資訊安全事件處理範例
1. | Bot |
事件描述 |
主機受到Rustock殭屍電腦控制程式感染。 |
處理建議 |
1.檢查防火牆紀錄,查看內部是否有開啟異常的連接埠,並查看內部是否有對外大量不同目的IP之異常連線。 2.注意個別系統之安全修補,若僅移除惡意程式而不修補,再次受相同或類似攻擊的機率極高。 |
2. |
注入攻擊SQL Injection |
事件描述 | 網路內網站疑似具有SQL Injection漏洞。 攻擊者可利用漏洞獲得後台資料庫伺服器訊息,存在訊息揭露風險,請確認此網頁是否具有[SQL Injection] 漏洞,建議依以下措施進行事件處理。並敬請於完成修補,以免有資訊洩漏的風險。 |
處理建議 |
1.利用正規表示式檢查網頁所傳入參數之型態,若參數型態不符時便導回原頁面或網站首頁。 2.過濾SQL語法常用之關鍵字,如:user、select及from等關鍵字。 3.過濾SQL語法之注釋符號及特殊規則,如:單引號(‘)等符號。 4.以參數化查詢執行資料庫查詢動作,資料庫伺服器便不會將參數的內容視為SQL指令的一部份來處理。 5.以專業弱點掃描程式進行系統弱點掃描。 6.詳細漏洞訊們於佐證資料中詳述。 7.佐證資料已隨事件單匯入教育機構資安通報平台,煩請登入後於左側「事件附檔下載」中依發佈編號查詢即可下載佐證資料。 |
Information Security Incident
1. | 不安全組態設定 |
事 件 描 述 |
微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708),允許攻擊者遠端執行任意程式碼 |
處 理 建 議 |
1.Windows XP與Windows Server 2003作業系統雖已停止支 |
Other
1. | 惡意留言 |
事件描述 |
網路印表機管理介面遭置入文字。 |
處理建議 |
1.網站伺服器疑因程式開發存有漏洞,導致遭人入侵修改網頁內容,建議受駭單位立即修復受駭網頁或更新軟體,並瞭解受駭原因及手法,避免再度遭受網頁攻擊。 2.注意個別系統之安全修補,若僅移除惡意程式而不修補,再次受相同或類似攻擊的機率極高。 |
2. |
發送廣告信件 |
事件 描述 |
單位的主機受到Rustock殭屍電腦控制程式感染。 |
處 理建議 |
1.檢查防火牆紀錄,查看內部是否有開啟異常的連接埠,並查看內部是否有對外大量不同目的IP之異常連線。
2.注意個別系統之安全修補,若僅移除惡意程式而不修補,再次受相同或類似攻擊的機率極高。 |
3. | 惡意網頁 |
事件描述 | 單位資訊設備IP:xxx.128.xx.228,疑似遭植入釣魚網頁。為避免不必要之資安風險,請針對該系統進行詳細檢查並加強相關防範措施。 |
處理建議 |
1.確認此網頁是否為正常網頁,若為未經授權放置之網頁應立即 移除,避免網頁瀏覽者受害。 2.檢查網頁主機的作業系統及應用軟體是否已安裝最新的修補程式。 3.檢視主機是否被安裝後門程式。 |
4. | 系統被入侵 |
事件描述 | xxx..xxx.xxx.70 疑似對外進行 General.Interest: Monero.Cryptocurrency.Miner, 攻擊 |
事件建議 |
1.檢查防火牆紀錄:查看內部是否有開啟異常的連接埠。 2.利用工具程式(如:TCPview、procexp)於來源主機觀察,找出實際執行連線的程式,確認該程式是否為惡意程式。 3.若連線並非預期行為,則來源主機可能已遭植入惡意程式,建議利用木馬或後門清除程式掃瞄該主機,並手動檢測是否有惡意程式執行。 4.確實安裝修補程式並且更新系統。 5.攻擊名稱相關參考資料網站: https://fortiguard.com/appcontrol/44016 https://github.com/fireice-uk/xmr-stak-cpu https://en.wikipedia.org/wiki/Monero_(cryptocurrency) |
5. | 遠端下載惡意軟體 |
事件描述 | xxx.xxx.xxx.xxx Malicious File Download/Malicious Binary Download |
處理建議 |
1.使用防火牆及防毒軟體並升級至最新版本。 2.勿輕易點擊來路不明的連結,不要閱讀並刪除可疑的電子郵件。 3.避免下載使用未經授權的軟體。 4.提高自身對社交工程攻擊的敏感度。 |