ESET Glossary 取扱説明書

  • ESETの用語集マニュアルについてのご質問にお答えします。このマニュアルでは、様々な種類のマルウェア、ネットワーク攻撃、電子メールの脅威、そしてESETのセキュリティ技術について詳しく解説されています。PUAの検出方法なども含まれていますので、お気軽にご質問ください。
  • ランサムウェアとは何ですか?
    潜在的に不要なアプリケーション(PUA)とは何ですか?
    Rootkitとは何ですか?
    ESET LiveGrid®とは何ですか?
    誤検知(FP)とは何ですか?
ESET Glossary
使用者手冊
按一下此處顯示此文件的連線版本
版權 ©2023 由 ESET, spol. s r.o. 所有
ESET Glossary ESET, spol. s r.o. 所開發
如需詳細資訊,請造訪 https://www.eset.com。
保留所有權利。本文件的任何部分在未獲得作者的書面同意下,不得以任何形式或利用任何方式進行重製、
儲存在可擷取的系統或進行傳輸,包括電子、機械、影印、錄音或掃描等方式。
ESET, spol. s r.o. 保留變更所述應用程式軟體的權利,恕不另行通知。
技術支援:https://support.eset.com
修訂。2023年m月19日
1 ESET 字彙簡介 1 ...................................................................................................................................
1.1 廣告程式 1 .....................................................................................................................................
1.2 殭屍網路 1 .....................................................................................................................................
1.3 誤判 (FP) 1 ....................................................................................................................................
1.4 惡意加殼 1 .....................................................................................................................................
1.5 潛在不安全的應用程式 2 ....................................................................................................................
1.6 潛在不需要應用程式 2 .......................................................................................................................
1.7 勒索軟體 5 .....................................................................................................................................
1.8 Rootkit 6 ......................................................................................................................................
1.9 返回導向的程式設計 6 .......................................................................................................................
1.10 間諜程式 6 ....................................................................................................................................
1.11 特洛伊木馬程式 7 ...........................................................................................................................
1.12 病毒 7 .........................................................................................................................................
1.13 蠕蟲 7 .........................................................................................................................................
1.14 憑證填充 8 ....................................................................................................................................
1.15 DNS Poisoning 8 ..........................................................................................................................
1.16 DoS 攻擊 8 ...................................................................................................................................
1.17 ICMP 攻擊 8 .................................................................................................................................
1.18 連接埠掃描 8 .................................................................................................................................
