HKCert
保安博錄

香港保安觀察報告 (2015年第三季度)

發布日期: 26 / 10 / 2015
最後更新: 26 / 10 / 2015

本中心很高興為你帶來2015年第三季度的「香港保安觀察報告」

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

 


報告概要

 

本報告是2015年第三季季度報告。

 

在2015年第三季,有關香港的唯一的網絡攻擊數據共有17,299個。數據經IFAS1 系統由19個來源2收集。它們並不是來自HKCERT 所收到的事故報告。

 

 

圖1 – 安全事件趨勢3

 

 

 

本季度安全事件下跌21%或4,488宗,惟該數字仍遠高於兩季前。

 

 

 


與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 

圖2 –與伺服器有關的安全事件的趨勢和分佈4

 

 

有關伺服器的安全事件的數量在2015年第三季從16,338宗大幅減少至11,352宗(31%),減幅主要由於釣魚網站事件數量大減。但同時惡意程式寄存事件增加23%,令與伺服器有關的安全事件數量仍遠高於2014年第四季及2015年第一季。
我們在2015年第二季的報告指出,高達41%的惡意程式寄存事件與Ramnit殭屍網絡有關。本季該趨勢持續,惡意程式寄存事件中數量最多的兩隻惡意程式皆能用作散播Ramnit。其中HTML/Drop.Agent.AB是一隻木馬程式,它能下載其他惡意程式到被感染的電腦,相關安全事件數字雖然比上季下降了22%,但仍佔所有惡意程式事件的28%。另一隻相關惡意程式為VBS_RAMNIT.SMC,它是一隻Visual Basic腳本病毒。它能感染HTML,JavaScript 等檔案。被感染的檔案會再安裝其他惡意程式,其安全事件數字佔總數16%。兩隻惡意程式佔所有惡意程式寄存事件的44%。
除了Ramnit相關的惡意程式外,第三大惡意程式HTML_DOWN.A亦佔不少數量,與之有關的事件有1239宗,佔整體15%。此惡意程式來自一個叫PTDark3的惡意程式散播運動。當用戶到訪受應染網站時,網站的惡意代碼會嘗試利用可用於用戶電腦的漏洞,以下載其他惡意程式感染受害電腦。大部份寄存該惡意程式的伺服器是被入侵的正當網站。

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出
  • 在管理控制界面使用強認證,例如﹕雙重認證
  • 獲取信息安全知識以防止社交工程

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

 

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

  

殭屍網絡控制中心的數字在本季有所下降。

  

本季有3 個殭屍網絡控制中心的報告。皆是IRC殭屍網絡控制中心。

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 

圖4 - 殭屍電腦安全事件的趨勢

 

殭屍電腦安全事件在本季輕微上升。十大殭屍網絡中,六個錄得雙位數百份比的跌幅。惟同時本季出現兩個新殭屍網絡,Bamital及Nymaim,前者是本季第二大殭屍網絡。

 

Bamital

 

本季Bamital首次進入十大殭屍網絡。它於九月初首次出現於香港網絡,其數量於九月下旬開始暴升。整季相關事件達1623宗,並成為本季第二大殭屍網絡。
Bamital是一隻點擊詐騙惡意程式。當用戶點擊從正當搜尋引擎獲得的結果時,Bamital會重新引導他們至可能惡意的網站。網絡罪犯亦可以重新引導受害人至網上廣告,以獲取利潤。
在2013年二月,微軟及賽門鐵克聯手取締Batmital殭屍網絡的基礎設施,查封了相關的網頁伺服器。行動後,他們並沒有馬上關閉該殭屍網絡,相反,他們重新導向受害人至一個警告網頁,內有Batmital惡意程式的資訊及清除感染的方法。此舉可望清除大部份受害人的感染。
Bamital透過路過式下載及P2P網絡散播。

 

Nymaim

 

Nymaim是一隻勒索軟件。它會鎖定受害電腦,並會顯示一個鎖定畫面,要求受害人付款以解鎖。
Nymaim透過惡意網站及垃圾郵件散播。

 

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 不要使用盜版的Windows系統,多媒體檔案及軟件
  • 不要使用沒有安全更新的Windows系統及軟件

 

自2013年6月,本中心一直有跟進接收到的保安事件,並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中,針對的是幾個主要的殭屍網絡家族,包括Pushdo, Citadel, ZeroAccess及GameOver Zeus。

 

本中心促請市民大眾參與殭屍網絡清除行動,確保自己的電腦沒有被惡意程式感染及控制。

 

為己為人,請保持網絡世界潔淨。

 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 - 資料來源

 

3 數字曾被調整以排除未被確定的網頁塗改事件

 

4 數字曾被調整以排除未被確定的網頁塗改事件