HKCert
保安博錄

香港保安觀察報告 (2018年第一季度)

發布日期: 18 / 04 / 2018
最後更新: 18 / 04 / 2018

本中心很高興為你帶來2018年第一季度的「香港保安觀察報告」

 

現今有很多「隱形」殭屍電腦, 在使用者還不知道的情況下,被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露,而電腦則被利用進行各種的犯罪活動。

 

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」,以便公眾可以做更好資訊保安的決策。

 

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據,包括網頁塗改,釣魚網站,惡意程式寄存,殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義,是處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

 


報告概要

 

本報告是2018年第一季季度報告。

 

在 2018 年第一季,有關香港的唯一的網絡攻擊數據共有 7,855 個。數據經IFAS1 系統由19個來源2收集。它們並不是來自 HKCERT 所收到的事故報告。

 

 

圖1 – 安全事件趨勢

 

2018 年第一季度的安全事件總數比上一個季度上升了1.5% 或120 宗,惡意程式寄存及網頁塗改事件下降,但殭屍網絡事件的升幅彌補了這相差。即使安全事件數量輕微上升,於過去半年其趨勢仍然保持穩定。

 

 

 


與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 

 圖2 –與伺服器有關的安全事件的趨勢和分佈

 

本季度有關伺服器的安全事件的數量由3,043 宗減少至2,107 宗(跌幅為31%)。雖然總數減少,但釣魚網站事件的數字實際上增加了41%。如果與2017 年所有季度相比,事件數量呈下降趨勢,特別是網頁塗改事件數量明顯下降。

 

惡意程式寄存事件的唯一網址/IP 比率由上一個季度的16 下降至14,其唯一網址宗數由1,270 宗大幅下降至649 宗或49%,而唯一IP 宗數則由77 宗減至47 宗或39%。與2017 年所有季度比較,可以見到唯一IP 宗數由第一季度的369 宗減至第二季度的97 宗,並繼續下降至第四季度的77 宗及2018 年一季度的47 宗。這意味著被用作寄存惡意程式的伺服器數目減少。

 

 

 HKCERT促請系統和應用程式管理員保護好伺服器

  • 為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用
  • 更新網站應用程式和插件至最新版本
  • 按照最佳實務守則來管理使用者帳戶和密碼
  • 必須核實客戶在網上應用程式的輸入,及系統的輸出
  • 在管理控制界面使用強認證,例如:雙重認證
  • 不要把不必要的服務暴露在互聯網

 

 


殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類:

  • 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦,向殭屍電腦發送指令。受影響的主要是伺服器。
  • 殭屍電腦安全事件 — 涉及到大量的電腦,它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

 

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

 

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

 

殭屍網絡控制中心的數字在本季維持2 個不變,均是IRC 殭屍網絡控制中心。

 

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

 

圖4 - 殭屍電腦安全事件的趨勢

 

2018 年第一季度香港網絡上的殭屍網絡(殭屍電腦)宗數上升了23%,Mirai 殭屍網絡數量比上一個季度上升了275%,貢獻了殭屍網絡總數的上升,並因此成為了香港網絡上主要的殭屍網絡家族排名首位。另一方面,WannaCry 家族數量比上一個季度下降了25%,並因此於排名上成為第二。要注意的是,Virut 家族數量比上一個季度上升了6120%,其唯一IP 位址數量從2017 年第四季度的5 宗上升至2018 年第一季度的311 宗。

 

Mirai 殭屍網絡於2016 年末開始活躍。於2017 第一季度,全球資訊保安機構對此開始清理。事件數量由第一季度的2,493 宗大幅下降至第二季度的746 宗,並於第三及第四季度持續穩定下降。這表示Mirai 殭屍網絡呈現下降趨勢。不過我們注意到在2017 年末,Mirai 殭屍網絡宗數有所增加。我們定期觀察有關Mirai 殭屍網絡的變種或最近的攻擊報告,但未能確認數量上升與其有關。香港電腦保安事故協調中心會繼續監察有關趨勢及清理工作。

 

WannaCry 勒索軟件在2017 年5 月爆發。WannaCry-bot 是受WannaCry 勒索軟件感染,而加密機制未被激活的電腦。於2017 年,香港電腦保安事故協調中心處理1,210 宗WannaCry-bot 個案,試圖清理這些中了惡意程式的電腦。

 

Virut 殭屍網絡在2006 年開始活躍,直至2013 年,其運作受到波蘭組織Naukowa i Akademicka Sie Komputerowa 干擾。根據資訊安全研究指出3,這次重臨與最近的提供「Avzhan DDoS 殭屍」行動有關。研究人員發現被用作發動攻擊的伺服器被Virut 感染,從而被附在Avzhan 上並感染目標。(本報告的第 17 頁)。

 

 

 HKCERT促請使用者保護好電腦,免淪為殭屍網絡的一部分。

  • 安裝最新修補程式及更新
  • 安裝及使用有效的保安防護工具,並定期掃描
  • 設定強密碼以防止密碼容易被破解
  • 不要使用盜版的 Windows 系統,多媒體檔案及軟件
  • 不要使用沒有安全更新的 Windows 系統及軟件

 

自2013年6月,本中心一直有跟進接收到的保安事件,並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中,針對的是幾個主要的殭屍網絡家族,包括WannaCry, Avalanche, XCode Ghost, Pushdo, Citadel, Mumblehard, Ramnit, ZeroAccess 及 GameOver Zeus。

 

本中心促請市民大眾參與殭屍網絡清除行動,確保自己的電腦沒有被惡意程式感染及控制。

 

為己為人,請保持網絡世界潔淨。

 

 

 使用者可HKCERT提供的指引,偵測及清理殭屍網絡

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >

 


1 Information Feed Analysis System (IFAS) 是HKCERT 建立的系統,用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

 

2 參照附錄1 - 資料來源

 

3 https://blog.malwarebytes.com/threat-analysis/2018/03/blast-from-the-past-stowaway-virut-delivered-with-chinese-ddos-bot/