1.19 SMB Relay 9 ................................................................................................................................
1.20 TCP 去同步化 9 .............................................................................................................................
1.21 蠕蟲攻擊 9 ....................................................................................................................................
1.22 ARP 快取破壞 9 .............................................................................................................................
2 電子郵件威脅 10 ..................................................................................................................................
2.1 廣告 10 .........................................................................................................................................
2.2 惡作劇 10 ......................................................................................................................................
2.3 網路釣魚 11 ...................................................................................................................................
2.4 識別垃圾郵件詐騙 11 ........................................................................................................................
2.4 規則 11 ...................................................................................................................................
2.4 白名單 12 ................................................................................................................................
2.4 黑名單 12 ................................................................................................................................
2.4 例外 12 ...................................................................................................................................
2.4 伺服器端控制 12 .........................................................................................................................
2.5 進階記憶體掃描器 13 ........................................................................................................................
2.6 銀行付款防護 13 .............................................................................................................................
2.7 殭屍網路防護 13 .............................................................................................................................
2.8 DNA 偵測 14 ..................................................................................................................................
2.9 ESET LiveGrid® 14 ........................................................................................................................
2.10 惡意探索封鎖程式 14 ......................................................................................................................
2.11 Java 惡意探索封鎖程式 15 ...............................................................................................................
2.12 ESET LiveSense 15 ......................................................................................................................
2.13 機器學習 15 ..................................................................................................................................
