置。
特洛伊木馬程式病毒攻擊案例
特洛伊木馬程式攻擊主要是透過感染電腦並竊取使用者資料,進而造成重大損害。知名特洛伊木馬程式攻擊案例包括:
- Rakhni 特洛伊木馬程式: Rakhni 特洛伊木馬程式專門散布勒索病毒或挖礦工具,讓駭客利用裝置來挖礦並感染裝置。
- Tiny Banker: Tiny Banker 可讓駭客竊取使用者的財務資料。當它被發現時,已感染了至少 20 家美國銀行。
- Zeus 或 Zbot: Zeus 是一個專門攻擊金融服務的工具包,專門讓駭客開發自己的特洛伊木馬程式。原始程式碼使用如表格擷取和按鍵側錄等技巧,來竊取使用者憑證和財務詳細資料。
