HKCert
保安博錄

香港保安觀察報告 (2014年第四季度)

發布日期: 19 / 01 / 2015
最後更新: 20 / 01 / 2015

本中心很高興為你帶來2014年第四季度的「香港保安觀察報告」

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

 


報告概要

 

本報告是2014年第四季季度報告。

   

有關香港的唯一的網絡攻擊數據共有12,437個。數據經IFAS 系統由19個來源 收集。它們並不是來自HKCERT 所收到的事故報告。

 

 

圖1 – 安全事件趨勢3

 

本季度安全事件的總數大幅減少,這是2013年第三季以來的首次下跌。

 

 

 


與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 

圖2 –與伺服器有關的安全事件的趨勢和分佈4

 

有關伺服器的安全事件的數量在2014年第四季顯著減少了47%。

 

網頁塗改攻擊、釣魚網站攻擊和惡意程式寄存的數量分別下降了44%、38%和54%。

  

儘管整體釣魚網站攻擊的數量下降了,以.tk為頂網域名的釣魚網站卻大幅增加。相關事件的數字增加了272%,達到160宗,當中大部份都是針對淘寶網或支付寶。

  

.tk 原本是一個新西蘭屬地托克勞的頂級域名,但由於該域名免費提供給公眾及小型企業使用,實際上世界各地的人都在使用。此域名因經常被濫用在垃圾郵件及釣魚網站而惡名昭彰,根據國際反網絡釣魚工作組(APWG)的一份報告 ,在2013年下半年的惡意域名登記當中,22%使用.tk域名。互聯網用戶要加倍留神有關域名。

  

另外,另一個被濫用的頂級域名 .pw 的情況亦有顯著增加。使用.pw的惡意程式寄存事件增加了110倍,至331宗。

 

.pw 在1997年分配給太平洋島國帛琉作為頂級域名,但後來該頂級域名被重新分配。跟 .tk相似,現在該域名可供公眾人仕使用,稱為”the Professional Web”。 .pw 因經常被濫用作發放垃圾郵件 而聲名狼藉,但我們發現濫用該域名作惡意程式寄存的事件有增加趨勢。

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出
  • 在管理控制界面使用強認證,例如﹕雙重認證
  • 獲取信息安全知識以防止社交工程

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

 

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

 

殭屍網絡控制中心的數字在本季有所減少。

 

本季有3 個殭屍網絡控制中心的報告。其中一個被確定為Zeus的殭屍網絡控制中心,另外兩個是IRC殭屍網絡控制中心。

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 

圖4 - 殭屍電腦安全事件的趨勢5

 

殭屍電腦安全事件在本季度有所減少。

 

在2014年第四季,香港的殭屍電腦感染的數字輕微減少了2.8%。十大殭屍網絡當中,七個的感染數目都出現下跌,可是另外三個的感染數目出現大幅上升。

 

三大殭屍網絡Conficker, Zeus 及ZeroAccess的下跌趨勢持續。ZeroAccess事件的數字首次跌至一千宗以下,符合預期。

 

另一方面,Virut, Pushdo及Bankpatch殭屍網絡的數字本季顯著增加。Pushdo一直以來都是其中一個世上最大的殭屍網絡。它曾經是本港第四大的殭屍網絡,惟它的數字在本年度大幅下降,在上季降至有記錄以來最低。可是,研究人員 在九月尾發現一個Pushdo的新版本。雖然他們並未在新版本中發現新的功能或改善,但該版本可能是一個可供改進的框架。這反映惡意程式創作者正重新投入精力,這或能解釋Pushdo事件的大幅增加。

 

Virut 會發送垃圾郵件,發動DDoS攻擊及進行詐騙和竊取資料。Pushdo則會發送垃圾郵件,發動DDoS攻擊及下載其他針對銀行的惡意程式。Bankpatch 則會監察特定銀行網頁並竊取用戶密碼、信用卡資料及其他敏感財務數據。

 

自2013年6月,本中心一直有跟進接收到的保安事件,並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中,針對的是幾個主要的殭屍網絡家族,包括Pushdo, Citadel, ZeroAccess及GameOver Zeus。

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 不要使用盜版的Windows系統,多媒體檔案及軟件
  • 不要使用沒有安全更新的Windows系統及軟件

 

本中心促請市民大眾參與殭屍網絡清除行動,確保自己的電腦沒有被惡意程式感染及控制。

 

為己為人,請保持網絡世界潔淨。

 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 - 資料來源

 

3 數字曾被調整以排除未被確定的網頁塗改事件

 

4 數字曾被調整以排除未被確定的網頁塗改事件

 

5 由於Zeus殭屍網絡的數字有更新,2013年第四季度殭屍網絡(殭屍電腦)安全事件的數字有所調整