2.14 網路攻擊防護 16 ............................................................................................................................
2.15 勒索軟體保護 16 ............................................................................................................................
2.16 指令碼型攻擊防護 16 ......................................................................................................................
2.17 安全的瀏覽器 16 ............................................................................................................................
2.18 UEFI 掃描器 17 .............................................................................................................................
2.19 Canary 檔案 17 ............................................................................................................................
2.20 鎖死 17 .......................................................................................................................................
1
ESET 字彙簡介
「ESET 字彙」提供目前威脅和 ESET 威脅防護技術的完整概觀。
主題分為下列幾個章節,描述如下:
偵測 – 包含電腦病毒、蠕蟲、特洛伊木馬程式和潛在不需要的應用程式等等。
遠端攻擊 – 透過區域網路或網際網路產生的威脅
電子郵件威脅 – 包含:惡作劇、釣魚和詐騙等等。
ESET 技術 - ESET 安全性解決方案中提供的產品功能
廣告程式
廣告程式是廣告支援軟體的簡稱。舉凡可顯示廣告素材的程式均屬於這個種類的軟體。廣告程式應用程式
經常會在網際網路瀏覽器中自動開啟包含廣告的快顯視窗,或變更瀏覽器的首頁。廣告程式通常隨附於免
費軟體程式,讓免費軟體程式建立者負擔其 (通常很有用) 應用程式的開發成本。
廣告程式本身並不危險 – 使用者僅會受到廣告的騷擾。其危險性在於廣告程式可能也會執行追蹤功能
(與間諜軟體相同)。
如果您決定使用免費軟體產品,請特別注意安裝程式。安裝程式很可能會在安裝額外廣告程式程式時通知
您。您通常可以取消安裝廣告程式而只安裝程式。
不安裝廣告軟體便無法安裝某些程式,或者會限制程式的功能。這表示廣告程式通常以「合法」方式存取
系統,因為使用者已同意。在此情況下,為了以防萬一,若電腦上偵測到廣告軟體檔案,建議您刪除該檔
案,因為其中很可能包含惡意程式碼。
殭屍網路
Bot (即網路機器人) 是一種自動化惡意程式,能夠掃描整個網路地址區塊,並感染防護薄弱的電腦。 使
駭客能夠同時掌控更多電腦,並將它們都變成 Bot (亦稱為殭屍)。 駭客通常使用 Bot 感染大量的電腦,從
而形成網路或殭屍網路。 殭屍網路一旦進入您的電腦,駭客便能在分散式拒絕服務 (DDoS) 攻擊或 Proxy
中使用殭屍網路,也可在您不知道的情況下在網際網路上自動執行工作 (例如,傳送垃圾郵件、病毒,並
竊取如銀行的授權憑證或是信用卡號碼等個人資訊)。
誤判 (FP)
從真實世界的觀點來看,無法保證 100% 偵測率,而且避免將已清除的物件錯誤分類為偵測項目的機會為
0%。
誤判就是錯誤分類為惡意軟體或 PUA 的清除檔案/應用程式。
惡意加殼
壓縮器是運行時間自我解壓縮的執行檔,會將數種惡意軟體封裝成單一套件。
2
最常見的壓縮器有 UPX、PE_Compact、PKLite ASPack。同一個惡意程式若壓縮時使用不同的壓縮器,其偵
測方式也會不同。壓縮器也能夠讓其「簽章」隨著時間改變,讓惡意軟體更難以偵測與移除。
潛在不安全的應用程式
有很多合法程式的功能都可用來簡化網路電腦的系統管理作業。然而,如果落入有心人士的手中,可能就
會被用來從事惡意活動。ESET 提供偵測這類應用程式的選項。
[潛在不安全的應用程式] 是用於商業、合法軟體的分類。此分類包括的程式諸如遠端存取工具、密碼破
解應用程式,以及 keylogger (會記錄使用者按下之每個按鍵的程式)。
如果您發現電腦上有潛在不安全的應用程式存在並執行中 (而您沒有安裝它),請洽詢您的網路系統管理
員,或是移除該應用程式。
潛在不需要的應用程式
「灰色軟體」或「潛在不需要的應用程式」(PUA) 是軟體的廣泛類別,其意圖明確地不帶有惡意,不如其他
類型的惡意軟體 (如病毒或特洛伊木馬程式)。不過它可能會安裝其他不需要的軟體、變更數位裝置的行
為,或是執行使用者未認可或預期的活動。
可能視為灰色軟體的類別包括:廣告顯示軟體、下載包裝函式、各種瀏覽器工具列、具有誤導行為的軟體、
混入軟體、追蹤軟體、Proxy 軟體 (網路共用應用程式)、加密貨幣挖礦軟體、登錄清除程式 (僅限
Windows 作業系統),或任何其他臨界軟體,或使用非法或不道德商業行為 (儘管看似合法),且在使用者
瞭解允許安裝該軟體會執行的動作後,被使用者視為不必要的軟體。
潛在不安全的應用程式是指本身合法 (可能是商業軟體) 但遭到攻擊者濫用的軟體。對這些類型應用程式
的偵測可以由 ESET 軟體使用者啟用或停用。
在某些情況下,使用者可能會認為潛在不需要應用程式的優點大於風險。 因此,相較於其他例如特洛伊
木馬或蠕蟲惡意軟體的類型,ESET 將此類應用程式指定為低風險的類別。
警告 - 找到潛在不需要的應用程式
設定
軟體包裝函式
登錄清除程式
潛在不需要的內容
圖解指示
若要掃描並移除 ESET Windows 家用產品中潛在不需要的應用程式 (PUA),請參閱我們的 ESET 知識庫
文章
警告 - 找到潛在不需要的應用程式
偵測到潛在不需要應用程式時,您可以決定要採取的處理方法:
1.清除/中斷連線:此選項結束動作,並且防止 PUA 進入系統。
從網站下載時,您將看到 PUA 通知的 [中斷連線] 選項,以及磁碟上的檔案通知的 [清除] 選項。
3
2.略過:此選項允許 PUA 進入您的系統。
3.[從偵測中排除]:若要讓電腦上已偵測到的檔案未來執行時不受干擾,請按一下 [進階選項],選
取 [從偵測中排除] 旁的核取方塊,並按一下 [略過]
4.[從偵測中排除簽章]:若要允許由指定偵測名稱 (簽章) 識別的所有檔案未來在電腦上執行時不
受干擾 (來自現有檔案或網路下載),請按一下 [進階選項],選取 [從偵測中排除簽章] 旁的核取
方塊,並按一下 [略過]。如果系統之後立即顯示其他具有相同偵測名稱的偵測視窗,請按一下 [略
