殭屍網絡偵測及清理
1. 引言
殭屍網絡為現今其中一種主要的網絡安全威脅。無論是電腦、手提電話、網絡攝影機等智能裝置都有機會受感染,成為殭屍網絡的一部份,然後被黑客遙距控制,參與非法活動,發動精密及具破壞力的攻擊,造成更廣泛的資訊洩漏及嚴重的服務癱瘓,招致龐大損失。
HKCERT一直留意殭屍網絡的發展,作出不同跟進行動應對攻擊,並及時發布保安建議給用戶修補漏洞和提升意識。
2. 什麼是殭屍網絡?
殭屍網絡「botnet」這辭彙,「bot」是「robot」的簡稱,加上「net」即是「機械人連結成的網絡」;而控制他人電腦的黑客被稱為「bot herder」。
裝置受惡意程式感染,被安裝「殭屍電腦程式」後會成為「殭屍電腦」,繼而受 bot herder 控制,透過指揮伺服器(簡稱 C&C 或 C2 伺服器),向殭屍電腦發出指令進行工作。殭屍網絡一般由數百部,甚至百萬部裝置組成,這些裝置包括 PC、Mac、Linux 伺服器、家用路由器、智能手機等。
這些被操控的裝置結合起來,所組成的資源的威力,可發動具破壞力及精密的攻擊,例如發送以億計的垃圾電郵、巨大頻寬的分散式阻斷服務攻擊(DDoS)及針對性的財務詐騙。
殭屍網絡如何運作(圖片由 Tom-b 創作:http://commons.wikimedia.org/wiki/File:Botnet.svg)
3. 一般清理步驟
假如你的裝置感染殭屍電腦程式,可根據以下步驟清理,其適用於受常見殭屍電腦程式感染的視窗系統。關於其他清理工具,可參考本網站的「保安工具」(按此)。關於個別殭屍網絡及其他平台的清理方法,可參考下一部份。
- 連結到此網址 https://docs.microsoft.com/zh-hk/windows/security/threat-protection/intelligence/safety-scanner-download,根據你電腦執行的是32 位元或64 位元版本的Windows ,下載適合的「Microsoft 安全掃描程式」。
- 執行 msert.exe。假如你接受授權合約,需要勾選「接受上述授權合約中所有的條款」接受授權合約,並按「下一步」繼續。
- 選擇 「下一步」初始掃描。
- 選擇「完整掃描」,然後按「下一步」開始掃描。
- 掃描會進行一段時間。視乎你的電腦檔案數目,整個過程可能需要數小時,請確保充足電源以免掃描被中斷。
- 如果你的電腦未受到任何惡意程式感染,會顯示「未偵測到疾病毒、間諜軟體和其他潛在的垃圾軟體」。
- 如果你的電腦受殭屍網絡程式感染,掃描器會偵測並移除惡意程式。
4. 在香港活躍的殭屍網絡偵測及清理
殭屍網絡 | 首次清理行動 | 偵測及清理參考 |
---|---|---|
911 S5 | 2024-10 | 影響全球近1900萬IP地址的大型殭屍網絡「911 S5」被搗破 |
Emotet | 2021-03 | 全球最危險殭屍網絡Emotet的末日終於來臨 |
QSnatch | 2021-03 | 清理及防範QSnatch惡意軟件 |
Vpnfilter | 2018-05 | 惡意軟件「VPNFilter」影響全球網絡設備 |
Necurs | 2018-05 | 請參考上方「3.一般清理步驟」 |
Mirai | 2017-08 | Mirai 惡意軟件的清理及偵測 |
Avalanche | 2016-02 | 全球聯合行動關閉「雪崩」網絡犯罪寄存平台 港人亦受影響 |
Ramnit | 2015-06 | Ramnit 殭屍網絡在香港的偵測及清理 |
GameOver Zeus | 2014-06 | GameOver Zeus 殭屍網絡在香港的偵測及清理 |
ZeroAccess | 2013-08 | ZeroAccess 殭屍網絡在香港的偵測及清理 |
Pushdo | 2013-08 | Pushdo 殭屍網絡在香港的偵測及清理 |
Citadel | 2013-06 | 如何偵測和刪除Citadel惡意軟件 |
附錄 A:HKCERT 跟進「殭屍網絡」的行動
為應對殭屍網絡在香港的發展,過去數年 HKCERT 作出以下跟進行動:
- 停止 C2 伺服器運作:與執法機構合作收集證據,及要求位於香港的 C2 伺服器停止運作。
- 收集殭屍電腦資料:與資訊保安研究人員、CERT 組織、資訊保安服務供應商及軟件供應商合作,收集連接到殭屍網絡的香港 IP 地址資料。HKCERT 亦主動定期透過開放源碼情報(OSINT)及自主開發的Information Feed Analysis System (IFAS) 收集相關資料。
- 通知裝置持有人: 與 ISP合作,向他們提供殭屍電腦位置的相關資料,從而通知受影響的裝置持有人。
- 提高公眾對殭屍網絡的意識及清理指引:HKCERT 發佈關於殭屍網絡的文章,藉以提高公眾對殭屍網絡的意識及關注,並提供指引如何偵測及清理受殭屍電腦程式感染的裝置。