資安預警情報(發布編號:NTUSOC-EWA-201909-2197)

資安聯絡人您好:
此為資安預警情報,請您協助確認資安預警事件(EWA)是否確實發生。
並登入資安通報平台後,於資安預警事件中完成通報作業,作業說明如下:
(如需相關佐證資料,登入通報平台後於事件附檔下載中依發佈編號即可取得。)
(1) 誤判:
經確認後設備相關記錄無符合項目,選擇「誤判」選項後,於「原因」處填寫說明。
(2) 確實事件:
經確認後確實發生資安事件,請先於自行通報中完成事件通報應變後,取得事件單編號後。選擇「確實事件」選項後,於右側填入自行通報事件單編號。
(3) 無法判斷:
經確認後,部份資料符合或設備相關記錄已不存在,選擇「無法判斷」選項後,於「原因」處填寫說明。如果您對此事件單內容有疑問或有關於此事件之建議,歡迎與本單位連絡。

原發布編號 NTUSOC-EWA-201909-2197 原發布時間 2019-09-26 08:10:09
事件類型 可疑連線 原發現時間 2019-09-26 05:49:21
事件主旨 教育部資安事件通告-新北市三重區碧華國民小學[163.20.169.33]主機疑似進行惡意程式連線(MALWARE-CNC DNS suspicious .bit dns query)
事件描述 入侵偵測防禦系統偵測到來源IP(163.20.169.33),包含疑似惡意程式連線行為特徵之封包,對目標IP(192.203.230.10)進行連線。此事件來源 PORT (58857),目標 PORT (53)。
手法研判 請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查: a.請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。 b.確認防毒軟體的病毒碼已更新為最新版本,並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。 若來源IP為DNS server、NAT主機或IP分享器等設備IP時, 表示有內部主機透過這些設備向外連線時而觸發偵測規則, 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port), 來協助查找內部觸發偵測規則之主機, 再依前述建議處理措施進行作業。
建議措施 NULL
如果此事件需要進行通報,請 貴單位資安聯絡人登入資安通報應變平台進行通報應變作業
如果您對此通告的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

本校處理情形:

  • 研判:誤判
  • 原因:163.20.169.33為本校校內DNS伺服器,此為正常連線行為。