本中心很高興為你帶來2018年第二季度的「香港保安觀察報告」。

現今有很多「隱形」殭屍電腦， 在使用者還不知道的情況下，被攻擊者入侵及控制。這些電腦上的數據可能每天都被盜取及暴露，而電腦則被利用進行各種的犯罪活動。

香港保安觀察報告旨在提高公眾對香港被入侵電腦狀況的「能見度」，以便公眾可以做更好資訊保安的決策。

報告提供在香港被發現曾經遭受或參與各類型網絡攻擊活動的電腦的數據，包括網頁塗改，釣魚網站，惡意程式寄存，殭屍網絡控制中心(C&C)或殭屍電腦等。香港的電腦的定義，是處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的電腦。

報告概要

本報告是2018年第二季季度報告。

在 2018 年第二季，有關香港的唯一的網絡攻擊數據共有 47,134 個。數據經IFAS¹ 系統由13個來源²收集。它們並不是來自 HKCERT 所收到的事故報告。

圖1 – 安全事件趨勢

2018 年第二季度的安全事件總數比上一個季度躍升了500% 或39,279 宗，主要是釣魚網站事件躍升了5,324%，接著為惡意程式寄存事件上升了572%。於2017 第二季度，安全事件總數為9,042 宗。於第三及第四季度持續穩定下降，而於2018 第一季度輕微上升。

與伺服器有關的安全事

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

 圖2 –與伺服器有關的安全事件的趨勢和分佈

釣魚網站事件的數量從第一季度的634 宗急劇增加到第二季度的34,391 宗或增加了5,324%。在這些事件中，每個事件都涉及一個唯一的網絡釣魚網址。安全事件中最常見的前2 個域名為ruiyuauto.com.cn（3,072 個唯一網址）和hitsem.com（9,641 個唯一網址）。在檢查4 月、5 月和6 月的數據後，發現5 月的數據顯著增加，特別是涉及域名hitsem.com 和ruiyuauto.com.cn，以及IP 地址27.111.199.166，並在6 月份顯著下降。在2015 年第四季度和2016 年第二季度，香港保安觀察報告已經報告了涉及域名hitsem.com 的釣魚網站事件。對於ruiyuauto.com.cn，該域名被中國摩托車零部件公司用於發布其網站，在VirusTotal 報告中已被歸類為「知名感染源」和「網絡釣魚及其他欺詐」

惡意程式寄存事件的數量也從第一季度的649 增加到第二季度的4,359 或增加了572%。在這些事件中，每個事件都涉及一個唯一的惡意程式網址。前2 個IP 分別為183.91.33.52和183.91.33.51。這兩個IP 均在AS4134（China Telecom Backbone）下註冊。

釣魚網站和惡意程式寄存事件數量的巨大增加導致兩個事件的唯一網址/IP 比率增加到非常高的值。有關釣魚網站事件，唯一網址/ IP 比率從7 倍增加到14 倍。除了釣魚網站事件的唯一網址數量增加之外，唯一釣魚網站IP 的數量從92 增加到2,242，或增加2,337%。可以看出，在2018 年第二季度，較多伺服器遭到網絡釣魚活動的破壞/濫用。

至於惡意程式寄存事件，唯一網址/IP 比率從14 上升到36。原因是惡意程式寄存網站的唯一IP 數量從47 增加到121，或增加到157％，但增長率與唯一網址的數量沒有可比性。可以看出，少數被破壞/濫用的伺服器為惡意程式寄存貢獻了大量的網址。

殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類：

• 殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令。受影響的主要是伺服器。
• 殭屍電腦安全事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心(C&C) 的指令。受影響的主要是家用電腦。

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

殭屍網絡控制中心的數字在本季增加至3 個，均是IRC 殭屍網絡控制中心。

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

圖4 - 殭屍電腦安全事件的趨勢

2018 年第二季度香港網絡上的殭屍網絡（殭屍電腦）宗數上升了27%，Mirai 殭屍網絡數量比上一個季度上升了46%，並繼續成為了香港網絡上主要的殭屍網絡家族排名首位。要注意的是，Ramnit 家族增加了374%，其唯一IP 位址數量從2018 年第一季度的19 宗上升至2018 年第二季度的90 宗。

Mirai 殭屍網絡於2016 年末開始活躍。於2017 第一季度，全球資訊保安機構對此開始清理。事件數量由第一季度的2,493 宗大幅下降至第二季度的746 宗，並於第三及第四季度持續穩定下降。這表示Mirai 殭屍網絡呈現下降趨勢。不過我們注意到在2017 年末，Mirai 殭屍網絡宗數有所增加。我們定期觀察有關Mirai 殭屍網絡的變種或最近的攻擊報告，但未能確認數量上升與其有關。香港電腦保安事故協調中心會繼續監察有關趨勢及清理工作。

於2018 年5 月，資訊保安研究小組Talos 發布了一份報告關於名為“VPNFilter”的潛在破壞性惡意程式，該惡意程式已在至少54 個國家/地區感染了至少500,000 個家庭路由器和網絡儲存設備（NAS）。香港電腦保安事故協調中心已獲得第一批受感染的IP 地址，然後通知相關網絡運營商。6 月初，進一步的資訊顯示，被“VPNFilter”感染的設備遠遠超過初始報告。從那時起，Shadowserver 就提供了“VPNFilter”感染數據。在2018 年第二季度，“VPNFilter”記錄了100 個事件或1.4% 的殭屍網絡事件。

香港電腦保安事故協調中心將建立定期操作，通知網絡運營商關於受VPNFilter 感染的IP 地址以及其他殭屍網絡清理活動。

自2013年6月，本中心一直有跟進接收到的保安事件，並主動接觸本地互聯網供應商以清除殭屍網絡。現在殭屍網絡的清除行動仍在進行中，針對的是幾個主要的殭屍網絡家族，包括WannaCry, Avalanche, XCode Ghost, Pushdo, Citadel, Mumblehard, Ramnit, ZeroAccess 及 GameOver Zeus。

本中心促請市民大眾參與殭屍網絡清除行動，確保自己的電腦沒有被惡意程式感染及控制。

為己為人，請保持網絡世界潔淨。

下載報告

< 請按此 下載香港保安觀察報告 >

¹ Information Feed Analysis System (IFAS) 是HKCERT 建立的系統，用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

² 參照附錄1 - 資料來源