香港保安觀察報告 (2021年第二季度)

發佈日期: 2021年09月30日 810 觀看次數

本中心很高興為你帶來2021年第二季度的「香港保安觀察報告」。

現今，有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等)，在用戶不知情下被入侵，令儲存在這些設備內的數據，每天要面對被盜取和洩漏，及可能被用於進行不同形式的犯罪活動的風險。

《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知，從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心(C&C) 或殭屍電腦等]的香港系統，其定義為處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的系統。

報告概要

2021年第二季度，涉及香港的單一網絡保安事件共有 7,191 個。數據是從IFAS¹ 系統收集所得，而並不是來自 HKCERT 所接獲的事故報告。

安全事件趨勢: 2021 Q2 有7191 個安全事件, 2021 Q1 有5017 個安全事件, 2020 Q4 有5074 個安全事件, 2020 Q3 有6753 個安全事件, 2020 Q2有 13365 個安全事件

圖1 – 安全事件趨勢

2021 年第二季度共有7,191 宗網絡保安事件，較2021 年第一季度的5,017宗，上升43%（圖1）。除殭屍網絡控制中心(C&C)事件維持在零宗外，其餘保安事件均錄得34% 至61%的增幅。事件數目雖然只及上年度同一季度的一半左右，但仍打破了連續4季的降勢（表1）。

與伺服器有關的安全事件

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

與伺服器有關的安全事件的趨勢和分佈

圖2 –與伺服器有關的安全事件的趨勢和分佈

事件類別	2020 Q2	2020 Q3	2020 Q4	2021 Q1	2021 Q2
網頁塗改	1,062	571	305	295	476
釣魚網站	2,017	552	395	495	665
惡意程式寄存	4,334	934	2	0	8

表1 –與伺服器有關的安全事件的趨勢和分佈

本季度與伺服器有關的保安事件總數為1,149宗，較2021年第一季度的790宗，上升45% （圖2）。如表2 所示，釣魚網站數量增加34%，從2021 年第一季度的495個上升至本季度的665個，涉及釣魚網站的單一IP 數目增加~64%，有226個（圖8），接近2020年第二季的水平，但單一網址/IP 比率則下跌18%，由3.59回落至2.94，表示每個肇事的伺服器平均載有3個釣魚網站（圖9）。這些釣魚網站當中，有238個是偽冒某大型網上商店或雲端服務供應商(例子：hxxps://www[.]amazon[.]co-jp-aizmnoanm[.]xyz/, hxxp://amazon[.]storecool[.]cn)；亦有近97個是透過濫用免費的動態域名系统，再在域名中加入目標機構或知名社交網絡及即時通訊軟件的名稱而建立的(例子：hxxps://dmbugmlbb[.]duckdns[.]org/login/facebook, hxxp://grup-whatsapp186[.]duckdns[.]org/)，相信是黑客製作了一個虛假的群聊邀請鏈接，以誘騙受害者提供敏感信息。

在頭10位的頂層域名當中，最多採用的是”.com”域名，佔31% （圖3）。第二位是”.cn”域名，由2021年第一季度的8%增加至本季度的23%。第三至第五位分別是”.org”，”.top”及”.xyz”。部份釣魚網站雖未有使用知名的頂層域名，但會利用域名嵌入的方法去誘騙粗心大意的受害人，例如：hxxps://ticxosw[.]cn/www[.]amazon[.]co[.]jp/

釣魚網站最常使用的域名

圖3: 釣魚網站最常使用的域名

與上一季度相比，網頁塗改事件上升了61%，由2021年第一季度的295宗增至2021年第二季度的476宗，所涉及的單一IP 地址的數量增加11%，由215個增至239個（圖6）。而本季的單一網址/IP 比率則上升45%，由1.37升至1.99（圖7），即平均每個被入侵的伺服器當中有2個網頁塗改事件發生。

在受感染的伺服器中，Nginx開源平台是最多被黑客攻擊的網絡伺服器類型（圖4），雖然版本未明，但相信都是使用舊版本，因為大部份都是因未修補的保安漏洞而遭惡意入侵，而Nginx最近期的兩個保安漏洞是本年6月發佈的CVE-2017-20005及CVE-2021-23017，分別影響1.13.6之前及0.6.18 – 1.20.0 版本。置身異處的攻擊者可利用這些漏洞觸發遠端執行程式碼，這種入侵手法亦大致與其他網頁伺服器相同，共172宗網頁塗改事件是透過此漏洞入侵，黑客會通過自動化工具主動掃描未有修補保安漏洞的系統，並利用發現的漏洞進行攻擊。這顯示未修補保安漏洞的系統的保安風險在面對互聯網的伺服器當中特別高。用戶應制定詳細的保安更新管理政策，涵蓋由系統清單及支援期限，定期的漏洞監測或掃瞄，以至保安更新測試及安裝部署。

