情資卡編號:
TCCY-RCDC-400-202604-0000025
事件主旨:
會員分享:可疑IP針對對外服務網站進行惡意連線攻擊(260401)
內容說明:
一、F-ISAC近期彙整會員分享之可疑 IP 針對會員對外提供服務的網頁進行惡意連線攻擊,經檢視攻擊手法包含 Injection 攻擊、XSS(Cross-Site Scripting)、目錄遍歷(Directory Traversal)、上傳惡意指令等以及嘗試利用開源弱點掃描等工具,針對多項已知漏洞進行掃描探測以取得網站系統相關資訊。相關攻擊行為經會員單位內資安防護設備阻擋故未影響相關服務。
二、本次案例入侵威脅指標依據MITRE ATT&CK資安框架說明的攻擊手法彙整於附件。
風險等級:
1
建議措施:
1.建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形,如長時間未觸發,則可評估移除或調整處理方式(例如由封鎖轉為監控)。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率,例如IP位址、網域名稱、URL及E-mail等通常變動較快,可每1至3個月重新檢視一次;而檔案雜湊值(Hash)等檔案特徵型指標相對穩定,通常不易因時間經過而改變其惡意特性,故可適度延長保留期限。
2.建議會員應檢查單位內設備之存取及操作權限是否正確設定,包含應以最小授權為原則,及僅允許已知的應用程式(包含程式碼)執行,以防止執行未經授權的惡意程式碼。
3.建議會員應檢視單位內系統及設備是否有落實既有漏洞管理機制,針對已有攻擊行為之漏洞應盡速辦理修補等作業。