本年度協助外單位處理資安事件及提出相關檢討事項如下:

一、遭入侵原因

XX快篩中心(140.XXX.XXX.XX):

經查快篩中心設備人員告知,該設備原先啟用admin帳號與使用弱密碼及未更新修補NAS漏洞導致遭到暴力破解,被做為跳板進行攻擊。

    XX系(140.XXX.XX.XXX):

海工系經查疑似為一實驗室主機,該實驗室原先IP規劃182之主機後來改為193主機,經查該主機為WIN7系統,使用人已近一年無使用,系統跳出提示使用未授權之軟體,並安裝遠端連線軟體TeamViewer,推測漏洞較多淪為殭屍電腦進行對外攻擊。

二、資料遺失狀況

   兩單位經查尚無資料遺失之情形,依來文,兩台主機疑似都是被作為殭屍電腦對外部進行類似DDOS,暴力破解攻擊,進而導致攻擊方中繼設備癱瘓。

三、為何沒有被擋住?或遭受入侵

   3-1.目前IPS對外封鎖服務有限,推測攻擊是繞過這些服務,或無法阻擋之服務(如https、http),或透遠端軟體,或使用者本身安裝的軟體就有問題,無法進行阻擋。

     3-2.對外攻擊的部分,目前校內對校外都是全部開放,不做阻擋,故產生對外攻擊事件。

四、未來如何避免

     4-1.建議以歷史案例作為宣導範例,每學期發文進行宣導,定時更新作業系統,韌體,勿安裝來路不明之程式,增加密碼複雜度,關閉admin權限等宣導,提醒全校師生共同改善網路環境。

     4-2.請各單位,清點過期之作業系統主機、伺服器,先進行外對內封鎖保護,在提醒系統期限內進行升級改善或汰換,未遵守者,將該IP進行封鎖,直至改善為止。

五、為何調查局發現?我們沒發現?

     5-1.由於校園內對外服務並無進行任何阻擋與規則限制,且只有單台無法從流量中看出異常,作為攻擊之主機通常分散多處且有多台來進行操控(稱為DDOS攻擊,如下圖說明,其用意是透過操控多台殭屍電腦來對受害者攻擊,造成其使用者服務中斷如:金流網站、網路設備使其資產損害),本次遭害之主機應是作為殭屍電腦端,推測調查局由受理案件之設備Log查出該IP在台灣且屬學術單位,故發文進行調查,如為民間IP,多委由ISP業者提供紀錄,情節重大才會進行封鎖處置。