碧華國小資安通報-入侵事件警訊(1081111)

教育機構資安通報平台

事件類型:入侵事件警訊

事件單編號:AISAC-175382

原發布編號 NTUSOC-INT-201911-0781 原發布時間 2019-11-11 09:15:16
事件類型 殭屍電腦(Bot) 原發現時間 2019-11-11 07:57:28
事件主旨 教育部資安事件通告-新北市教育網路中心[163.20.242.17]主機進行惡意程式連線(MALWARE-CNC Win.Trojan.Glupteba.M initial outbound connection)
事件描述 入侵偵測防禦系統偵測到來源IP(163.20.242.17),包含疑似惡意程式連線行為特徵之封包,對目標IP(5.9.157.50)進行連線。此事件來源 PORT (49208),目標 PORT (8000)。
手法研判 來源IP主機可能存在未修補之弱點遭駭客攻擊,感染惡意程式或遭植入木馬程式導致觸發此事件,將可能導致主機機敏資料外洩,或成為殭屍網路一員而對外發動攻擊。
建議措施 請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查: a.請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。 b.確認防毒軟體的病毒碼已更新為最新版本,並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。 若來源IP為DNS server、NAT主機或IP分享器等設備IP時, 表示有內部主機透過這些設備向外連線時而觸發偵測規則, 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port), 來協助查找內部觸發偵測規則之主機, 再依前述建議處理措施進行作業。
參考資料 NULL
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

本校處理程序:

  1. 電聯教研中心大同網路駐點工程師,請求協助查找內部觸發偵測規則之主機, 再依前述建議處理措施進行作業。
  2. 教研中心大同網路駐點工程師回報,本校感染惡意程式或遭植入木馬程式的電腦 IP 為 10.241.17.160,先行將其網卡封鎖。
  3. 查出為本校樂齡教室中某一部電腦,電話告知相關人員,儘速將該部電腦送至資訊中心重灌系統。
  4. 重灌該部感染惡意程式的電腦,發還。

【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各校提高警覺。

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019100201104141 發佈時間 2019-10-02 13:04:41
事故類型 ANA-攻擊預警 發現時間 2019-10-02 10:00:00
影響等級
[主旨說明:]

【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。

[內容說明:]

學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。
信件內容以舊有資安相關訊息為主,信件內容開頭以英文撰寫訊息,且附有超連結以供下載檔案。
煩請各單位依社交工程防範作為提高警覺且不輕易點選或開啟不明來源信件之附檔或超連結,以維資訊安全。
如收到相關類似信件,切勿點選信件中超連結,並將信件提供給TACERT(service@cert.tanet.edu.tw),以利相關資訊收集及分析。

電子郵件內容範例1:
Hello,
We need this reviewed, categorized and filed as soon as possible. Take a look and let me know how soon can you finish it.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you

電子郵件內容範例2:
Hello,
I believe we completely missed our target on this one, I need you to double check by how much. I attached the file for review below.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

電子郵件

[建議措施:]

1. 確認寄件者資訊及信件內容是否正確

2. 不輕易點選或開啟不明來源信件之附檔或超連結

3. 依社交工程防範作為提高警覺

[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

資安預警情報(發布編號:NTUSOC-EWA-201909-2197)

資安聯絡人您好:
此為資安預警情報,請您協助確認資安預警事件(EWA)是否確實發生。
並登入資安通報平台後,於資安預警事件中完成通報作業,作業說明如下:
(如需相關佐證資料,登入通報平台後於事件附檔下載中依發佈編號即可取得。)
(1) 誤判:
經確認後設備相關記錄無符合項目,選擇「誤判」選項後,於「原因」處填寫說明。
(2) 確實事件:
經確認後確實發生資安事件,請先於自行通報中完成事件通報應變後,取得事件單編號後。選擇「確實事件」選項後,於右側填入自行通報事件單編號。
(3) 無法判斷:
經確認後,部份資料符合或設備相關記錄已不存在,選擇「無法判斷」選項後,於「原因」處填寫說明。如果您對此事件單內容有疑問或有關於此事件之建議,歡迎與本單位連絡。