過] 關閉 (任何其他視窗都與您從偵測中排除簽章前所發生的偵測相關)。
設定
安裝您的 ESET 產品時,可以決定是否要啟用不需要應用程式的偵測,如下所示:
4
警告
潛在不需要應用程式可能會安裝廣告軟體、工具列,或者具有其他不安全和不需要的程式功能。
您隨時可以在程式設定裡修改這些設定。若要啟用或停用潛在不需要、不安全或可疑應用程式的偵測 ,
請遵循下列指示:
1. 開啟您的 ESET 產品
2. F5 鍵以存取 [進階設定]
3. 按一下 [偵側引擎] (在舊版中也稱為 [防毒][電腦]),根據您的喜好設定啟用或停用 [啟用潛
在不需要的應用程式偵測][啟用潛在不安全的應用程式偵測][啟用可疑應用程式偵測] 選項。按
一下 [確定] 以確認。
圖解指示
如需更多配置產品方法的詳細指示,以偵測或略過 PUA ,請參閱 ESET 知識庫文章:
ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium
適用於 macOS ESET Cyber Security for macOS / ESET Cyber Security Pro
ESET Endpoint Security / ESET Endpoint Antivirus for Windows
適用於 Android ESET Mobile Security
軟體包裝函式
軟體包裝函式是檔案裝載網站使用的一種特殊應用程式修改類型。其為第三方工具,會安裝您要下載的程
式,但也會新增其他軟體,例如工具列或廣告軟體。這些其他軟體可能會變更您網頁瀏覽器的首頁和搜尋
設定。除此之外,檔案裝載網站通常不會通知軟體廠商或接收下載的用戶其已經執行修改,且通常會隱藏
用於退出的選項。因為上述原因,ESET 將軟體包裝函式分類為一種潛在不需要應用程式,讓使用者選擇接
5
受或不接受下載。
登錄清除程式
登錄清除程式是可能建議 Windows 登錄資料庫需要定期維護或清除的程式。使用登錄清除程式可能會為您
的電腦系統帶來一些風險。此外,有些登錄清除程式對其優點做出不合格、無法驗證或無法支援的聲明,
以及 (或者) 根據「免費掃描」的結果對電腦系統產生誤導性報告。這些誤導性的聲明和報告試圖說服您
購買完整版本或訂閱,但通常不允許您在付費之前評估登錄清除程式。基於這些原因,ESET 將這類程式歸
類為 PUA,並提供您允許或封鎖它們的選項。
潛在不需要的內容
如果您在 ESET 產品啟用偵測,則以推廣 PUA 著稱或以誤導使用者執行可能對其系統或瀏覽體驗產生負面
影響而著稱的網站,將遭到封鎖而列為潛在不需要的內容。如果您收到通知,指出您正在嘗試造訪的網站
已分類為潛在不需要的內容,則您可以按一下 [返回] 以離開遭到封鎖的網頁,或按一下 [略過並繼續]
以允許網站載入。
您可以在此 ESET 知識庫文章中找到關於此主題的更多資訊。
勒索軟體
勒索軟體 (也稱為 Filecoder) 是一種惡意軟體,可鎖住您的裝置或將裝置上的內容加密,然後您必須付贖
金,才能還原對內容的存取。這類惡意軟體也可能有內建計時器,並已預寫必須遵循的付款期限。如果未
遵循此期限,贖金就會增加,或最終讓裝置變得無法存取。
當裝置受到感染時,Filecoder 可能會試圖加密裝置上的共用硬碟。此過程會讓人以為惡意軟體似乎正在網
路上散播,但其實不然。此狀況會在檔案伺服器上的共用硬碟遭到加密時發生,但伺服器本身並未受到惡
6
意軟體感染 (除非是終端機伺服器)。
勒索軟體的創造者會產生一對金鑰:公用和私密,並將公用金鑰插入惡意軟體。勒索軟體本身可能會是特
洛伊木馬程式的一部份,或喬裝為您可能在電子郵件、社交網路或即時訊息中收到的檔案或圖片。惡意軟
體會在潛入電腦後產生隨機對稱金鑰,並對裝置上的資料加密,接著使用惡意軟體中的公用金鑰將對稱金
鑰加密,然後勒索軟體就會要求您付款來將資料解密。裝置上顯示的付款要求訊息可能會是假警告,聲稱
系統已用於非法活動或包含非法內容。勒索軟體會要求受害者以多種付款方式支付贖金。「偏好」選項通
常是難以追蹤的付款方式,例如數位 (加密) 貨幣、付費簡訊或預售卷。收到付款後,勒索軟體創造者應
將裝置解除鎖定,或使用他們的私密金鑰將對稱金鑰解密,然後將受害者的資料解密;不過,此操作並無
保證。
更多關於勒索軟體防護的資訊
ESET 產品使用多層技術來保護裝置,以避免受到勒索軟體攻擊。請參閱我們的 ESET 知識庫文章
了解保護您的系統免受勒索軟體攻擊的最佳做法。
Rootkit
Rootkit 是惡意程式,可讓網際網路攻擊者任意存取系統,且神不知鬼不覺。Rootkit 在存取系統之後 (通常
是利用系統弱點),會使用作業系統中的功能來躲避防毒軟體的偵測:它會隱藏處理程序、檔案及
Windows 登錄資料。因此,使用一般的測試技術幾乎不可能偵測得到。
有兩種層級的偵測可預防 Rootkit:
1.當其嘗試存取系統時:它們仍未存在,所以沒有作用。大部分的防毒系統都能夠在此層級消滅
Rootkit (假設系統真的偵測到這些檔案被感染)。
2.當其隱藏起來以規避一般測試時:ESET 使用者擁有「反隱藏」技術的優勢,此技術也能夠偵測並消
除作用中 Rootkit。
返回導向的程式設計
面向返回的程式設計 (ROP) 是一種典型的代碼重新使用攻擊,攻擊者在攻擊中透過具有惡意結果的現有代
碼指導控制流程。ROP 攻擊是一種高級版本的堆積攻擊。當程式寫入目標資料結構外部 (通常使用固定長
度的緩衝區) 上的程式呼叫堆疊上的記憶體位址時,將發生堆疊緩衝區溢位。
ROP 是一種漏洞利用技術,使您能夠在目標系統上執行代碼。攻擊者透過獲得呼叫堆疊的控制權,來控制
電腦上執行的現有受信任軟體流程,並操縱該軟體以執行預期外的任務。
間諜程式
此類別包括會在使用者未同意/不知情的情況下,傳送私人資訊的所有應用程式。間諜程式會利用追蹤功
能來傳送各種統計資料,例如:造訪過的網站清單、使用者連絡人名單中的電子郵件地址,或是記錄過的
按鍵清單。
間諜程式的作者會宣稱這些技術的目的是為了深入瞭解使用者的需求和興趣,使宣傳目標更為精準。問題
是有益的和惡意的應用程式之間沒有明顯的分界,而且沒有人可以確保所擷取的資訊不會被濫用。間諜程
式應用程式取得的資料可能包含安全密碼、PIN、銀行帳號等等。免費版程式的作者通常會將間諜程式搭載
於該程式,以創造收益,或是激勵您購買軟體。通常在程式安裝期間,就會讓使用者知道間諜程式的存在,
以刺激其升級為沒有間諜程式的付費版本。
例如,P2P (點對點) 網路的用戶端應用程式,就是著名的搭載間諜軟體的免費軟體產品。Spyfalcon Spy
7
Sheriff (以及許多其他程式) 是屬於特定的間諜軟體子類別 – 其看似間諜程式防護程式,但事實上,其本
身就是間諜程式。
如果在電腦上偵測到檔案是間諜軟體,建議您刪除該檔案,因為其中很可能包含惡意程式碼。
作為間諜程式的一個子類別,鍵盤記錄程式可以是硬體式或軟體式。軟體式的鍵盤記錄程式只能收集輸入
到單一網站或應用程式中的資訊。更複雜的鍵盤記錄程式可以記錄您鍵入的所有內容,包括您複製/貼上
的資訊。一些針對行動裝置的鍵盤記錄程式可以記錄通話、來自訊息應用程式的資訊、位置,甚至麥克風
和攝影機擷取畫面。
特洛伊木馬程式
從歷史角度來看,電腦特洛伊木馬程式已被定義為一種威脅類別,它會嘗試以有用的程式呈現,矇騙使用
者執行這些程式。
由於特洛伊木馬程式是非常廣泛的類別,所以通常會細分為許多子類別:
下載程式 – 可從網際網路下載其他威脅的一種惡意程式。
植入程式 – 可將其他類型的惡意軟體放置在受危害電腦上的一種惡意程式。
