HKCert
保安博錄

香港保安觀察報告 (2013年第四季度)

發布日期: 26 / 02 / 2014
最後更新: 11 / 03 / 2014

本中心很高興為你帶來第一份「香港安全觀察報告」,在正式推出後,我們未來將繼續在每季度發布此報告。

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦


報告概要

本報告是2013年第四季季度報告

 

在此期間共有12,536宗與香港有關的安全事件。數據是經IFAS1 系統由19個來源2收集得來。它們並非來自HKCERT 所收到的事故報告。

 

 

 

與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 圖1 –與伺服器有關的安全事件的趨勢和分佈

圖1 –與伺服器有關的安全事件的趨勢和分佈

 

有關伺服器的安全事件的數量,自2013年第三季開始下降,並在2013年第四季保持穩定。


惡意程式寄存安全事件的數量連續三個季度有下降趨勢。網頁塗改攻擊的數量在本季度與上季度相若,但相對於第一季的數量仍為略高。釣魚網站攻擊數量顯著在本季度增多,比較上季多出48%。釣魚網站攻擊數量顯著在本季度增多,比較上季多出48%。釣魚網站攻擊的數量在2013年11月和12月有明顯增多 (圖2),這很可能與年尾的節日,例如感恩節和聖誕節有關。當大量消費者在網上購買節日禮物時,網絡犯罪分子亦看準這個時機,設下大量的釣魚網站,以竊取消費者賬戶和憑證。

 

圖2 - 2013第四季度釣魚網站安全事件每月趨勢

 

圖2 - 2013第四季度釣魚網站安全事件每月趨勢

 

由HKCERT 以往處理有關伺服器的事故報告的經驗觀察到,大概50%有關伺服器的事故報告,都是由於管理員都沒有好好管理其伺服器或應用程式,讓網絡犯罪分子有機可乘,利用漏洞入侵,使系統或應用程式成為他們犯罪的平台。

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 圖3 –殭屍網絡控制中心(C&C)安全事件的趨勢

圖3 –殭屍網絡控制中心(C&C)安全事件的趨勢

 

殭屍網絡控制中心的數字連續三個季度都有減少。

本季有4 個殭屍網絡控制中心的報告。其中兩個被確定為Zeus的殭屍網絡控制中心,另外兩個是IRC殭屍網絡控制中心。

 

 

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

圖4 -殭屍電腦安全事件的趨勢

 圖4 -殭屍電腦安全事件的趨勢

 

殭屍電腦安全事件連續三個季度都有減少。

 

在2013年第四季,Conficker是香港最多的殭屍電腦,一共有3,175 部電腦被感染。此數字指在2013年第四季,感染Conficker的電腦在線最多的一天,一共有3,175部。Conficker自2008年被發現以來,感染率仍然很高。其中原因可能是用戶未有為系統安裝修補程式,或是在使用盜版的Windows系統以致無法更新修補程式,而且沒有安裝有效的保安防護工具。一些研究顯示,針對身份認證的攻擊是Conficker最常用的攻擊方法,其次是利用Window系統漏洞和自動運行(auto-run) 3。微軟安全研究報告(SIR)第12卷指出,透過破解管理員密碼入侵系統的共佔了54%至89%,透過的Window系統漏洞來入侵系統的只佔19%至43%,而透過自動運行來入侵系統的只佔1%- 11%。 Conficker具備了一個小字典,用來進行暴力攻擊以破解管理員密碼,然後進一步在網絡上傳播到其他的電腦。

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 在Windows系統停用自動運行功能4
  • 停止使用盜版的Windows系統,多媒體檔案及軟件
  • 注意Windows XP的支援將在2014年4月結束,須把操作系統更新/升級,保證繼續有安全更新的支援

 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 -資料來源

 

3 據微軟安全情報報告(SIR),第12卷,出版日期2011年12月,針對身份認證的攻擊佔54%至89%,透過的Window系統漏洞來入侵系統的只佔19%至43%,而透過自動運行來入侵系統的亦只佔1%- 11%。 (http://www.microsoft.com/security/sir/archive/default.aspx)

 

4 如何在 Windows 中更正「停用自動執行登錄機碼」增強功能, Microsoft, Knowledge Base http://support.microsoft.com/kb/967715/zh-tw