香港保安觀察報告 (2019年第四季度)

發佈日期: 2020年01月31日 2612 觀看次數

本中心很高興為你帶來2019年第四季度的「香港保安觀察報告」。

現今，有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等)，在用戶不知情下被入侵，令儲存在這些設備內的數據，每天要面對被盜取和洩漏，及可能被用於進行不同形式的犯罪活動的風險。

《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知，從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心(C&C) 或殭屍電腦等]的香港系統，其定義為處於香港網絡內，或其主機名稱的頂級域名是「.hk」或「.香港」的系統。

更正啟示

本中心於初版報告中漏報了Nymaim，Virut，ZeroAccess，Pushdo，Nivdort，Bedep 和Corebot 殭屍電腦的安全事件數量，引致報告中的以下內容出錯：

於表2 和圖4 中，將殭屍電腦安全事件的總數7,878，誤算為6,831。
於圖12 和表3 的主要殭屍網絡數量中，漏報了排名第3 的786 宗Nynaim 安全事件，和排名第6 的175 宗Virut 安全事件。
Nynaim 的季度數量足以讓其擠身五大主要殭屍網絡之中(圖13 和表4)。

謹此更正。

報告概要

2019年第四季度，有關香港的唯一的網絡攻擊數據共有9,911個。數據是從IFAS¹ 系統的 11 個來源²收集所得，而並不是來自 HKCERT 所接獲的事故報告。

圖1 – 安全事件趨勢

去到2019 年最後一季，各項的保安事故皆回落到較低水平，本季度共有9,911 宗安全事故，較上一季減少接近三分之二。其中以惡意程式寄存事件的跌幅最明顯，下跌了超過93%，而釣魚網站事件同樣錄得七成的跌幅。

與伺服器有關的安全事件

與伺服器有關的安全事件有: 惡意程式寄存、釣魚網站和網頁塗改。以下為其趨勢和分佈:

圖2 –與伺服器有關的安全事件的趨勢和分佈

事件類別	2018 Q4	2019 Q1	2019 Q2	2019 Q3	2019 Q4
網頁塗改	590	318	532	1,120	591
釣魚網站	365	289	1,306	849	257
惡意程式寄存	8,152	72,201	48,892	17,273	1,185

表1 –與伺服器有關的安全事件的趨勢和分佈

表1顯示，惡意程式寄存事件的總數在2019年第一季升到72,201宗的高位後，持續回落至本年度的最低，僅1,185宗；與此同時，所涉及的惡意程式寄存IP 地址的數目亦大幅下跌至63個，是自2018年第一季以來，首次錄得雙位數字。

釣魚網站事件亦有近600宗的跌幅，而所涉及的釣魚網站事件IP 地址數目同時從上一季的196個減少至55個。經分析數據後，可發現這些釣魚攻擊除主要針對Apple iCloud外，針對eBay的釣魚事件亦相對增加，當中有機會是由於年末為購物的熱門季節，黑客會增加對著名的網上購物平台品進行釣魚攻擊。

本季的網頁塗改事件和所涉及的IP地址分別下跌近一半和36%。利用Zone-H和Shodan ³ 更深入的分析後，發現這些IP地址的所屬伺服器當中，約四分之一仍存在保安漏洞，部分更使用已終止支援服務 (EOS) 的作業系統，相信是導致網頁塗改事故的主因。

	HKCERT促請系統和應用程式管理員保護好伺服器
	為伺服器安裝最新修補程式及更新,以避免已知漏洞被利用更新網站應用程式和插件至最新版本按照最佳實務守則來管理使用者帳戶和密碼必須核實客戶在網上應用程式的輸入,及系統的輸出在管理控制界面使用強認證,例如:雙重認證不要把不必要的服務暴露在互聯網

殭屍網絡相關的安全事件

殭屍網絡相關的安全事件可以分為兩類：

殭屍網絡控制中心(C&C) 安全事件 — 涉及少數擁有較強能力的電腦，向殭屍電腦發送指令，受影響的主要是伺服器。
殭屍電腦安全事件 — 涉及到大量的電腦，它們接收來自殭屍網絡控制中心(C&C) 的指令，受影響的主要是個人電腦。

殭屍網絡控制中心安全事件

以下將是殭屍網絡控制中心(C&C)安全事件的趨勢:

圖3 – 殭屍網絡控制中心(C&C)安全事件的趨勢

今季未有接獲殭屍網絡控制中心的事件報告。

殭屍電腦安全事件

以下為殭屍電腦安全事件的趨勢:

圖4 - 殭屍電腦安全事件的趨勢

香港網絡內的殭屍網絡（殭屍電腦）在2019 年第四季度上升了11.3%，800 宗。雖然大部分的事件都呈跌勢，當中更以WannaCry 的跌幅最明顯，下降一半，達354 宗，但Nymaim 及Avalanche 則有明顯增加，分別上升了6 倍和3 倍以上（見表3）。Avalanche 為一個服務多種惡意軟件家族的網絡犯罪寄存平台，黑客可利用該平台發送各式各樣的惡意軟件（如 Nymaim、Gamarue、Tinba 和Matsnu 等）。經分析後，發現由十一月底至十二月試圖連接到 Avalanche sinkhole 的唯一IP 數量持續偏高，與Nymaim sinkhole 所顯示的升幅趨勢一致。此外，比對前三季Avalanche 的數據，惡意軟件Nymaim 和Matsnu 的升幅最為明顯，兩者皆為木馬程式，並有機會被用作發動勒索軟件攻擊的跳板。

	HKCERT促請使用者保護好電腦，免淪為殭屍網絡的一部分。
	安裝最新修補程式及更新安裝及使用有效的保安防護工具，並定期掃描設定強密碼以防止密碼容易被破解不要使用盜版的 Windows 系統,多媒體檔案及軟件不要使用沒有安全更新的 Windows 系統及軟件

自 2013 年 6 月，本中心一直跟進接獲的保安事故，並主動接觸本地互聯網供應商以清除殭屍網絡。清除殭屍網絡的行動仍在進行，針對幾個主要的殭屍網絡家族，包括 Avalanche, Pushdo, Citadel, Ramnit, ZeroAccess, GameOver Zeus, VPNFilter 及 Mirai。

HKCERT呼籲一般用戶加入清除殭屍網絡行動，確保個人電腦並沒有被惡意程式控制或受感染，保護個人資料以提高互聯網的安全性。

	使用者可HKCERT提供的指引，偵測及清理殭屍網絡
	殭屍網絡偵測及清理指引 https://www.hkcert.org/botnet

下載報告

< 請按此 下載香港保安觀察報告 >

¹ Information Feed Analysis System (IFAS) 是HKCERT 建立的系統，用作收集有關香港的環球保安資訊來源中有關香港的保安數據作分析之用

² 參照附錄1 - 資料來源

³Shodan 是一個針對互聯網連接設備的搜索引擎: https://www.shodan.io/

分享至

香港保安觀察報告 (2019年第三季度)

2019年10月21日 3534 觀看次數

香港保安觀察報告 (2020年第一季度)

2020年05月19日 3784 觀看次數