後門 – 一種與遠端攻擊者通訊、可讓攻擊者存取系統,進而控制系統的惡意程式。
鍵盤記錄程式 – (按鍵側錄程式) – 此程式會記錄使用者按下的每一個按鍵,並將該資訊傳送給
遠端攻擊者。
撥接程式 – 一種不連線至使用者網際網路服務提供者,而連線至高費率電話號碼的惡意程式。使
用者幾乎不可能查覺到有新的連線建立。撥接程式只能對使用撥接數據機的使用者造成損害,而現在
已經不常使用撥接數據機了。
如果偵測到您的電腦上有某個檔案是特洛伊木馬程式,建議您將它刪除,因為它極可能僅包含惡意程式碼。
病毒
電腦病毒是一種惡意程式碼,會預置或附加到電腦的現有檔案上。病毒這個名稱取自生物學的病毒,因為
病毒會利用類似的方式,從一個位置散播至另一個位置。「病毒」這個名詞常常被不當用於表示指任何類
型的威脅。這種情況已逐漸減少,而改用較精確的詞彙「惡意軟體」(具惡意的軟體)。
電腦病毒主要會攻擊執行檔及文件。簡而言之,電腦病毒的運作如下:在執行受感染的檔案後,會先呼叫
並執行惡意程式碼,再執行原始的應用程式。病毒會感染任何目前使用者有寫入權限的檔案。
電腦病毒有目的與嚴重性之分。有些病毒因為能夠故意將硬碟機中的檔案刪除,而顯得極度危險。另一方
面,有些病毒並不會造成真正的損害 – 這些病毒只會困擾使用者,並展現其作者的技術。
如果您的電腦遭到病毒感染,且無法清除,請將電腦送到 ESET 研究實驗室檢查。 在特定狀況下,受感染
的檔案會被修改為無法清除,且必須以沒有未感染的副本取代受感染檔案的程度。
蠕蟲
電腦蠕蟲是含有惡意程式碼的程式,它會攻擊主機電腦,並透過網路散佈。病毒與蠕蟲的基本差異在於蠕
蟲有能力自行繁殖;蠕蟲不需仰賴主機檔案 (或開機磁區)。蠕蟲透過連絡人名單中的電子郵件地址散佈,
或利用網路應用程式中的安全性弱點。
8
因此,蠕蟲的存活率比電腦病毒高多了。因為網際網路的普及,蠕蟲可能在發佈後的數小時內,就散佈到
全世界,甚至只需幾分鐘的時間。這種獨立又快速的複製能力,使蠕蟲比其他類型的惡意軟體更加危險。
在系統中活化的蠕蟲會造成許多不便:如刪除檔案、降低系統效能,甚至會停用程式。電腦蠕蟲的本質使
其能夠成為其他入侵類型的「傳輸媒介」。
如果您的電腦感染了蠕蟲,我們建議您刪除受感染的檔案,因為其中可能包含惡意程式碼。
憑證填充
憑證填充是一種網路攻擊,它使用已洩漏憑證資料庫中的資料。攻擊者使用機器人和其他自動化方法,利
用洩露的資料登入眾多網站上的帳戶。攻擊者利用透過多個網站和服務回收其登入憑證的使用者。攻擊成
功後,攻擊者可以取得帳戶和在此帳戶中儲存的使用者資料的完整存取權。攻擊者可以利用此存取權竊取
個人資料,以進行身分識別竊取、欺詐交易、發佈垃圾郵件或其他惡意的動作。
DNS Poisoning
使用 DNS (網域名稱伺服器) Poisoning,駭客就可以欺騙所有電腦的 DNS 伺服器,讓其相信提供的假資料是
合法且可信的。然後會在某段時間內快取假資訊,讓攻擊者重新寫入 IP 位址的 DNS 回應。因此,嘗試存
取網際網路站台的使用者會下載電腦病毒或蠕蟲,而不會下載其原始內容。
DoS 攻擊
DoS 或「拒絕服務」是一種讓目標使用者無法使用電腦或網路的攻擊方式。受影響之使用者間的通訊會到
受阻礙,並且無法再繼續正常運作。遭受 DoS 攻擊的電腦通常需要重新啟動,否則就無法正常運作。
在大部分的情況下,目標是 Web 伺服器,而目的是讓使用者在某段時間內無法使用它們。
ICMP 攻擊
ICMP (網際網路控制訊息通訊協定) 是一種常見且廣泛使用的網際網路通訊協定。連接網路的電腦通常會
使用此通訊協定來傳送各種錯誤訊息。
遠端攻擊者嘗試利用 ICMP 通訊協定的弱點。 ICMP 通訊協定設計用來進行不需要驗證的單向通訊。 這樣可
讓遠端攻擊者觸發所謂的 DoS (拒絕服務) 攻擊,或者授與未獲授權的個人對對內與對外封包的存取權。
ICMP 攻擊的典型範例是:Ping Flood、ICMP_ECHO Flood Smurf 攻擊。 遭受 ICMP 攻擊的電腦明顯變慢
(這適用於使用網際網路的所有應用程式),而且連接到網際網路時會發生問題。
連接埠掃描
連接埠掃描是用來決定要在網路主機上開放的電腦連接埠。連接埠掃描器是為了尋找這類連接埠而設計的
軟體。
電腦通訊埠是虛擬端點,可處理對內及對外的資料 就安全的觀點來看,這是很重要的。在大型網路中,
連接埠掃描器所收集的資訊有助於識別潛在的弱點。這種用法是合法的。
儘管如此,連接埠掃描還是經常被駭客用來嘗試破壞安全性。第一步就是傳送封包至每一個通訊埠。依據
9
回應類型,是可以判斷出哪些通訊埠在使用中。掃描作業本身並不會造成損害,但請注意這種活動會顯露
出潛在的弱點,而讓攻擊者有機會掌控遠端電腦。
建議網路系統管理員封鎖所有未使用的通訊埠,並保護使用中的通訊埠不受未經授權的存取。
SMB Relay
SMB Relay SMB Relay 2 是可對遠端電腦發動攻擊的特殊程式。 這二種程式會利用伺服器訊息區檔案共
用通訊協定 (上至 NetBIOS 層級)。 共用 LAN 中任何資料夾和目錄的使用者極可能使用此檔案共用通訊協
定。
在區域網路通訊中,會交換密碼雜湊。
SMB Relay 會在 UDP 通訊埠 139 及 445 上接收連線,轉送用戶端和伺服器所交換的封包,再加以修改。
連線並驗證之後,即中斷用戶端的連線。 SMB Relay 會建立新的虛擬 IP 位址。 使用「net use \\192.168.1.1」
命令即可存取新位址。 而任何 Windows 網路功能都可以使用該位址 SMB Relay 會轉送 SMB 通訊協定通訊,
但交涉及驗證除外。 用戶端電腦一經連線,遠端攻擊者即可使用該 IP 位址。
SMB Relay2 作用的原理與 SMB Relay 相同,只是它是使用 NetBIOS 名稱,而不是 IP 位址。 這兩種方式都會
執行「中間人」(man-in-the-middle) 攻擊。 這些攻擊可讓遠端攻擊者讀取、插入及修改在二個通訊端點之
間交換的郵件,而不被發現。 暴露在這種攻擊下的電腦常會停止回應或突然重新啟動。
為避免這些攻擊,建議您使用驗證密碼或金鑰。
TCP 去同步化
TCP 去同步化是在 TCP 攔截攻擊中使用的技術。在觸發該技術的程序中,傳入封包中的序號與預期的序號
不相同。非預期序號的封包會被移除 (位於目前通訊視窗的封包則會儲存在緩衝儲存區中)。
在去同步化中,二邊的通訊端點都會丟棄所接收的封包,趁這個時候,遠端攻擊者就能夠入侵,並提供封
包正確的序號。 攻擊者甚至可以操控或修改通訊。
TCP 劫持攻擊的目的是要中斷伺服器對用戶端或點對點通訊。 在每個 TCP 區段上使用驗證,可以避免許多
攻擊。 另外,也建議您為網路裝置使用所建議的配置。
蠕蟲攻擊
電腦蠕蟲是含有惡意程式碼的程式,它會攻擊主機電腦,並透過網路散佈。網路蠕蟲會利用各種應用程式
中的安全性弱點。因為網際網路的可用性,它可以在其發佈的數小時內,就散佈到全世界。
使用防火牆中的預設安全性設定,或是封鎖未受保護及未使用的通訊埠,即可避免大部分的蠕蟲攻擊
(Sasser、SqlSlammer)。 此外,以最新的安全修補程式來更新作業系統也很重要。
ARP 快取破壞
位址解析通訊協定 (ARP) 在資料連結層 (MAC 位址) 和網路層 (IP 位址) 的位址之間進行轉換。ARP 快取破壞
攻擊讓攻擊者能夠透過損毀網路的 ARP 表格 (MAC IP 裝置對應) 來攔截網路裝置之間的通訊。
攻擊者對預設網路閘道傳送錯誤的 ARP 回覆訊息,通知 MAC 位址與另一個目標的 IP 位址相關聯。當預設
閘道收到此訊息並將變更廣播到網路上的所有其他裝置時,目標到任何其他網路上裝置的所有流量都會通
10
