資安預警情報(發布編號:NTUSOC-EWA-201909-2197)

資安聯絡人您好：
此為資安預警情報，請您協助確認資安預警事件(EWA)是否確實發生。
並登入資安通報平台後，於資安預警事件中完成通報作業，作業說明如下：
(如需相關佐證資料，登入通報平台後於事件附檔下載中依發佈編號即可取得。)

(1) 誤判：
經確認後設備相關記錄無符合項目，選擇「誤判」選項後，於「原因」處填寫說明。
(2) 確實事件：
經確認後確實發生資安事件，請先於自行通報中完成事件通報應變後，取得事件單編號後。選擇「確實事件」選項後，於右側填入自行通報事件單編號。
(3) 無法判斷：
經確認後，部份資料符合或設備相關記錄已不存在，選擇「無法判斷」選項後，於「原因」處填寫說明。如果您對此事件單內容有疑問或有關於此事件之建議，歡迎與本單位連絡。

原發布編號	NTUSOC-EWA-201909-2197	原發布時間	2019-09-26 08:10:09
事件類型	可疑連線	原發現時間	2019-09-26 05:49:21
事件主旨	教育部資安事件通告-新北市三重區碧華國民小學[163.20.169.33]主機疑似進行惡意程式連線(MALWARE-CNC DNS suspicious .bit dns query)
事件描述	入侵偵測防禦系統偵測到來源IP（163.20.169.33)，包含疑似惡意程式連線行為特徵之封包，對目標IP（192.203.230.10）進行連線。此事件來源 PORT （58857），目標 PORT （53）。
手法研判	請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為，可先利用掃毒軟體進行全系統掃描，並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查： a.請查看來源IP有無異常動作(如：新增帳號、開啟不明Port、執行不明程式)。 b.確認防毒軟體的病毒碼已更新為最新版本，並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔，或關閉不使用的應用軟體與相關通訊埠。 若來源IP為DNS server、NAT主機或IP分享器等設備IP時， 表示有內部主機透過這些設備向外連線時而觸發偵測規則， 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port)， 來協助查找內部觸發偵測規則之主機， 再依前述建議處理措施進行作業。
建議措施	NULL
如果此事件需要進行通報，請 貴單位資安聯絡人登入資安通報應變平台進行通報應變作業
如果您對此通告的內容有疑問或有關於此事件的建議，歡迎與我們連絡。