文件包含是第二最多採用的攻擊手法，它是一個常見的開發人員錯誤，起因是未有檢查所有輸入的資料而讓黑客在其控制的路徑上執行代碼。其他入侵方法包括SQL Injection和暴力攻擊法。解決方法包括檢查所有用戶的輸入資料及採用多重身份認證。除使用過時軟件外，共有21伺服器是運行已中止支援的IIS 6.0 及7.5版本。HKCERT呼籲用戶應儘快把作業系統更新或遷移至其他獲支援的版本。

網頁塗改保安事件中，受影響伺服器的作業系統分佈

圖4: 網頁塗改保安事件中，受影響伺服器的作業系統分佈

至於惡意程式寄存，在 2021 年第一季度未觀察到相關事件後，第二季度共有 8 宗，涉及 4 個 IP 地址（圖 10）。單一的 URL/IP 比率為 2（圖 11）。

	HKCERT促請系統和應用程式管理員加強保護伺服器
	避免黑客入侵已知漏洞，為伺服器、網站應用程式和插件安裝最新修補程式及更新按照最佳實務守則來管理使用者帳戶和密碼，例如﹕雙重認證，更改所有應用程序的預設密碼必須核實客戶在網上應用程式的輸入，及系統的輸出使用網上應用程防火牆定期進行滲透測試和漏洞掃描定期進行備份

殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類：

殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令，受影響的主要是伺服器。
殭屍電腦安全事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心(C&C) 的指令，受影響的主要是個人電腦。

殭屍網絡控制中心安全事件

本季度沒有錄得任何殭屍網絡控制中心(C&C)事件。

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

彊屍網絡控制中心(彊屍電腦)安全事件趨勢: 2021 Q2 有6042個安全事件, 2021 Q1 有4227個安全事件, 2020 Q4 有4372個安全事件, 2020 Q3 有4696個安全事件, 2020 Q2 有5952個安全事件

圖5 - 殭屍電腦安全事件的趨勢

對比上一個季度，殭屍網絡（殭屍電腦）事件在本季度增加42%，由4,227宗升至6,042宗（圖5）。雖然Mirai數量持續減少，從2021 年第一季度的2,264宗跌至本季度的1,713宗，下跌了24.3%，但它仍然在香港網絡內的主要殭屍網絡中名列第一位。第二及第三位分別是Avalanche（1,702宗）及Nymaim （1,392宗），兩者均錄得最大的升幅，分別為266.8%和559.7%（表3）。

Nymaim是一種具有不同變種的高風險木馬程式。它原先設計為惡意軟件下載器，主要針對 Windows 平台。其最嚴重的影響是網絡犯罪分子可以利用它來傳播勒索軟件，這是近年來最具破壞性的網絡攻擊類型之一。HKCERT 多年來已發出不同的警告，提醒用戶相關的保安風險和預防措施，最近更分析了網絡犯罪分子的多重勒索方法，詳情可瀏覽 https://www.hkcert.org/tc/blog/ransomware-keep-evolving-multiple-extortion 了解更多資料。

	HKCERT促請使用者保護好電腦，免淪為殭屍網絡的一部分。
	安裝最新修補程式及更新安裝及使用有效的保安防護工具，並定期掃描設定強密碼以防止密碼容易被破解不要使用盜版的 Windows 系統,多媒體檔案及軟件不要使用沒有安全更新的 Windows 系統及軟件

自 2013 年 6 月，本中心一直跟進接獲的保安事故，並主動接觸本地互聯網供應商以清除殭屍網絡。清除殭屍網絡的行動仍在進行，針對幾個主要的殭屍網絡家族，包括 Avalanche, Pushdo, Citadel, Ramnit, ZeroAccess, GameOver Zeus, VPNFilter 及 Mirai。

HKCERT呼籲一般用戶加入清除殭屍網絡行動，確保個人電腦並沒有被惡意程式控制或受感染，保護個人資料以提高互聯網的安全性。