過攻擊者的電腦。此動作讓攻擊者能夠在將流量轉送到預期目的地之前進行檢查或修改流量。
電子郵件威脅
電子郵件是一種具有很多優點的通訊形式。
很遺憾,由於具有高度的匿名性,電子郵件及網際網路也為垃圾郵件之類的非法活動有機可趁。垃圾郵件
包括來路不明的廣告、惡意軟體的欺騙及擴散。傳送垃圾郵件幾乎無需成本的事實會增加您的不便及危險,
且垃圾郵件作者擁有許多工具及來源取得新的電子郵件地址。此外,垃圾郵件的數量及多樣性也造成管理
上的困難。您使用電子郵件地址的時間越長,其最後變成垃圾郵件引擎資料庫的可能性就越高。
預防的某些提示:
儘量不要在網際網路上發佈您的電子郵件地址
僅將您的電子郵件地址提供給信任的個人
儘量不要使用一般別名,因為別名越複雜,追蹤的可能性越低
請勿回覆已進入收件匣中的垃圾郵件
填寫網際網路表單時請小心,並特別注意「是,我想要接收資訊」之類的選項。
請使用「專門的」電子郵件地址,例如,一個地址用於工作,另一個地址用於與您的朋友通訊等等。
定期變更您的電子郵件地址
使用垃圾郵件防護解決方案
廣告
網際網路廣告是增長最為迅速的廣告形式之一。其主要的行銷優勢在於幾乎沒有成本且極為直接;而且,
訊息幾乎是立即傳遞的。許多公司都使用電子郵件行銷工具來與目前及未來的客戶進行有效的溝通。
由於使用者可能願意接收某些產品的商業資訊,所以這類廣告是合法的。不過,許多公司會傳送來路不明
的大量商業訊息。在這種情況下,電子郵件廣告就會變成垃圾郵件。
大量來路不明的電子郵件已成為問題,因為其並無減緩的跡象。來路不明電子郵件的作者會嘗試將垃圾郵
件偽裝成合法郵件。
惡作劇
惡作劇是透過網際網路擴散的一種錯誤資訊。惡作劇通常會透過電子郵件或諸如 ICQ Skype 等通訊工具
傳送。通常訊息本身是惡作劇或「街頭傳奇」。
「電腦病毒」惡作劇會嘗試讓收件者產生恐懼、不確定及懷疑 (FUD) 的情緒,讓他們相信存在「無法偵測
的病毒」正在刪除檔案並擷取密碼,或者在其電腦上執行部分其他有害活動。
某些惡作劇在運作時會要求收件者將郵件轉寄給連絡人,這會使惡作劇循環不息。包括行動電話惡作劇、
尋求協助、有人從海外向您提供金錢等。通常無法判斷建立者的意圖。
若您看到一則訊息提示傳遞給您認識的每個人,則此訊息很可能是惡作劇。網際網路上有許多網站可驗證
11
電子郵件是否合法。轉寄之前,請對您懷疑是惡作劇的訊息執行網際網路搜尋。
網路釣魚
網路釣魚這個詞彙是用來定義利用社交工程技巧 (操縱使用者以取得機密資訊) 的犯罪活動。其目的是要
存取像是銀行帳號、PIN 碼等敏感資料。
攻擊者通常會假冒成值得信賴的個人或企業 (金融機構、保險公司) 來傳送電子郵件,以進行存取。 該
電子郵件看起來非常逼真,而且會包含源自其模仿對象的圖片及內容。 它會以各種藉口 (資料驗證、金
融作業) 要求您輸入您的個人資料,即銀行帳號或使用者名稱及密碼。 這類資料一經提交,就很容易被
竊取及濫用。
銀行、保險公司及其他合法公司絕不會以來路不明的電子郵件,主動要求使用者名稱和密碼。
識別垃圾郵件詐騙
一般而言,有幾個指標可協助您識別信箱中的垃圾郵件 (來路不明的電子郵件)。如果郵件至少滿足下列
某些條件,則它極可能是垃圾郵件。
寄件者地址不屬於連絡人清單中的某人。
向您提供一大筆金錢,但是您必須先提供少數金額。
以各種藉口 (資料驗證、金融作業) 要求您輸入某些個人資料:銀行帳戶號碼、使用者名稱及密碼
等。
以外文撰寫。
要求您購買不感興趣的產品。如果您仍然決定購買,請驗證郵件寄件者是可靠的廠商 (洽詢原始產
品製造商)。
拼錯某些單字,以嘗試欺騙您的垃圾郵件過濾器。例如,「vaigra」而不是「viagra」。
規則
在垃圾郵件防護解決方案及電子郵件用戶端的內容中,規則有助於操作電子郵件功能。其分為二個邏輯部
分:
1.條件 (例如,從特定地址對內的郵件或包含特定電子郵件主題)
2.處理方法 (例如,移除郵件或將郵件移至指定資料夾)
規則的數量及組合會依垃圾郵件防護解決方案而有所不同。這些規則是做為對付垃圾郵件 (來路不明的電
子郵件) 的措施。典型範例:
1. 條件:對內的電子郵件中包含通常會在垃圾郵件中看到的某些字眼
2. 處理方法:刪除郵件
1. 條件:對內的電子郵件中包含副檔名為 .exe 的附件
2. 處理方法:刪除附件,並傳送郵件至信箱
12
1. 條件:傳入的電子郵件是來自您的雇主
2. 處理方法:將郵件移至 [工作] 資料夾
為方便系統管理,並提升過濾垃圾郵件的效率,建議您使用反垃圾郵件程式中的規則組合。
白名單
一般而言,白名單是被接受或被授與權限的項目或人員清單。電子郵件白名單 (允許的位址清單) 這個詞
是定義使用者想要接受之郵件寄件者的清單。這種白名單的依據是在電子郵件地址、網域名稱或 IP 位址中
搜尋到的關鍵字。
如果白名單是以「排外模式」執行,則不會接收來自任何其他地址、網域或 IP 位址的郵件。如果白名單並
非排外模式,則不會刪除這類郵件,但會以其他方式進行過濾。
白名單所依據的原則與黑名單相反。與黑名單相較,白名單相對較容易維護。建議您並用「白名單」與
「黑名單」,以提升過濾垃圾郵件的效率。
黑名單
通常,黑名單是無法接受或遭到禁止之項目或人員的清單。在虛擬世界中,該技術可讓使用者接受所有來
自此清單外之使用者的郵件。
有兩種類型的黑名單:由使用者透過垃圾郵件防護應用程式建立的黑名單,以及由特定的專門機構建立,
可在網際網路上找到的定期更新黑名單。
您必須使用黑名單才能順利封鎖垃圾郵件,但由於每天都有要封鎖的新項目出現,因此難以進行維護。建
議您同時使用白名單與黑名單,以發揮最大垃圾郵件過濾效率。
例外
例外清單 (也稱為例外清單) 通常包含可能受詐騙而被用來傳送垃圾郵件的電子郵件地址。針對例外清單
中寄件者地址發出的電子郵件訊息,系統會一律掃描看看是否為垃圾郵件。依預設,例外清單預設包含所
有現有電子郵件用戶端帳戶中的電子郵件地址。
伺服器端控制
伺服器端控制是一種可利用已接收的郵件數目及使用者反應為基礎,來識別大量垃圾郵件的技術。 根據
郵件的內容,每封郵件都會留下唯一的數位「蹤跡」。 唯一的 ID 編號並不會透露電子郵件的內容為何。
兩封完全相同的郵件將會有完全相同的蹤跡,而不同的郵件會有不同的蹤跡。
如果將郵件標記為垃圾郵件,則其蹤跡會傳送至伺服器。如果伺服器接收到更多相同的蹤跡 (對應於某個
垃圾郵件),該蹤跡會儲存在垃圾郵件蹤跡資料庫中。掃描對內的郵件時,程式會將郵件的蹤跡傳送至伺
服器。對於經使用者標記為垃圾郵件的郵件,伺服器會傳回與其對應的蹤跡相關的資訊。
13
進階記憶體掃描器
進階記憶體掃描器可與惡意探索封鎖程式一起搭配,強化對抗惡意軟體在整個利用欺騙及/或加密時對惡
意軟體防護產品所啟用偵測功能的規避動作。 若在原始模擬或啟發式技術無法偵測威脅的情況下,進階
記憶體掃描器可識別可疑的行動,並在威脅於系統記憶體揭露自己時進行掃描。 這個解決方案甚至可以
有效對抗重度欺騙的惡意軟體。
與惡意探索封鎖程式不同的是,進階記憶體掃描器是後置執行方式,意思是在其偵測到威脅時可能已有部
分惡意活動已在進行;不過在其他偵測技術都已失敗的情況下,這個方法仍然算是額外的安全性層級功能。
銀行付款防護
銀行和付款防護是一層額外的保護,專為保護您線上交易中的金融資料而設。
ESET Smart Security Premium ESET Internet Security 包含內建的預先定義網站清單,觸發時將開啟安全的
瀏覽器。您可在產品配置中新增網站或編輯網站清單。
開啟保護所有瀏覽器,在安全模式下啟動所有支援的網頁瀏覽器。
如需關於此功能的詳細資訊,請閱讀以下 ESET 知識庫文章:
如何使用 ESET 銀行和付款防護?