原發布編號 NTUSOC-EWA-201909-2197 原發布時間 2019-09-26 08:10:09
事件類型 可疑連線 原發現時間 2019-09-26 05:49:21
事件主旨 教育部資安事件通告-新北市三重區碧華國民小學[163.20.169.33]主機疑似進行惡意程式連線(MALWARE-CNC DNS suspicious .bit dns query)
事件描述 入侵偵測防禦系統偵測到來源IP(163.20.169.33),包含疑似惡意程式連線行為特徵之封包,對目標IP(192.203.230.10)進行連線。此事件來源 PORT (58857),目標 PORT (53)。
手法研判 請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查: a.請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。 b.確認防毒軟體的病毒碼已更新為最新版本,並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。 若來源IP為DNS server、NAT主機或IP分享器等設備IP時, 表示有內部主機透過這些設備向外連線時而觸發偵測規則, 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port), 來協助查找內部觸發偵測規則之主機, 再依前述建議處理措施進行作業。
建議措施 NULL
如果此事件需要進行通報,請 貴單位資安聯絡人登入資安通報應變平台進行通報應變作業
如果您對此通告的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

本校處理情形:

  • 研判:誤判
  • 原因:163.20.169.33為本校校內DNS伺服器,此為正常連線行為。

【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),允許攻擊者遠端執行任意程式碼

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019092008094646 發佈時間 2019-09-20 08:40:48
事故類型 ANA-漏洞預警 發現時間 2019-09-19 09:57:15
影響等級
[主旨說明:]

【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0110

Microsoft Windows遠端桌面服務(Remote Desktop Services),亦即在Windows Server 2008及更早版本中所稱之終端服務(Terminal Services),該服務允許使用者透過網路連線來遠端操作電腦或虛擬機。

研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),可讓未經身分驗證的遠端攻擊者,透過對目標系統的遠端桌面服務發送特製請求,在不需使用者進行任何操作互動之情況下,達到遠端執行任意程式碼之危害。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Windows 7

Windows 8.1

Windows 10

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

[建議措施:]

Microsoft官方已針對此弱點釋出修補程式,並包含於8月份例行性累積更新中,各機關可聯絡設備維護廠商或參考各CVE對應的安全性公告,進行Windows更新

[參考資料:]

  1. https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html
  2. https://www.ithome.com.tw/news/132413
  3. https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d
  4. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
  5. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
  6. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?lang=zh&seq=1441

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

碧華國小資安通報-入侵事件警訊(1080821)

台灣學術網路危機處理中心(TACERT) 對本校發佈資安通報-入侵事件警訊:

發佈編號 NTUSOC-INT-201908-1239 發佈時間 2019-08-21 08:16:10
事件類型 系統被入侵 發現時間 2019-08-20 14:28:55
事件主旨 教育部資安事件通告-新北市三重區碧華國民小學[163.20.169.192]主機疑似進行挖礦程式連線(PUA-OTHER Cryptocurrency Miner outbound connection attempt)
事件描述 入侵偵測防禦系統偵測到來源IP(163.20.169.192),包含疑似挖礦程式連線行為,對目標IP(159.65.202.177)進行連線。此事件來源 PORT (57913),目標 PORT (6666)。
手法研判 來源IP可能遭入侵並對外部虛擬貨幣挖礦伺服器報到進行挖礦行為,故依教育部資安政策,進行開單告警。
處理建議 建議檢查主機是否曾與外部虛擬貨幣挖礦伺服器進行連線,或是駭客也可能利用主機的漏洞入侵植入挖礦程式:建議檢查該的主機及程式是否都已更新至最新版本修補漏洞。並安裝防毒軟體進行掃描。謝謝。

本校處理情形:

  1. 登入「教育機構資通安全應變網站」,了解事件發生情形。
  2. 登入「新北市校園網路管理平台」檢視 163.20.169.192 連線狀況,並將其網路封鎖。
  3. 查明  163.20.169.192 為輔導處社工用行政電腦
  4. 電話告知電腦遭入侵事件,情況嚴重,台灣學術網路危機處理中心(TACERT) 已對本校發佈資安通報-人侵事件警訊,目前已將其網路封鎖,請立刻做好檔案備份,該電腦系統將予以重灌。
  5. 將本校電腦遭入侵事件應變情形,回報教育機構資通安全應變網站

電腦處理過程:

  1. 請原電腦使用人做好檔案備份。
  2. 該電腦系統重灌。