HKCert
保安博錄

香港保安觀察報告 (2016年第二季度)

發布日期: 29 / 07 / 2016
最後更新: 01 / 08 / 2016

本中心很高興為你帶來2016年第二季度的「香港保安觀察報告」

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

 


報告概要

 

本報告是2016年第二季季度報告。

 

在2016年第二季,有關香港的唯一的網絡攻擊數據共有20,988個。數據經IFAS1 系統由19個來源2收集。它們並不是來自HKCERT 所收到的事故報告。

 

 

圖1 – 安全事件趨勢3

 

 

本季度安全事件大幅減少40%或14,112宗,減少主要來自與伺服器有關的事件。

 

 

 


與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 

圖2 –與伺服器有關的安全事件的趨勢和分佈4

 

有關伺服器的安全事件的數量在2016年第二季從31,269宗下降至17,291宗(45%)。

 

本季,網頁塗改事件及釣魚網站事件分別增加108%及189%;惡意程式寄存事件則大幅下跌82%。惡意程式寄存事件由上季異常高企的數字下降至正常水平,有關的URL/IP比由32.71下降至9.31。

 

另一方面,釣魚網站事件多達破紀錄的10,110宗,URL/IP比由8.66升至23.62。此高企之數字主要來自數個被入侵的網站及一個免費域名註冊商。

本季大份釣魚事件來自被入侵的伺服器。最嚴重的個案來自hitsem.com,共5,142宗(50.9%)事件來自該域名。我們曾在2015年第四季的香港保案觀察報告提及該域名,當季有1085宗事件來自該域名。相關釣魚目標主要為一間巴西公司 aircompanybalonismo.com.br。此事件反映受害者應及時處理保安事故,否則事故造成的損害或會持續擴大。執筆之時,使用該域名的網站已停用。


第二大釣魚事件來源是一間韓國網上商店FREEMURA的數個域名,它們合共寄存了1296個釣魚事件。這些域名包括lovemura.net, muralove.net, luxmura.com, lovemura.com, muralove.com, luxmura.net 及freemura1.kr,它們都解析至同一IP地址。這些釣魚事件的主要目標是Google賬戶。

 

第三大釣魚事件來源是usa.cc堿名。它是一個免費域名註冊商,可讓用戶登記免費的副域名。一直以來,網絡罪犯都濫用免費域名註冊商及動態DNS供應商來產生釣魚網址,他們會利用跟真實域名非常相似的域名以引誘受害者點擊釣魚網站的連結。免費域名註冊商讓他們可以以低成本註冊新域名。
本季有993個利用usa.cc的釣魚網站事件,當中大部份針對日本遊戲網站hiroba.dqx.jp。我們曾在2015年第二季的香港保安觀察報告提及此域名,它是該季釣魚網站的主要目標。
 

HKCERT一直強調更新的重要。保持系統更新能有效防止者利用已知漏洞的攻擊。

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出
  • 在管理控制界面使用強認證,例如﹕雙重認證
  • 獲取信息安全知識以防止社交工程

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

 

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

 

殭屍網絡控制中心的數字在本季有所增加。

 

本季有7 個殭屍網絡控制中心的報告,當中六個是IRC殭屍網絡控制中心,其餘一個是HTTP殭屍網絡控制中心。

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 

圖4 - 殭屍電腦安全事件的趨勢

 

 

殭屍電腦安全事件的數字在本季輕微減少。上季第八大殭屍網絡Bedep於本季爬升至第三位。 可是,它的數量在四月達至高峰,並隨後大幅減少至5月的139宗及六月的69宗。

 

 

上季我們曾報告Bedep相信與Angler Exploit Kit有很強的關連,Bedep數量的下降可能與Angle Exploit Kit的消失有關。六月初,俄羅斯警方逮捕了Lurk銀行木馬程式背後的組織,研究人員發現該組織同時與Angler Exploit Kit有關。自從該次拘捕行動,Angler Exploit Kit的活動便從網絡上消失至今。

 

儘管Bedep殭屍網絡可能被拘捕行動影響,網絡罪犯一定會尋找其他途徑繼續散播。HKCERT會繼續密切監察該殭屍網絡。

 

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 不要使用盜版的Windows系統,多媒體檔案及軟件
  • 不要使用沒有安全更新的Windows系統及軟件

 

自2013年6月,本中心一直有跟進接收到的保安事件,並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中,針對的是幾個主要的殭屍網絡家族,包括Pushdo, Citadel, ZeroAccess, GameOver Zeus及Ramnit。

 

本中心促請市民大眾參與殭屍網絡清除行動,確保自己的電腦沒有被惡意程式感染及控制。

 

為己為人,請保持網絡世界潔淨。

 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 - 資料來源