香港保安觀察報告 (2021年第一季度)

發佈日期: 2021年05月25日 1715 觀看次數

本中心很高興為你帶來2021年第一季度的「香港保安觀察報告」。

現今，有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等)，在用戶不知情下被入侵，令儲存在這些設備內的數據，每天要面對被盜取和洩漏，及可能被用於進行不同形式的犯罪活動的風險。

《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知，從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心(C&C) 或殭屍電腦等]的香港系統，其定義為處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的系統。

報告概要

2021年第一季度，有關香港的唯一網絡攻擊數據共有 5,017 個。數據是從IFAS¹ 系統的 10 個來源²收集所得，而並不是來自 HKCERT 所接獲的事故報告。

安全事件趨勢: 2021 Q1 有5017 個安全事件, 2020 Q4 有5074 個安全事件, 2020 Q3 有6753 個安全事件, 2020 Q2有 13365 個安全事件, 2020 Q1 有14433 個安全事件

圖1 – 安全事件趨勢

2021 年第一季度共有5,017 宗網絡保安事件，較2020 年第四季度的5,074宗，輕微減少1%（圖1）。本季除釣魚網站事件宗數比上季上升外，其他保安事件均比上一季少，更首次錄得零惡意程式寄存保安事件（表1）。

與伺服器有關的安全事件

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

與伺服器有關的安全事件的趨勢和分佈

圖2 –與伺服器有關的安全事件的趨勢和分佈

事件類別	2020 Q1	2020 Q2	2020 Q3	2020 Q4	2021 Q1
網頁塗改	572	1,062	571	305	295
釣魚網站	399	2,017	552	395	495
惡意程式寄存	5,445	4,334	934	2	0

表1 –與伺服器有關的安全事件的趨勢和分佈

如表1 所示，釣魚網站數量增加25%，從2020 年第四季度的395個增加至本季度的495個，涉及釣魚網站的唯一IP 數目卻減少7%，共有138個，與2020年第一季度相若；由於唯一IP 數目減少，所以最新一季度的唯一網址/IP 比率變為3.59，與2020年的2.65相比，上升35%。在這些釣魚網站當中，大部分一如既往偽冒金融機構及網上商店，亦有近30個網址是與加密貨幣有關。同時，使用 SSL 安全證書的釣魚網站比例亦由上季的56%增至本季的80%，比率持續增加，已成為釣魚網站的 ”新常態”手法。

另外，採用 “.com“ 域名的釣魚網站最多，共179個，第二位是 “.xyz“ ，共53個。方便易記的 “.xyz“ 域名於2014年推出，相信因為註冊成本較低，所以較受黑客青睞，而第三至第五位分別是 “.cn“、“.buzz“ 及 “.org“，使用 “.hk“ 域名的釣魚網站則只有1個。

釣魚網站最常使用的域名

圖3: 釣魚網站最常使用的域名

與上一季度相比，雖然網頁塗改保安事件輕微下落至295宗，但所涉及的唯一IP 地址的數量卻增加35%，達215個。而本季的唯一網址/IP 比率則為1.37，下跌29%。IP地址數量增加，反映本季有更多伺服器被入侵，入侵方式可能與軟件存有未被修補的漏洞有關。HKCERT於2021年第一季發佈多個涉及作業系統及內容管理系統的漏洞及處理方法，並建議伺服器管理員訂閱中心的保安公告 (https://www.hkcert.org/tc/getrss)，以獲取更快更新的保安資訊。

另外，從數據顯示，大部份受影響的伺服器均運行著開放源碼及免費的Linux系統，但仍有部份伺服器使用已不再獲支援的Windows 2003 及 Windows 2008版本。由於廠商不會為這些版本提供保安更新，伺服器將會更易遭受網絡攻擊，所以HKCERT呼籲用戶應儘快把作業系統更新或遷移至其他獲支援的版本。

