跳至主內容

殭屍網絡偵測及清理

 

 

1. 引言

 

殭屍網絡為現今其中一種主要的網絡安全威脅。無論是電腦、手提電話、網絡攝影機等智能裝置都有機會受感染,成為殭屍網絡的一部份,然後被黑客遙距控制,參與非法活動,發動精密及具破壞力的攻擊,造成更廣泛的資訊洩漏及嚴重的服務癱瘓,招致龐大損失。

 

HKCERT一直留意殭屍網絡的發展,作出不同跟進行動應對攻擊,並及時發布保安建議給用戶修補漏洞和提升意識。

 


2. 什麼是殭屍網絡?

 

殭屍網絡「botnet」這辭彙,「bot」是「robot」的簡稱,加上「net」即是「機械人連結成的網絡」;而控制他人電腦的黑客被稱為「bot herder」。

 

裝置受惡意程式感染,被安裝「殭屍電腦程式」後會成為「殭屍電腦」,繼而受 bot herder 控制,透過指揮伺服器(簡稱 C&C 或 C2 伺服器),向殭屍電腦發出指令進行工作。殭屍網絡一般由數百部,甚至百萬部裝置組成,這些裝置包括 PC、Mac、Linux 伺服器、家用路由器、智能手機等。

 

這些被操控的裝置結合起來,所組成的資源的威力,可發動具破壞力及精密的攻擊,例如發送以億計的垃圾電郵、巨大頻寬的分散式阻斷服務攻擊(DDoS)及針對性的財務詐騙。

 

殭屍網絡如何運作(圖片由 Tom-b 創作:http://commons.wikimedia.org/wiki/File:Botnet.svg)

 


3. 一般清理步驟

 

假如你的裝置感染殭屍電腦程式,可根據以下步驟清理,其適用於受常見殭屍電腦程式感染的視窗系統。關於其他清理工具,可參考本網站的「保安工具」(按此)。關於個別殭屍網絡及其他平台的清理方法,可參考下一部份

 

  1. 連結到此網址 https://docs.microsoft.com/zh-hk/windows/security/threat-protection/intelligence/safety-scanner-download,根據你電腦執行的是32 位元或64 位元版本的Windows ,下載適合的「Microsoft 安全掃描程式」。

 

  1. 執行 msert.exe。假如你接受授權合約,需要勾選「接受上述授權合約中所有的條款」接受授權合約,並按「下一步」繼續。

 

  1. 選擇 「下一步」初始掃描。

 

  1. 選擇「完整掃描」,然後按「下一步」開始掃描。

 

  1. 掃描會進行一段時間。視乎你的電腦檔案數目,整個過程可能需要數小時,請確保充足電源以免掃描被中斷。

 

  1. 如果你的電腦未受到任何惡意程式感染,會顯示「未偵測到疾病毒、間諜軟體和其他潛在的垃圾軟體」。

 

  1. 如果你的電腦受殭屍網絡程式感染,掃描器會偵測並移除惡意程式。

 


4. 在香港活躍的殭屍網絡偵測及清理

 

殭屍網絡首次清理行動偵測及清理參考
Vpnfilter2018-05惡意軟件「VPNFilter」影響全球網絡設備
Necurs2018-05請參考上方「3.一般清理步驟」
Mirai2017-08Mirai 惡意軟件的清理及偵測
Avalanche2016-02全球聯合行動關閉「雪崩」網絡犯罪寄存平台 港人亦受影響
Ramnit2015-06Ramnit 殭屍網絡在香港的偵測及清理
GameOver Zeus2014-06GameOver Zeus 殭屍網絡在香港的偵測及清理
ZeroAccess2013-08ZeroAccess 殭屍網絡在香港的偵測及清理
Pushdo2013-08Pushdo 殭屍網絡在香港的偵測及清理
Citadel2013-06如何偵測和刪除Citadel惡意軟件

 


附錄 A:HKCERT 跟進「殭屍網絡」的行動
 

為應對殭屍網絡在香港的發展,過去數年 HKCERT 作出以下跟進行動:

 

  1. 停止 C2 伺服器運作:與執法機構合作收集證據,及要求位於香港的 C2 伺服器停止運作。
  2. 收集殭屍電腦資料:與資訊保安研究人員、CERT 組織、資訊保安服務供應商及軟件供應商合作,收集連接到殭屍網絡的香港 IP 地址資料。HKCERT 亦主動定期透過開放源碼情報(OSINT)及自主開發的Information Feed Analysis System (IFAS) 收集相關資料。
  3. 通知裝置持有人: 與 ISP合作,向他們提供殭屍電腦位置的相關資料,從而通知受影響的裝置持有人。
  4. 提高公眾對殭屍網絡的意識及清理指引:HKCERT 發佈關於殭屍網絡的文章,藉以提高公眾對殭屍網絡的意識及關注,並提供指引如何偵測及清理受殭屍電腦程式感染的裝置。