HKCert
保安博錄

香港保安觀察報告 (2014年第二季度)

發布日期: 31 / 07 / 2014
最後更新: 05 / 08 / 2014

本中心很高興為你帶來2014年第二季度的「香港保安觀察報告」

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦


報告概要

 

本報告是2014年第二季季度報告。

  

有關香港的唯一的網絡攻擊數據共有16,589個。數據是經IFAS1 系統由19個來源2收集得來。它們並非來自HKCERT 所收到的事故報告。

圖1 –安全事件趨勢3

 

本季度安全事件的總數比上季有所增加,持續了由2013年第三季開始的升勢。

 

 

 

與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 

圖2 –與伺服器有關的安全事件的趨勢和分佈3

  

有關伺服器的安全事件的數量在2014年第二季中度增加。

  

 

惡意程式寄存的數量在本季度下降了18%,網頁塗改攻擊和釣魚網站攻擊的數量則分別上升了54%和25%。

 

 

本季的報告新增了網頁塗改、釣魚網站和惡意程式寄存安全事件唯一網址/IP比的報告。與伺服器有關的安全事件數量以唯一網址來計算,這種計算方法並不能反映被入侵伺服器的數字,因為一台伺服器可以提供數以百計,甚至千計的唯一網址。例如在本季,其中一宗大型網頁塗改事件,其中一個IP地址便提供了635個唯一網址。新增的唯一網址/IP比可以反映大型網頁塗改事件的數量,唯一網址/IP比越高代表越多大型網頁塗改事件。

 

 從Zone-H的數據 (圖3)顯示,本季大約三分一的網頁塗改事件是被透過已知漏洞攻擊。這些漏洞可以透過安裝安全更新來移除。系統和應用程式管理員應在安全漏洞被利用前安裝最新的安全更新。

 

除此之外,有百分之十一的事件是透過社交工程 被攻擊。社交工程是透過欺詐誘使他人提供機密信息或做出某些行為。要避免跌入網絡罪犯的陷阱,網絡使用者必需提高信息安全意識。伺服器管理員,網站擁有者及其他相關人仕應該接受足夠的信息安全訓練。處理敏感資料或關鍵業務的伺服器應部署更多保護措施,例如職責分離,以減低個別員工造成的影響。

 

圖3 – 主要攻擊向量

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

圖4 –殭屍網絡控制中心(C&C)安全事件的趨勢

 

殭屍網絡控制中心的數字連續四個季度都有減少。

本季有2 個殭屍網絡控制中心的報告。其中一個被確定為Zeus的殭屍網絡控制中心,另外一個是IRC殭屍網絡控制中心。

 

 

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 圖5 -殭屍電腦安全事件的趨勢

 

殭屍電腦安全事件在本季度有所減少。

 

 

在2014年第二季,香港的殭屍電腦感染的數字上升了2%。十大殭屍網絡當中,七個的感染數目都出現下跌或保持平穩。

 

本季Conficker仍然是本港最大的殭屍網絡,一個研究 指出Conficker的感染數字持續高企是由於有一定數量的公司仍使用受Conficker威脅的Windows XP。這反映香港網絡內Windows XP的數字仍然高企。

 

十大殭屍網絡當中,Zeus的感染數字錄得最高增長 – 增加了58%或927宗事件。Zeus感染數字的增長是由於一個取締行動,令很多受害電腦的IP地址被發現。本年六月,美國執法者與其他國家的執法者及一些網絡安全公司採取了一個名為”Operation Tovar”的聯合行動。行動截取了殭屍電腦與犯罪份子伺服器之間的通訊,並把通訊重新導向到美國政府控制的sinkhole 。聯邦調查局辨認受害電腦的IP地址後,把相關信息提供給世界各地的電腦保安事故協調中心,其中包括本中心HKCERT。本中心已與有關機構合作處理受感染電腦。

 

四月下旬,IFAS首次錄得Palevo殭屍網絡的事件。該殭屍網絡迅速擴張,到五月已成為本港第四大的殭屍網絡,並持續至六月。Palevo是一種透過即時通訊,點對點網絡及外置硬碟傳播的蠕蟲。它會在受害電腦開啟後門並竊取受害人的敏感資料。要防止Palevo繼續擴張,遇到可疑的連結及文件時不應打開。 

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 停止使用盜版的Windows系統,多媒體檔案及軟件

 

自2013年6月,本中心一直有跟進接收到的保安事件,並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中,針對的是幾個主要的殭屍網絡家族,包括Pushdo, Citadel及ZeroAccess。


本中心促請市民大眾參與殭屍網絡清除行動,確保自己的電腦沒有被惡意程式感染及控制。為己為人,請保持網絡世界潔淨。
 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 -資料來源

 

 3 數字曾被調整以排除未被確定的網頁塗改事件