香港保安觀察報告 (2020年第三季度)

發佈日期: 2020年12月07日 1404 觀看次數

本中心很高興為你帶來2020年第三季度的「香港保安觀察報告」。

現今，有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等)，在用戶不知情下被入侵，令儲存在這些設備內的數據，每天要面對被盜取和洩漏，及可能被用於進行不同形式的犯罪活動的風險。

《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知，從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心(C&C) 或殭屍電腦等]的香港系統，其定義為處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的系統。

報告概要

2020年第三季度，有關香港的唯一網絡攻擊數據共有 6,753 個。數據是從IFAS¹ 系統的 10 個來源²收集所得，而並不是來自 HKCERT 所接獲的事故報告。

安全事件趨勢: 2020 Q3 有6753 個安全事件, 2020 Q2有 13365 個安全事件, 2020 Q1 有14433 個安全事件, 2019 Q4 有9911 個安全事件, 2019 Q3 有26324 個安全事件

圖1 – 安全事件趨勢

在2020 年第三季度，網絡安全事件的總數從2020 年第二季度的13,365宗，減少接近一半至本季度的6,753 宗。不論是網頁塗改事件、釣魚網站事件、惡意程式寄存事件或是殭屍網絡事件都有顯著減少。

與伺服器有關的安全事件

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

圖2 –與伺服器有關的安全事件的趨勢和分佈

事件類別	2019 Q3	2019 Q4	2020 Q1	2020 Q2	2020 Q3
網頁塗改	1,120	591	572	1,062	571
釣魚網站	849	257	399	2,017	552
惡意程式寄存	17,273	1,185	5,445	4,334	934

表1 –與伺服器有關的安全事件的趨勢和分佈

如表2 所示，釣魚網站攻擊宗數減少了超過70%，從2020 年第二季度的2017 宗回落到本季度的552宗，涉及釣魚網站的唯一IP 數目亦較上季減少38%，共有145個（圖7），而唯一網址/IP 比率則減少了38%至3.81（圖8）。

與上一季度相比，網頁塗改攻擊的宗數減少了46%，錄得571 宗。網頁塗改攻擊所涉及的唯一IP 地址的數量也減少了32%，共有311 個（圖5）。而唯一網址/IP 比率亦減少了19%至1.84（圖6）。

雖然釣魚網站及網頁塗改事件的數目下降，但均只是回復至疫情前水平。整體來說，情況與本年初相比並沒有顯著改善。

本季度的惡意程式寄存事件的數量從上季的4,334宗大幅減少88% 到934宗，相關的唯一IP地址數量也下降了68%至157個（圖9）。唯一網址/IP比率亦從8.81減少到5.95（圖10）。從數據顯示，除了針對電腦的惡意程式，亦有一部份惡意程式是針對流動裝置的作業系統，例如手機及平板電腦等。用戶下載流動裝置應用程式時，必須小心驗證。HKCERT建議用戶，所有應用程式必須從官方程式商店中下載。

	HKCERT促請系統和應用程式管理員保護好伺服器
	為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用更新網站應用程式和插件至最新版本按照最佳實務守則來管理使用者帳戶和密碼必須核實客戶在網上應用程式的輸入,及系統的輸出在管理控制界面使用強認證,例如:雙重認證不要把不必要的服務暴露在互聯網

殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類：

殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令，受影響的主要是伺服器。
殭屍電腦安全事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心(C&C) 的指令，受影響的主要是個人電腦。

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

彊屍網絡控制中心(C&C)安全事件趨勢: 2020 Q3 有0 個安全事件, 2020 Q2 有0 個安全事件, 2020 Q1 有0個安全事件, 2019 Q4 有0個安全事件, 2019 Q3 有4個安全事件

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

本季度沒有殭屍網絡控制中心(C&C)的事件。

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

彊屍網絡控制中心(彊屍電腦)安全事件趨勢: 2020 Q3 有4696個安全事件, 2020 Q2 有5952個安全事件, 2020 Q1 有8017 個安全事件, 2019 Q4 有7878個安全事件, 2019 Q3 有7078個安全事件

圖4 - 殭屍電腦安全事件的趨勢

殭屍網絡（殭屍電腦）的事件在本季度減少了21%至4,696。大多數的殭屍網絡家族的數量均有所減少。大部份殭屍網絡家族排名維持不變，只有 Nymaim, Virut 及 Sality 的位置有所掉換。

儘管Mirai在本季度是跌幅最大的殭屍網絡家族，今季減少了28％至2,859，但它仍然是數量最多的殭屍網絡家族。升跌幅最大的殭屍網絡家族則是Nymaim，數量增加近一倍，共有166宗。

Nymaim 主要攻擊方式是下載及安裝其他惡意程式，較為常見的有勒索軟件、偷取資料的木馬程式及其他漏洞利用工具等。它主要透過釣魚電郵及網站，引誘用戶下載。HKCERT 提醒用戶不要打開及下載不明來歷的電郵附件或網上檔案。

	HKCERT促請使用者保護好電腦，免淪為殭屍網絡的一部分。
	安裝最新修補程式及更新安裝及使用有效的保安防護工具，並定期掃描設定強密碼以防止密碼容易被破解不要使用盜版的 Windows 系統,多媒體檔案及軟件不要使用沒有安全更新的 Windows 系統及軟件

自 2013 年 6 月，本中心一直跟進接獲的保安事故，並主動接觸本地互聯網供應商以清除殭屍網絡。清除殭屍網絡的行動仍在進行，針對幾個主要的殭屍網絡家族，包括 Avalanche, Pushdo, Citadel, Ramnit, ZeroAccess, GameOver Zeus, VPNFilter 及 Mirai。

HKCERT呼籲一般用戶加入清除殭屍網絡行動，確保個人電腦並沒有被惡意程式控制或受感染，保護個人資料以提高互聯網的安全性。