網頁塗改保安事件中，受影響伺服器的作業系統分佈

圖4: 網頁塗改保安事件中，受影響伺服器的作業系統分佈

本季度沒有錄得惡意程式寄存事件。

	HKCERT促請系統和應用程式管理員保護好伺服器
	為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用更新網站應用程式和插件至最新版本按照最佳實務守則來管理使用者帳戶和密碼必須核實客戶在網上應用程式的輸入,及系統的輸出在管理控制界面使用強認證,例如:雙重認證不要把不必要的服務暴露在互聯網

殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類：

殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令，受影響的主要是伺服器。
殭屍電腦安全事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心(C&C) 的指令，受影響的主要是個人電腦。

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

本季度沒有殭屍網絡控制中心(C&C) 的事件。

彊屍網絡控制中心(C&C)安全事件趨勢:2021 Q1 有0 個安全事件, 2020 Q4 有0 個安全事件, 2020 Q3 有0 個安全事件, 2020 Q2 有0 個安全事件, 2020 Q1 有0個安全事件

圖5 – 殭屍網絡控制中心(C&C)安全事件的趨勢

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

彊屍網絡控制中心(彊屍電腦)安全事件趨勢: 2021 Q1 有4227個安全事件, 2020 Q4 有4372個安全事件, 2020 Q3 有4696個安全事件, 2020 Q2 有5952個安全事件, 2020 Q1 有8017 個安全事件

圖6 - 殭屍電腦安全事件的趨勢

對比上一個季度，殭屍網絡（殭屍電腦）的事件在本季度只輕微減少3%，由4,327宗降至4,227宗（圖6），變化不大。數量最多的Mirai持續減少，本季度下跌了19.2%，從2020 年第四季度的2,801宗跌至2,264宗，但仍然是香港網絡內的主要殭屍網絡的首位。而增幅最多的是Nymaim，Zeus 及Avalanche，分別增加276.8%，130%及43.2%，其中Avalanche更躍升至主要殭屍網絡的第二位。

大多數的殭屍網絡家族的數量均有所減少，而五大主要殭屍網絡家族分別是Mirai、Avalanche、WannaCry、Conficker及Nymaim，佔總數的84%（表3）。

Avalanche於 2009 年出現，受感染的裝置會接收伺服器指令進行犯罪活動（如寄出詐騙電郵、進行洗錢活動）。為隱藏伺服器的真正位置，平台會利用代理伺服器及「雙重匿蹤（double fast flux）」技術，即每 5 分鐘更改惡意域名的 DNS 及 IP 地址，讓受感染裝置連接至平台。感染了Avalanche惡意軟件的裝置可能會遭受其他網絡攻擊，包括盜取用戶憑據和其他敏感資料，例如銀行和信用卡等。其他惡意軟件例子包括勒索軟件及遠程訪問木馬等。另外，被入侵的裝置或會遭用作向其他系統發動分佈式阻斷服務（DDoS）攻擊。HKCERT亦已發佈處理受感染裝置的指引：https://www.hkcert.org/tc/blog/hk-victims-reported-in-global-takedown-of-avalanche-cybercrime-hosting-platform。

	HKCERT促請使用者保護好電腦，免淪為殭屍網絡的一部分。
	安裝最新修補程式及更新安裝及使用有效的保安防護工具，並定期掃描設定強密碼以防止密碼容易被破解不要使用盜版的 Windows 系統,多媒體檔案及軟件不要使用沒有安全更新的 Windows 系統及軟件

自 2013 年 6 月，本中心一直跟進接獲的保安事故，並主動接觸本地互聯網供應商以清除殭屍網絡。清除殭屍網絡的行動仍在進行，針對幾個主要的殭屍網絡家族，包括 Avalanche, Pushdo, Citadel, Ramnit, ZeroAccess, GameOver Zeus, VPNFilter 及 Mirai。

HKCERT呼籲一般用戶加入清除殭屍網絡行動，確保個人電腦並沒有被惡意程式控制或受感染，保護個人資料以提高互聯網的安全性。