暫停或停用家用產品中的銀行和付款防護
ESET 銀行和付款防護—常見錯誤
執行受保護的瀏覽必須使用 HTTPS 加密通訊。下列瀏覽器支援銀行付款防護:
Internet Explorer 8.0.0.0
Microsoft Edge 83.0.0.0
Google Chrome 64.0.0.0
Firefox 24.0.0.0
在偏好的 Web 瀏覽器中開啟銀行付款防護
當您直接從產品功能表中的 [工具] 索引標籤開啟銀行付款防護時,其將在您於 Windows 中設為預設的
Web 瀏覽器中開啟。否則,當您開啟偏好的 Web 瀏覽器 (不是從產品功能表中) 時,受保護網站清單中
的網站將重新導向到受 ESET 保護的相同類型 Web 瀏覽器。
殭屍網路防護
「殭屍網路防護」能透過分析其網路通訊協定而發現惡意軟體。 與最近幾年未變更的網路通訊協定不同,
殭屍網路惡意軟體經常在變更。 此項新技術協助 ESET 打敗嘗試躲避偵測以及嘗試將您的電腦連結至殭屍
網路的惡意軟體。
14
DNA 偵測
偵測類型的範圍從非常具體的雜湊到 ESET DNA 偵測,ˊ這些是惡意行為和惡意軟體特性的複雜定義。儘
管攻擊者可以輕鬆地修改或混淆惡意程式碼,但物件的行為無法輕易變更,而 ESET DNA 偵測正是運用此
原則。
我們會對程式碼進行深入分析,並提取對其行為負責的「基因」且建構 ESET DNA 偵測,用於評估潛在可
疑程式碼,無論其存在於磁碟還是執行中程序記憶體中。DNA 偵測可識別特定的已知惡意軟體樣本、已知
惡意軟體系列的新變種,甚至是以前未見過或未知的惡意軟體,只要其含有表示惡意行為的基因。
ESET LiveGrid®
ESET LiveGrid® (以先進的 ESET ThreatSense.Net 進階預早警告系統為基礎) 會應用全球各地 ESET 使用者提交、
並傳送到 ESET 研究實驗室的資料。 透過全球提供可疑樣本和中繼資料的方式,ESET LiveGrid® 可讓我們立
即回應客戶需求,並讓 ESET 隨時掌握最新威脅情報。
ESET 惡意軟體研究人員會使用這些資訊來建立全球威脅性質與範圍的精確快照,有利於我們鎖定正確的目
。ESET LiveGrid® 資料是我們設定自動處理優先順序時的重要關鍵。
此外還能建立聲譽系統,協助改善反惡意軟體解決方案的整體效能。使用者可以直接從程式的介面或關聯
式功能表中檢查執行中的處理程序和檔案的聲譽,以及 ESET LiveGrid® 提供的其他資訊。當使用者系統檢
查出可執行檔或壓縮檔時,其雜湊標籤會先與白名單與黑名單項目的資料庫進行比對。若可在白名單中找
到該檔案,則被檢查的檔案會判定為乾淨無毒,並且標記排除在日後掃描的清單內。如果是在黑名單中找
到該檔案,則系統會根據威脅的性質採取適當的行動。如果都沒有找到該檔案,則將對該檔案徹底掃描。
系統會根據這次掃描的結果,將檔案歸類為威脅或非威脅。這種方法對於掃描效能有顯著的正面影響。這
個聲譽系統能有效的偵測惡意軟體樣本,甚至在其簽章透過更新的病毒資料庫進入使用者電腦之前就偵測
出來 (這種情況一天可能發生好幾次)。
除了 ESET LiveGrid® 聲譽系統以外,ESET LiveGrid® 意見系統會收集與新偵測到之威脅相關的電腦資訊。此資
訊可能包括出現威脅的檔案範例或副本、檔案路徑、檔案名稱、日期與時間、威脅出現在電腦上的程序,
以及電腦作業系統的相關資訊。
ESET LiveGrid® 伺服器
我們的 ESET LiveGrid® 伺服器位於布拉提斯拉瓦、維也納和聖地牙哥;然而,這些只是會回應來自用
戶端要求的伺服器。提交的樣本會在斯洛伐克的布拉提斯拉瓦進行處理。
啟用或停用 ESET 產品中的 ESET LiveGrid®
如需更多 ESET 產品中 ESET LiveGrid® 啟用或停用方法的圖解詳細指示,請參閱 ESET 知識庫文章
惡意探索封鎖程式
惡意探索封鎖程式旨在強化常見的漏洞利用應用程式類型,例如 Web 瀏覽器、PDF 閱讀器、電子郵件用戶
端和 Microsoft Office 元件,以及防止 ROP 攻擊。預設情況下,在所有 ESET Windows 家用產品、適用於
Windows Server ESET 產品以及適用於 Windows ESET Endpoint 產品中,啟用漏洞利用阻止程式。
其運作方式是監控可能是惡意探索之可疑活動的程序行為。
當惡意探索封鎖程式發現可疑程序時,就會立即停止該程序並記錄且將威脅的資料傳送到 ESET LiveGrid®
雲端系統。這份資料將由 ESET 研究實驗室處理,並用來更好地保護所有使用者免受未知威脅和零時差攻擊
(新發佈且無任何預先配置補救的惡意軟體)。
15
Java 惡意探索封鎖程式
「Java 惡意探索封鎖程式」是現有惡意探索封鎖程式技術的延伸。其監視 Java 並且尋找類似利用的行為。
可以報告封鎖的範例給惡意軟體分析師,以便他們建立簽章,進而在不同的層級 (URL 封鎖、檔案下載等)
封鎖惡意軟體。
ESET LiveSense
ESET 使用許多作為 ESET LiveSense 協同運作的唯一、專屬、分層防護技術。下圖顯示了 ESET 的一些核心技
術,並大致指示了它們可以在系統生命週期內偵測並最終封鎖威脅的時間和位置。
