本中心很高興為你帶來2015年第二季度的「香港保安觀察報告」。

現今有很多「隱形」殭屍電腦， 在使用者還不知道的情況下，被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露，而電腦則被利用進行各種的犯罪活動。

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」，以便公眾可以做更好資訊保安的決策。

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據，包括網頁塗改，釣魚網站，惡意程式寄存，殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義，是處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

報告概要

本報告是2015年第二季季度報告。

在2015年第二季，有關香港的唯一的網絡攻擊數據共有21,787個。數據經IFAS¹ 系統由19個來源²收集。它們並不是來自HKCERT 所收到的事故報告。

圖1 – 安全事件趨勢³

本季度安全事件大幅增加99%或10,851宗，創了2013年第二季至今的新高。加幅主要來自與伺服器有關的安全事件。

與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

圖2 –與伺服器有關的安全事件的趨勢和分佈⁴

有關伺服器的安全事件的數量在2015年第二季從5,867宗大幅增加至16,338宗。有關伺服器的安全事件、釣魚網站事件及惡意程式寄存事件全部創新高。

本季網頁塗改攻擊的數量輕微上升了5%，惟釣魚網站攻擊及惡意程式寄存攻擊分別大幅增加168%及412%。

釣魚網站事件的大幅上升由幾個大型釣魚網站攻擊導致。本季最大的釣魚網站攻擊目標是一個日本遊戲網站hiroba.dqx.jp。該攻擊使用超過10個IP地址及超過3200個唯一網址，佔所有釣魚網站攻擊當中超過四成。第二及第三大的釣魚網站攻擊目標都是中國的網上商城，它們分別是淘寶網和秀正網，針對它們的唯一網址數量分別超過1600個及1200個。執筆之時，大部份上述釣魚網站已不能連接。

惡意程式寄存事件之中，大約41%或2828宗寄存了HTML/Drop.Agent.AB惡意程式。這隻惡意程式與Ramnit殭屍網絡有關。

 圖3-HTML/Drop.Agent.AB寄存安全事件趨勢

從圖3可見，HTML/Drop.Agent.AB事件由三月開始上升。在二月一個取締Ramnit殭屍網絡的行動發現及清除了大量Ramnit殭屍電腦，之後與Ramnit有關的惡意程式寄存事升突然增加，這可能反映該惡意程式背後的網絡罪犯正努力恢復殭屍網絡。下一節我們將作更詳盡地介紹。
 

殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類：

• 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令。受影響的主要是伺服器。
• 殭屍電腦安全事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

圖4 – 殭屍網絡控制中心(C&C)安全事件的趨勢

殭屍網絡控制中心的數字在本季保持不變。

本季有4 個殭屍網絡控制中心的報告。其中一個被確定為Zeus的殭屍網絡控制中心，另外三個是IRC殭屍網絡控制中心。

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

圖4 - 殭屍電腦安全事件的趨勢

殭屍電腦安全事件在本季輕微上升，終止了自2014年第三季的跌勢。

在2015年第二季，香港的殭屍電腦感染的數字增加了8%，當中Virut殭屍網絡大增87%，並取代Zeus成為香港第二大的殭屍網絡。

除Virut外，有三個殭屍網絡首次成為十大殭屍網絡之一，它們是Ramnit， Tinba及Dyre。

Ramnit

Ramnit是一隻全功能蠕蟲，它能偷取不同種類的敏感資料，包括網絡登入憑據，FTP登入憑據，瀏覽器cookies及檔案等。它能讓攻擊者存取受害電腦的檔案系統並操制該電腦。它亦能下載其他惡意程式。

Ramnit在2010年首次出現並訊速搌散。現在它己在全世界感染了超過三百二十萬部電腦。在二月二十五日，一些執法機構發起了一個聯合行動，由歐洲刑警組織領導並由包括賽門鐵克及微軟等業界伙伴協助，查封了操作Ramnit殭屍網絡的犯罪組織擁有的伺服器及其他設施。該行動發現大量受害者，令Ramnit一躍成為本季第六大殭屍網絡。

Ramnit透過感染檔案、網站和社交網絡上的漏洞攻擊包，公共FTP伺服器以及綑綁其他軟件散播。
 

Tinba

Tinba是一隻針對銀行的木馬程式，它能以瀏覽器中間人攻擊(MiTB)偷取銀行登入憑據。Tinba在2012年被首次發現。它初時針對土耳其用戶，後來再針對捷克。現在，它已能大範圍地針對世界各地不同的銀行。

Tinba利用一些有趣的反沙盤技巧來避過分析。首先，它透過檢查鼠標位置和現用視窗來偵測用戶的動作。如果Tinba是在沙盤上運行，鼠標位置和現用視窗永遠不會改變，Tinba便不會執行其主程式。另外，它亦會偵測電腦硬盤的大小，如果容量太少，該環境很可能是個沙盤，Tinba會自動關閉。

Tinba利用漏洞攻擊包和垃圾電郵散播。

Dyre

Dyre是一個針對銀行的木馬程式，它在2015年成功地偷取數以百萬計金錢。它在受害電腦上監察用戶瀏覽的網站。當受害者登入目標銀行的網站，Dyre會顯示一個假網頁，聲稱網站出現問題，要求用戶致電一個號碼。若用戶照指示致電，罪犯會利用社交工程技巧在電話中騙取受害者的重要資訊，然後他們便可利用這些資訊把受害者戶口的錢轉到海外戶口。令情況更差的是，罪犯往往會在成功轉移金錢後馬上對受害者發動分散式阻斷服務攻擊以轉移視線，令受害人無暇發現戶口損失。
像Tinba一樣，Dyre同樣利用反沙盤技巧。不同的是Dyre只使用了一個技巧 ─ 檢查系統的處理器核心數目。若受害電腦只擁有一顆核心，程式會馬上關閉。由於大部份沙盤只會模擬一顆核心，而現代大部份電腦都擁有多核心，這個技巧雖然簡單但卻非常有效。研究人員嘗試以八個沙盤去測試一個Dyre樣本，全部都不能成功分析Dyre惡意程式。
Dyre透過垃圾電郵散播。

自2013年6月，本中心一直有跟進接收到的保安事件，並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中，針對的是幾個主要的殭屍網絡家族，包括Pushdo, Citadel, ZeroAccess及GameOver Zeus。

本中心促請市民大眾參與殭屍網絡清除行動，確保自己的電腦沒有被惡意程式感染及控制。

為己為人，請保持網絡世界潔淨。

下載報告

< 請按此 下載香港保安觀察報告 >

¹ Information Feed Analysis System (IFAS) 是HKCERT 建立的系統，用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

² 參照附錄1 - 資料來源

³ 數字曾被調整以排除未被確定的網頁塗改事件

⁴ 數字曾被調整以排除未被確定的網頁塗改事件