香港保安觀察報告 (2021年第三季度)

發佈日期: 2021年12月24日 806 觀看次數

本中心很高興為你帶來2021年第三季度的「香港保安觀察報告」。

現今，有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等)，在用戶不知情下被入侵，令儲存在這些設備內的數據，每天要面對被盜取和洩漏，及可能被用於進行不同形式的犯罪活動的風險。

《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知，從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心或殭屍電腦等]的香港系統，其定義為處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的系統。

報告概要

2021年第三季度，涉及香港的單一網絡保安事件共有 7,191 個。數據是從IFAS¹ 系統收集所得，而並不是來自 HKCERT 所接獲的事故報告。

安全事件趨勢: 2021 Q3 有4860 個安全事件, 2021 Q2 有7191 個安全事件, 2021 Q1 有5017 個安全事件, 2020 Q4 有5074 個安全事件, 2020 Q3 有6753 個安全事件

圖1 – 安全事件趨勢

2021 年第三季度共有4,860 宗網絡保安事件，較2021 年第二季度的7,191宗下跌32%（圖1）。當中，釣魚網站事件錄得49%的增幅。然而，殭屍網絡(殭屍電腦)和網頁塗改事件卻分別錄得43%及7%的跌幅。惡意程式寄存和殭屍網絡(控制中心)事件均為零宗 (表2)。

與伺服器有關的安全事件

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

與伺服器有關的安全事件的趨勢和分佈

圖2 –與伺服器有關的安全事件的趨勢和分佈

事件類別	2020 Q3	2020 Q4	2021 Q1	2021 Q2	2021 Q3
網頁塗改	571	305	295	476	445
釣魚網站	552	395	495	665	993
惡意程式寄存	934	2	0	8	0

表1 –與伺服器有關的安全事件的趨勢和分佈

本季度與伺服器有關的保安事件共有1,438宗，較2021年第二季度的1,149宗上升25% （圖2）。如表 2 所示，釣魚網站數量增加 49%至本季度的 993 個，涉及釣魚網站的唯一IP 數目增加 ~3%，有 232 個（圖 8），唯一網址/IP 比率則上升 46%至 4.28，表示每個肇事的伺服器平均載有 4 個釣魚網站（圖 9）。

在頭 10位的頂層域名當中，最多採用的是 ”.org”域名，佔 30% （圖 3）。幾乎所有 ”.org”域名是與一個免費的動態域名系統服務供應商有關，相信這批網站的目標都是移動裝置用戶，因裝置螢幕太小而相對地更易忽略可疑網址。 ”.com”域名緊隨其後，佔 29%，第三至第五位則分別是 ”.cn”（10%）、 ”.top”（6%）及 ”.bar”（5%）。一些比較少人用的域名亦榜上有名，包括 ”.shop”、 ”.cam” 、”.monster”及 ”.icu”等。部份釣魚網站雖未有使用知名的頂層域名，但會以域名嵌入方法誘騙粗心大意的受害人，例如：hxxps://viewsnet[.]jp[.]dygfpq[.]shop/

釣魚網站最常使用的域名

圖3: 釣魚網站最常使用的域名

與上一季度相比，網頁塗改事件下跌 7% 至 2021 年第三季度的 445 宗，所涉及的唯一 IP 地址的數量下跌 2% 至 235 個（圖 6）。而本季的唯一網址 / IP 比率亦下降 5% 至 1.89（圖 7），即每個被入侵的伺服器，平均就會發生兩宗網頁塗改事件。

在受感染的伺服器中，雖然涉及Nginx開源平台的事故宗數下跌了 42% 至2021年第三季的179宗，但仍然是最多被黑客攻擊的網絡伺服器類型。第二位的是Apache，共錄得159宗，較2021年第二季度上升218%。從這兩個平台中，最多使用的入侵方法是透過未修補的保安漏洞和文件包含，然而，本季亦發現配置/管理員的人為錯誤是另一個嚴重的問題。HKCERT 呼籲系統管理員必須保持一個良好的配置管理數據庫，以及檢討變更管理程序以減低人為錯誤的風險。其他受影響平台包括Microsoft IIS 5.0、6.0、7.5、8.5和10.0、Tengine及LiteSpeed。

網頁塗改保安事件中，受影響伺服器的作業系統分佈

圖4: 網頁塗改保安事件中，受影響伺服器的作業系統分佈

至於惡意程式寄存，在 2021年第三季度未觀察到相關事件。

	HKCERT促請系統和應用程式管理員加強保護伺服器
	避免黑客入侵已知漏洞，為伺服器、網站應用程式和插件安裝最新修補程式及更新按照最佳實務守則來管理使用者帳戶和密碼，例如﹕雙重認證，更改所有應用程序的預設密碼必須核實客戶在網上應用程式的輸入，及系統的輸出使用網上應用程防火牆定期進行滲透測試和漏洞掃描定期進行備份

殭屍網絡相關的安全事件

殭屍網絡相關的保安事件可以分為兩類：

殭屍網絡控制中心保安事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令，受影響的主要是伺服器。
殭屍電腦保安事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心的指令，受影響的主要是個人電腦。

殭屍網絡控制中心安全事件

本季度沒有錄得任何殭屍網絡控制中心事件。

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

彊屍網絡控制中心(彊屍電腦)安全事件趨勢: 2021 Q3 有3422個安全事件, 2021 Q2 有6042個安全事件, 2021 Q1 有4227個安全事件, 2020 Q4 有4372個安全事件, 2020 Q3 有4696個安全事件

圖5 - 殭屍電腦安全事件的趨勢

對比上一個季度，殭屍網絡（殭屍電腦）事件在本季度下跌 43%至 3,422 宗（圖 5）。雖然 Mirai 數量持續減少，從 2021 年第二季度的 1,713 宗跌至本季度的 1,542 宗，下跌了 10%，但它仍然在香港網絡內的主要殭屍網絡中名列第一位。第二及第三位分別是Avalanche（425 宗）及 Conﬁcker （309 宗），Avalanche 錄得 75% 的下跌，而 Conﬁcker 錄得2% 的上升。（表 3）。

本季度的五大主要殭屍網絡分別為 Mirai、Avalanche、Conficker、WannaCry和Virut。它們共估所有殭屍網絡（殭屍電腦）事件總數的79%。

	HKCERT促請使用者保護好電腦，免淪為殭屍網絡的一部分。
	安裝最新修補程式及更新安裝及使用有效的保安防護工具，並定期掃描設定強密碼以防止密碼容易被破解不要使用盜版的 Windows 系統,多媒體檔案及軟件不要使用沒有安全更新的 Windows 系統及軟件

自 2013 年 6 月，本中心一直跟進接獲的保安事故，並主動接觸本地互聯網供應商以清除殭屍網絡。清除殭屍網絡的行動仍在進行，針對幾個主要的殭屍網絡家族，包括 Avalanche, Pushdo, Citadel, Ramnit, ZeroAccess, GameOver Zeus, VPNFilter 及 Mirai。

HKCERT呼籲一般用戶加入清除殭屍網絡行動，確保個人電腦並沒有被惡意程式控制或受感染，保護個人資料以提高互聯網的安全性。