機器學習
ESET 從 1990 年起便已著手處理機器學習演算法來偵測和封鎖威脅。核心網路則在 1998 年新增至 ESET
產品偵測引擎中。
機器學習包含 DNA 偵測,其使用以機器學習為基礎的模型來有效進行 (無論是否有雲端連線)。進行傳入
範例的初始排序和分類,以及將其置於虛構「網路安全性地圖」時,機器學習演算法也很重要。
ESET 已開發自己的內部機器學習引擎。該引擎運用核心網路 (例如,深度學習和長期記憶體) 與精選分類
演算法群組 (內含六個演算法) 的合併功效,使其能夠產生整合輸出,並有助於將傳入範例正確地標示為
清除、可能不需要或惡意。
16
ESET 機器學習引擎已經過微調,可與其他防護技術 (例如 DNA、沙箱和記憶體分析) 以及行為式功能的擷
取協作,以提供最佳偵測率和最低的可能誤判數。
ESET 產品進階設定中的掃描器配置
ESET Windows 家用產品 (從 13.1 版起)
ESET Windows 端點產品 (從 7.2 版起)
網路攻擊防護
「網路攻擊防護」是防火牆的延伸,可以強化偵測網路層級已知弱點的漏洞。透過就 SMB、RPC RDP
普遍應用的通訊協定中存在的常見漏洞實作偵測功能,這項功能形成另一層重要保護,以便對抗到處都在
但修補程式尚未發佈或部署的惡意軟體、網路主導攻擊和弱點利用。
勒索軟體保護
「勒索軟體保護」是以行為作為基礎的偵測技術,其會監視嘗試以勒索軟體/Filecoder 常見的方式修改檔
案之應用程式和處理程序的行為。若應用程式的行為被視為帶有惡意,或是聲譽式掃描顯示其為可疑應用
程式,則應用程式會遭到封鎖且處理程序會停止,或者系統將詢問使用者要封鎖或允許該項目。
ESET LiveGrid® 必須啟用,以確保「勒索軟體保護」可正常運作。請參閱我們的 ESET 知識庫文章
以確保 ESET LiveGrid® 已啟用,並在您的 ESET 產品中運作。
指令碼型攻擊防護
「指令碼型攻擊防護」包含了可應付網頁瀏覽器中 JavaScript 攻擊的防護,以及可應付 PowerShell 中腳本
攻擊的「反惡意軟體掃描介面」(AMSI) 防護。
HIPS
必須啟用 HIPS 讓此功能得以正常運作。
指令碼型攻擊防護支援下列網頁瀏覽器:
Mozilla Firefox
Google Chrome
Internet Explorer
Microsoft Edge
使用支援的網頁瀏覽器
由於瀏覽器的檔案簽章經常變更,支援的網頁瀏覽器最低版本可能會有所不同,但一律支援網頁瀏
覽器的最新版本。
安全的瀏覽器
安全的瀏覽器是一層額外的保護,專為保護您線上瀏覽時的機密資料 (例如,線上交易中的金融資料) 而
設。
17
ESET Endpoint Security 8 及更新版本包含內建的預先定義網站清單,觸發時將開啟受保護瀏覽器。您可在產
品配置中新增網站或編輯網站清單。在安裝後,預設會停用安全的瀏覽器。
如需關於此功能的詳細資訊,請閱讀以下 ESET 知識庫文章:
執行受保護的瀏覽必須使用 HTTPS 加密通訊。如需使用安全的瀏覽器,您的 Web 瀏覽器應符合下列最低
需求:
Internet Explorer 8.0.0.0
Microsoft Edge 83.0.0.0
Google Chrome 64.0.0.0
Firefox 24.0.0.0
僅支援搭載 ARM 處理器裝置上的 Firefox Microsoft Edge。
在偏好的 Web 瀏覽器中開啟 ESET 安全的瀏覽器
當您直接從產品功能表中的 [工具] 索引標籤開啟 ESET 安全的瀏覽器時,ESET 安全的瀏覽器將在您設為預
設的 Web 瀏覽器中開啟。否則,當您開啟偏好的 Web 瀏覽器 (不是從產品功能表中) 時,ESET 內部清單將
重新導向到受 ESET 保護的相同類型 Web 瀏覽器。
UEFI 掃描器
「統一可延伸韌體介面 (UEFI) 掃描器」是「主機入侵預防系統」(HIPS) 的一部分,可防護您電腦上的 UEFI
。UEFI 韌體是一種會在開機程序開始時載入至記憶體中的韌體。程式碼位於焊接在主機板上的快閃記憶
體晶片上。藉由感染它,攻擊者可以部署躲得過系統重新安裝和重新開機的惡意軟體。惡意軟體也可以輕
鬆維持不被察覺的狀態,因為多數反惡意軟體解決方案不會掃描這層。
「UEFI 掃描器」會自動啟用。您也可以從主要程式視窗手動啟動電腦掃描,方法是依序按下 [電腦掃描] >
[進階掃描] > [自訂掃描] 並選取 [開機磁區/UEFI] 目標。
若您的電腦已遭 UEFI 惡意軟體感染,請閱讀以下 ESET 知識庫文章:
我的電腦遭到 UEFI 惡意軟體感染,我該怎麼辦?
Canary 檔案
Canary 檔案是放置在實際文件中的虛假電腦文件,用於協助早期偵測未經授權的資料存取、複製或修改。
鎖死
鎖死是每個電腦程序等待資源指派到另一個程序的狀況。在這種情況下,不會執行任何程序,因為所需的
資源由另一個程序持有,該程序也在等待另一個資源進行釋放。在鎖死發生之前防止鎖死是很重要的。資
源排程器可以偵測到鎖死的發生,這有助於作業系統追踨指派到不同程序的所有資源。如果同時具有以下
四個條件,就會發生鎖死:
無先佔式動作 – 資源只能由持有它的程序在完成其工作後自願釋放。
/