隱形惡意軟體：它是什麼、rootkit 以及如何保護自己

隱形惡意軟體使用隱形技術（rootkit、虛擬化、零點擊）來逃避偵測。
Android 上的 Crocodilus 和 Godfather 使用高級欺騙和權限竊取銀行憑證。
UEFI 持久性（CosmicStrand）在系統重新安裝後仍然存在；結合防禦是關鍵。

網路安全已成為日常問題，然而， 許多威脅仍然未被注意到 針對使用者和防禦工具的攻擊。這些威脅中包括所謂的“隱形惡意軟體”，這是一套目標很簡單的技術： 隱藏在顯眼的地方並掩蓋他們的痕跡 盡可能長時間保持活躍。

我們討論的方法遠非科幻小說，而是已經在流傳的方法： 混入系統的 rootkit 到移動木馬能夠模擬銀行螢幕或進行監視，而無需我們接觸任何東西。當然，還有 零點擊攻擊 以及在作業系統重新安裝後仍能繼續使用的韌體中的極端情況。

「隱形惡意軟體」是什麼意思？

當我們談論「隱形」時，並不是說程式碼實際上不可能被看到，而是 採用了隱藏技術 旨在掩蓋惡意軟體在受感染系統上的變化和活動。例如，此定義包括： rootkit的，它操縱系統來隱藏檔案、進程、註冊表項或連接。

實際上，這些菌株可以 接手系統任務 並降低性能而不會引起懷疑。即使防毒軟體偵測到異常行為，隱身機制也能 逃避或推遲檢測例如，暫時遠離受污染的文件，將其複製到另一個驅動器，或者 隱藏檔案大小 改變。所有這些都使行動變得複雜檢測引擎和法醫分析。

隱形惡意軟體

它如何滲透以及如何隱藏

“隱形病毒”，或者更廣泛地說，使用隱形技術的惡意軟體，可以以多種形式出現： 惡意附件 在電子郵件、可疑網站的下載、軟體中 未驗證，偽裝成流行實用程式或安裝的欺詐性應用程序 社交網絡和訊息傳遞上的鏈接.

獨家內容 - 點擊這裡如何在谷歌上查看保存的密碼

一旦進入內部，他的策略就很明確了： 堅持不被發現有些變體在懷疑有掃描時會「移出」受感染的文件，將自己複製到另一個位置並留下 清潔替代品 以避免引發警報。其他一些系統會隱藏元資料、檔案大小和系統條目，使 檢測引擎 和文件恢復感染後。

Rootkit：定義、風險與合法用途

起源於環境 UNIX的，rootkit 是系統本身的一組工具（例如 ps、netstat 或 passwd) 被入侵者修改為 保持 root 存取權而不被發現超級使用者「root」這個名稱的由來。如今，在 Windows 和其他系統中，這個概念仍然保持不變： 旨在隱藏元素的程序 （檔案、進程、登錄項目、記憶體甚至連接）到作業系統或安全應用程式。

隱形技術的使用本身並非惡意。它可以用於以下合法目的：企業監控、智慧財產權保護或防止使用者錯誤。當這些功能應用於 掩蓋惡意軟體、後門和犯罪活動這與當前的網路犯罪動態一致，即尋求在不引起注意的情況下最大限度地延長正常運行時間。

如何檢測和緩解 rootkit

沒有哪一種技術是萬無一失的，所以最好的策略是 結合方法 和工具。經典和先進的方法包括：

簽名檢測：掃描並與已知的惡意軟體目錄進行比較。它對以下情況有效： 已編目的變體，未發表的除外。
啟發式或基於行為：識別 正常活動偏差 該系統對於發現新的或變異的家族很有用。
比較檢測：將系統報告與讀數進行對比低級；若有矛盾，則有隱瞞行為的嫌疑。
廉正：檢查文件和內存 可靠參考狀態 （基線）顯示改變。

獨家內容 - 點擊這裡 X 「關於此帳戶」：工作原理、已知問題及未來計劃

在預防層面，建議部署 好的反惡意軟體 啟動並更新，使用 防火牆，保持 系統和應用程式保持最新 使用補丁程序，並限制權限。有時，為了檢測某些感染，建議 從外部媒體啟動 並從受感染系統的「外部」進行掃描，儘管即使這樣，一些家庭還是設法 重新融入 在其他系統檔案中。

