演練情境 - HackMD

# 演練情境 ## 1 事件主旨資安事件通告─貴單位[彰化縣鹿港鎮鹿東國民小學]對外發送社交工程信件，可能在進行APT 事件描述 TACERT接獲外部情資，發現貴單位[XXX.XXX.XXX.XXX]不斷的寄送大量的釣魚郵件至其它單位，疑似在進行進階持續性威脅 (Advanced Persistent Threat, 簡稱APT)攻擊。手法研判該主機[XXX.XXX.XXX.XXX]的安全設定錯誤，導致惡意攻擊者可以透過該主機寄送社交工程攻擊信件處理建議建議立即採取下列步驟：1.檢查並刪除主機上不明程式及異常連線。2.進行全系統掃毒，並移除相關惡意檔案與程式。3.安裝防毒軟體並更新至最新病毒碼，並開啟自動更新機制。4.建議修改系統上所有使用者的密碼。5.安裝並開啟防火牆，並檢驗其規則，僅開啟必要之對外服務通訊埠。參考資料無 ## 2 事件主旨資安事件通告─貴單位[彰化縣和美鎮和東國民小學]]網站內網站被置入詐騙網頁事件描述 TACERT接獲外部情資，貴單位遭檢舉該主機網站有偽造的詐騙網頁(網址如下:https://xxx.xxx.xxx.xxx/xxxx.html)，用來誘騙一般使用者連線至惡意的釣魚網站。手法研判由於該主機內之網頁應用程式有提供上傳功能，但該功能並未設置適當的權限控管，因此可能藉由此管道上傳惡意網頁。處理建議建議立即採取下列步驟：1. 請立即移除該詐騙網頁檔案 2. 檢查該網站具有上傳功能之網頁程式的權限控管是否正確。參考資料無 ## 3 事件類型系統被入侵發現時間 2023-09-12 10:50:51 事件主旨貴單位[國立員林高級農工職業學校]主機因Elasticsearch平台資料存取功能設定不當，導致惡意攻擊者植入勒索病毒來加密資料進行勒索。事件描述貴單位主機(XXX.XXX.XXX.XXX)疑似因為資料存取功能設定不當，使惡意攻擊者可隨意存取平台資料，導致該用戶Elasticsearch平台資料遭駭客備份並加密，並藉此勒索財物。手法研判惡意攻擊者可隨意的存取Elasticsearch平台資料，並將平台資料加密，且留下勒索訊息。處理建議建議用戶可利用瀏覽器連線至Elasticsearch平台(http://xxx.xxx.xxx.xxx:9200/_cat/indices?v)，確認是否能連線至Elasticsearch，當可正常連線時，即表示平台可能沒有做權限控管並設定適當的防火牆規則，確認僅開放個別系統對外提供服務之通訊埠或考慮安裝Elasticsearch平台權限控管套件。參考資料無 ## 4 事件類型對外攻擊發現時間 2023-09-12 10:48:29 事件主旨資安事件通告─貴單位[彰化縣彰化市東芳國民小學]對外進行遠端桌面(RDP)暴力攻擊事件描述由於該主機[XXX.XXX.XXX.XXX]所發送的封包內容具有明確攻擊行為，且符合入侵偵測系統特徵值而被偵測。研判該主機疑似感染病毒或執行可疑程式而持續對目標主機進行攻擊。手法研判該主機[XXX.XXX.XXX.XXX]因未安裝最新的安全修正程式或疑似感染病毒，而造成系統被入侵。處理建議建議立即採取下列步驟：1.請使用防毒軟體進行主機全系統掃描。2.安裝防毒軟體並更新至最新病毒碼，以及開啟自動更新機制。3.使用TcpView等工具程式監控連線行為，若發現來源IP執行可疑程式或是P2P軟體，建議需立即將該軟體移除。參考資料無 ## 5 事件類型系統被入侵發現時間 2023-09-12 10:46:08 事件主旨資安事件通告─貴單位[彰化縣竹塘鄉田頭國民小學]IP攝影主機存在預設帳號密碼的漏洞事件描述該設備管理介面使用預設密碼，導致惡意攻擊者可輕易的利用預設帳號密碼進行登入管理介面。手法研判惡意攻擊者使用預設帳號密碼登入並取得管理權限處理建議建議立即修正預設密碼並設定適當防火牆政策。參考資料建議立即修正預設密碼並設定適當防火牆政策。 ## 6 事件類型系統被入侵發現時間 2023-09-12 10:40:53 事件主旨資安事件通告─貴單位[彰化縣社頭鄉橋頭國民小學]對外進行遠端桌面(RDP)暴力攻擊事件描述由於該主機[XXX.XXX.XXX.XXX]所發送的封包內容具有明確攻擊行為，且符合入侵偵測系統特徵值而被偵測。研判該主機疑似感染病毒或執行可疑程式而持續對目標主機進行攻擊。手法研判該主機[XXX.XXX.XXX.XXX]因未安裝最新的安全修正程式或疑似感染病毒，而造成系統被入侵。處理建議建議立即採取下列步驟：1.請使用防毒軟體進行主機全系統掃描。2.安裝防毒軟體並更新至最新病毒碼，以及開啟自動更新機制。3.使用TcpView等工具程式監控連線行為，若發現來源IP執行可疑程式或是P2P軟體，建議需立即將該軟體移除。參考資料無 ## 7 事件類型系統被入侵發現時間 2023-09-12 10:36:16 事件主旨貴單位[國立員林崇實高級工業職業學校]疑似遭入侵，對外散布垃圾郵件。事件描述貴單位內主機[xxx.xxx.xxx.xxx]可能因駭客入侵，並遭受植入後門程式做為跳板，進而不當使用網路頻寬及寄信功能，寄發垃圾電子郵件。手法研判可能因駭客入侵，並遭受植入後門程式執行寄送垃圾電子郵件。處理建議建議立即採取下列步驟： 1.進行該主機全系統病毒掃描後，安裝最新的系統安全修正程式。 2.確認該主機是否有無開啟不明通訊協定或執行不明程式。 3.進行設定適當的防火牆政策。參考資料無 ## 8 事件類型散播惡意程式發現時間 2023-09-12 10:36:03 事件主旨資安事件通告─貴單位[彰化縣二水鄉復興國民小學]主機具有挖礦的惡意行為事件描述由於該主機[XXX.XXX.XXX.XXX]可能因為感染病毒或使用者自行安裝挖礦軟體對外進行挖礦行為，由於此行為違反教育部資安政策，故進行開單告警。手法研判該主機[XXX.XXX.XXX.XXX]可能遭受入侵或單位使用者自行安裝挖礦軟體進行挖礦。處理建議建議確認主機是否曾與外部虛擬貨幣挖礦伺服器進行連線，並刪除相關挖礦程式。針對主機進行全系統病毒掃描後，安裝最新的系統安全修正程式。參考資料無 ## 9 事件類型垃圾郵件(Spam) 發現時間 2023-09-12 10:35:33 事件主旨資安事件通告─貴單位[彰化縣秀水鄉育民國民小學]對外發送社交工程信件，可能在進行APT 事件描述 TACERT接獲外部情資，發現貴單位[XXX.XXX.XXX.XXX]不斷的寄送大量的釣魚郵件至其它單位，疑似在進行進階持續性威脅 (Advanced Persistent Threat, 簡稱APT)攻擊。手法研判該主機[XXX.XXX.XXX.XXX]的安全設定錯誤，導致惡意攻擊者可以透過該主機寄送社交工程攻擊信件處理建議建議立即採取下列步驟：1.檢查並刪除主機上不明程式及異常連線。2.進行全系統掃毒，並移除相關惡意檔案與程式。3.安裝防毒軟體並更新至最新病毒碼，並開啟自動更新機制。4.建議修改系統上所有使用者的密碼。5.安裝並開啟防火牆，並檢驗其規則，僅開啟必要之對外服務通訊埠。參考資料無 ## 10 事件類型系統被入侵發現時間 2023-09-12 10:35:21 事件主旨資安事件通告─貴單位[彰化縣立彰化藝術高級中學]主機[XXX.XXX.XXX.XXX] 遭受殭屍(Bot)惡意程式感染，對外進行攻擊。事件描述該主機可能被植入Bot程式而成為殭屍網路(BotNet)中的一員而受到惡意攻擊者的控制。並持續以IRC（Internet Relay Chat）封包持續與惡意的C&C(Command and Control)伺服器連線，而被入侵偵測系統所偵測。手法研判由於該主機具有MS08-067弱點，可能受到殭屍(Bot)惡意程式利用而被感染。處理建議建議立即採取下列步驟 1.檢查該系統上是否有不明程式正大量對外建立網路連線(如TCP Port 139、445)。2.主機之管理者/使用者查明來源主機的發起攻擊行為之原因為何，若為非預定安裝程式所引發，建議直接移除該程式，並詳加檢測貴單位主機是否有任何的異常狀況。3.進行該主機全系統病毒掃描後，安裝最新的系統安全修正程式。參考資料無