HKCert
保安博錄

香港保安觀察報告 (2017年第一季度)

發布日期: 28 / 04 / 2017
最後更新: 28 / 04 / 2017

本中心很高興為你帶來2017年第一季度的「香港保安觀察報告」

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

 


報告概要

 

本報告是2017年第一季季度報告。

 

在2017年第一季,有關香港的唯一的網絡攻擊數據共有15,365個。數據經IFAS1 系統由19個來源2收集。它們並不是來自HKCERT 所收到的事故報告。

 

 

圖1 – 安全事件趨勢

  

 

本季度安全事件增加 12% 或 1,684 宗,加幅主要來自與殭屍電腦事件。

 

 

 


與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 圖2 –與伺服器有關的安全事件的趨勢和分佈

  

有關伺服器的安全事件的數量在 2017 第一季度減少了 6%。釣魚網站事件及惡意程式 寄存事件分別下降了 5% 及 59%,但是網頁塗改事件幾乎倍增。
2761 宗 (62%) 的網頁塗改事件來自同一個 IP 地址,當中絕大部份域名會重新導向用 戶至一個網上賭博網站。

 

根據 Zone-H 的數據,該伺服器曾被超過 20 個攻擊者以 10 個以上的攻擊手法入侵,這 反映該伺服器的維護狀態十分糟糕。攻擊者使用的手法大多是普遍使用的手法,例如「已知漏洞」、「SQL 注入」及「暴力破解」。

 

「已知漏洞」是指已被發現而且被修補的漏洞。這類漏洞只要安裝修補程式便可輕易移除,可是,它仍然最普偏存在的伺服器漏洞之一。HKCERT 極強調安裝修補程式的重要性,這是防止入侵最有效的方法之一。

 

 「SQL 注入」是另一常見漏洞,攻擊者嘗試在網站內不同的輸入位置注入 SQL 命令以圖控制數據庫。要避免伺服器被 SQL 注入攻擊,網站管理員應確保所有用戶輸入先經過過濾或正確處理,才輸入至數據庫。

 

「暴力破解」攻擊指以窮舉搜尋方法破解密碼或密碼匙。雖然在該網頁塗改事件報告中沒有指出攻擊目標,但我們在一個系統漏洞報告中發現該伺服器的遠端桌面 (RDP) 暴 露在互聯網。攻擊者很可能利用暴力破解攻擊破解使用者賬戶,以登入伺服器。要避免 暴力破解攻擊,所有用戶必須使用較強密碼,尤其是有管理員權限的用戶。另外,如非 必要,不要把遠端桌面及其他服務暴露至互聯網。

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出
  • 在管理控制界面使用強認證,例如:雙重認證
  • 不要把不必要的服務暴露在互聯網

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

 

殭屍網絡控制中心的數字在本季有所增加。

  

本季有 4 個殭屍網絡控制中心的報告,屬 IRC 殭屍網絡控制中心。

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 

圖4 - 殭屍電腦安全事件的趨勢

 

 

殭屍電腦安全事件在本季大幅上升 48%,當中 Conficker 事件的增幅最大,達 118.5%。 另外 Murofet 殭屍網絡首次在香港出現。

   

Conficker 事件的數字在三月初忽然暴升,該數字在之後兩星期一直處於高水平,然後 才開始回落。執筆之時,該數字已回復至前季的水平。我們還未發現到數字暴升之原 因,我們會一直密切監察 Conficker 事件的數字。

 

Murofet 是 Zeus 惡意程式的一個變種,在 2010 年中首次被發現。它是一個下載器, 在感染電腦後,會從一個隨機產生的域名安裝其他惡意程式。跟 Conficker 類似,它 亦會使用動態域名產生算法 (DGA) 技術以避免被搗破。

 

DGA 是一種每天產生大量域名的算法。惡意程式會嘗試解析產生出來的域名以聯絡控 制中心,但當中只有數個域名能夠解析到控制中心的真正 IP 地址。要截斷惡意程式跟 控制中心的聯繫,執法者必須每天登記大量域名,此舉極費時失事,因此基本上,透過 奪取域名以關閉殭屍網絡控制中心是不可能的。
Murofet 透過漏洞攻擊包及被感染的檔案傳播。

  

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 不要使用盜版的 Windows 系統,多媒體檔案及軟件
  • 不要使用沒有安全更新的 Windows 系統及軟件

 

自2013年6月,本中心一直有跟進接收到的保安事件,並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中,針對的是幾個主要的殭屍網絡家族,包括Avalanche, XCode Ghost, Pushdo, Citadel, Mumblehard, Ramnit, ZeroAccess 及 GameOver Zeus。

 

本中心促請市民大眾參與殭屍網絡清除行動,確保自己的電腦沒有被惡意程式感染及控制。

 

為己為人,請保持網絡世界潔淨。

 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 - 資料來源