兩起隱形惡意軟體案例：XWorm 和 NotDoor

這些可能是目前最危險的隱形惡意軟體威脅。要了解如何保護自己免受其害，最好先充分了解它們：

XWorm

XWorm 這是一種眾所周知的惡意軟體，最近透過使用看似合法的可執行檔名進行了令人震驚的演進。這使得它能夠 偽裝成無害的應用程式，贏得了使用者和系統的信任。

攻擊始於 隱藏的.lnk文件 它通常透過網路釣魚活動進行分發，執行惡意 PowerShell 命令，將文字檔案下載到系統的臨時目錄，然後從遠端伺服器啟動名為 discord.exe 的虛假可執行檔。

一旦滲透到我們的電腦中，XWorm 就可以 執行所有類型的遠端命令， 從檔案下載和 URL 重定向到 DDoS 攻擊。

不門

目前最嚴重的隱形惡意軟體威脅之一是不門俄羅斯駭客開發的這種複雜病毒的目標是 Outlook 使用者竊取機密資料。它還能完全控制受感染的系統。它的發展歸功於俄羅斯著名網路間諜組織 APT28。

NotDoor 是 用 Visual Basic for Applications (VBA) 編寫的隱藏惡意軟體，能夠監控傳入電子郵件中的特定關鍵字。它實際上利用程式自身的功能來啟動自身。然後，它會建立一個隱藏目錄來儲存由攻擊者控制的暫存檔案。

獨家內容 - 點擊這裡學習檢測惡意軟件並保護自己

保護自己的最佳做法（以及如果已經被感染該如何應對）

有效的防禦需要習慣和技術的結合。除了“常識”，你還需要 程式和工具 降低 PC 和行動裝置上的實際風險：

僅安裝來自官方來源的應用程式 並檢查開發者、權限和評論。警惕訊息、社群媒體或未知網站上的連結。
使用可靠的安全解決方案 在行動裝置和 PC 上；它們不僅可以檢測惡意應用程序，還可以提醒您 可疑行為.
保持一切更新：系統、瀏覽器和應用程式。補丁已剪切 開採路線 在攻擊者中非常受歡迎。
激活兩步驗證 在銀行、郵政和關鍵服務領域。它並非萬無一失，但它增加了 附加屏障.
監控可訪問性權限和通知；如果一個簡單的實用程式要求完全控制， 出了點問題.
定期重新啟動或關閉手機；每週徹底關閉可以消除 記憶植入物 並使堅持變得困難。
啟動並配置防火牆，並限制使用具有管理員權限的帳戶，除非絕對必要。

如果您懷疑有隱形惡意軟體感染（手機運行緩慢、不合理的發熱、奇怪的重啟、 你不記得安裝過的應用程式 或異常行為）： 刪除可疑應用程式，以安全模式啟動手機並透過完整掃描，更改密碼 其他設備，通知您的銀行並評估 恢復出廠設置 如果症狀仍然存在，請考慮從 PC 上的外部媒體啟動進行掃描，而不會受到惡意軟體的控制。

請記住，隱形惡意軟體會幹擾我們的節奏： 最小噪音 外科手術式打擊。這不是抽象的威脅，而是一系列 隱藏技巧 這些漏洞可以實現其他所有攻擊：銀行木馬、間諜軟體、身分盜竊或韌體持久化。如果你強化自己的習慣，並合理選擇工具，你就能 領先一步 看不見的事物。

如何在PC上找到隱藏的病毒

丹尼爾·特拉薩（Daniel Terrasa）

專門研究技術和互聯網問題的編輯，在不同數位媒體領域擁有十多年的經驗。我曾在電子商務、通訊、線上行銷和廣告公司擔任編輯和內容創作者。我還在經濟、金融和其他領域的網站上撰寫過文章。我的工作也是我的熱情所在。現在，透過我的文章 Tecnobits，我嘗試探索科技世界每天為我們提供的所有新聞和新機會，以改善我們的生活。