HKCert
HKCERT logo 香港電腦保安事故協調中心

HKCERT logo 香港電腦保安事故協調中心

保安博錄

香港保安觀察報告 (2020年第一季度)

發布日期: 19 / 05 / 2020
最後更新: 19 / 05 / 2020

本中心很高興為你帶來2020年第一季度的「香港保安觀察報告」

 

現今,有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等),在用戶不知情下被入侵,令儲存在這些設備內的數據,每天要面對被盜取和洩漏,及可能被用於進行不同形式的犯罪活動的風險。

 

《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知,從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心(C&C) 或殭屍電腦等]的香港系統,其定義為處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的系統。

 


關於2019年第4季度報告的更正通知

  

本中心於2019年第4季度的初版報告中,漏報某些殭屍網絡(殭屍電腦)的數字,令殭屍網絡(殭屍電腦)的安全事件總數和主要殭屍網絡數量列表不正確。本中心已就此作出更正,並已將更正後的報告上載至網站內。 

而本報告中所使用的2019年第四季度數字,屬更正後的版本。

 


報告概要

 

2020年第一季度,有關香港的唯一網絡攻擊數據共有 14,433 個。數據是從IFAS1 系統的 10 個來源2收集所得,而並不是來自 HKCERT 所接獲的事故報告。

 

 

圖1 – 安全事件趨勢

 

在2020年第一季度,安全事件的總數從2019年第四季度的9,911宗增至本季度的14,433宗,增幅為45.6%。事件上升的主要原因是惡意程式寄存事件的數量激增3.5倍,達5,445宗。此外釣魚網站事件亦增加超過一半。而網頁塗改和殭屍網絡事件的數量變化不大。

 

 

 


與伺服器有關的安全事件

 

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

圖2 –與伺服器有關的安全事件的趨勢和分佈

 

事件類別2019 Q12019 Q22019 Q32019 Q42020 Q1
網頁塗改3185321,120591572
釣魚網站2891,306849257399
惡意程式寄存72,20148,89217,2731,1855,445

表1 –與伺服器有關的安全事件的趨勢和分佈

 

圖2的數據顯示,惡意程式寄存事件自上年度持續回落後,本年度再呈升勢。當中,涉及惡意程式寄存 IP 地址的數量更躍升了二十倍,從2019年第四季度的63個增加至本季度的1,330個(圖9)。發現最多宗數的日子是2020年2月9日,共錄得961宗事件,佔總數的17.6%。此外使用".top"頂級域名寄存惡意程式的網址亦有明顯增加,佔總數的7.4%,而相關數量於2019年第三和第四季度分別只佔0.5%和3.4%。
 
對比上季度,網頁塗改事件輕微下降了19宗到572宗;同時涉及網頁塗改的 IP地址亦下降近三分之一。根據Zone-H的數據顯示,除了最常見的已知系統漏洞外,其他的入侵手法如檔案包含漏洞和SQL注入皆有上升的趨勢,增幅分別為3.22%及6.41%。除定期進行系統更新外,HKCERT還建議網站管理員和開發人員應要留意網站應用程式的保安漏洞及遵守安全編碼指引,並於網站啟用前和之後定期進行安全風險評估,詳情可參考開放式Web應用程式安全項目(OWASP)。
 
本季度釣魚網站的網址IP比率只有2.87(圖8),比去年低;涉及釣魚網站的IP數目亦比上季度多1.5倍。儘管自二月初,攻擊者利用2019冠狀病毒病( COVID-19 )名義的網絡攻擊持續增加,但在HKCERT收集的數據中,並未發現有相關的釣魚網站於香港網絡內;而網絡釣魚事件針對的目標仍是以Apple iCloud及金融機構為主。

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出
  • 在管理控制界面使用強認證,例如:雙重認證
  • 不要把不必要的服務暴露在互聯網

 

 


殭屍網絡相關的安全事件

 

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令,受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令,受影響的主要是個人電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

 

今季未有接獲殭屍網絡控制中心的事件報告。

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 

圖4 - 殭屍電腦安全事件的趨勢

 

殭屍網絡(殭屍電腦)事件在本季度微增1.76%,或139宗。當中Necurs的增長幅度最大,躍升逾16倍;而Ramnit的增加數量最多,錄得775個事件。雖然Avalanche於本季度稍為減少了40%,至790宗;但仍較2019年頭三季度的數量多兩倍以上。另外,WannaCry數量自2018年第二季持續下降,但本季度回升28.2%。由於WannaCry勒索軟件早已停止運作,且不會再感染新設備,因此是次上升或與過往已受感染的設備再次連網有關。
 

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 不要使用盜版的 Windows 系統,多媒體檔案及軟件
  • 不要使用沒有安全更新的 Windows 系統及軟件

 

自 2013 年 6 月,本中心一直跟進接獲的保安事故,並主動接觸本地互聯網供應商以清除殭屍網絡。清除殭屍網絡的行動仍在進行,針對幾個主要的殭屍網絡家族,包括 Avalanche,  Pushdo, Citadel, Ramnit, ZeroAccess, GameOver Zeus, VPNFilter 及 Mirai。
 
HKCERT呼籲一般用戶加入清除殭屍網絡行動,確保個人電腦並沒有被惡意程式控制或受感染,保護個人資料以提高互聯網的安全性。
 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 - 資料來源

 

3 Microsoft Adds Automatic Phishing Detection to Microsoft Forms