資安大會的內容很多,這裡是我參與的議程的資料整理和一些心得,真要可以從我的文章中學到東西的話,還是親自參與比較有效,有一些是會後我整理的名詞和資料連結,有參考性可以日後拿來參考
Securing the Digital Now
吳其勳
CYBERSEC 臺灣資安大會 主席 / iThome 總編輯
開場介紹今年的資安大會因為疫情改在八月份才開辦,蔡總統非常重視資安即國安,
所以各部會資安相關首長都來參加
總統蔡英文將加速成立整合資訊、資安、電信、網路和傳播五大數位發展相關業務領域的「數位發展部」,並且搶先布局AI人工智慧以及物聯網的資安應用,同時強化政府部門關鍵基礎設施,建立以數據驅動為核心的主動防禦體系,達到超前部署目標,並透過結合5G和數位轉型,提升臺灣整體數位國力,打造結合數位實力以及國家安全的資安產業,以及被世界所信賴的資安
系統及產業鏈。
張裕敏 趨勢科技 全球核心技術部 資深協理
預言下半年會有大規模不分產業目標式勒索攻擊潮
COVID-19疫情駭客透過網路來發洩
國外資料外洩,國內以目標式勒索為主
- 網頁 RDP VPN弱點 釣魚郵件
- 潛伏在目標主機 AD Server
- 特定時間點發動大規模散
新攻擊手法,GDPR公開資料,加密前備份
Ragnar Locker ransomware舊手法,規避機制,防資安軟體
GitHub GitLab存放資料
台灣3億(Garmin)付款,現在變成Hacker target
資料庫連網要確認組態設定elasticsearch mongoDB Cassandra 都被入侵過
5G 後需端時代的來臨,面對更大的挑戰
企業應該關注的,不再是自己會不會被攻擊,而是攻擊何時會發生
情資分享
- SIEM (Security information and event management)
- SOC (Security Operation Center)
- SOAR (Security orchestration(協調), automation and response)
- xDR (Cross Detection and Response (Network, Endpoint, Server, messaging, 3rd party logs) EDR(Endpoint Detection and Response)新一代)
- SASE (Secure Access Service Edge)
面對不可預測的未來,企業仍可持續做好提前預測和預防的準備,透過資安超前部署,達到將資安風險降到最低的目標。
您的企業有多耐打 資安事故應變能量建立實務劉大川/資安顧問
這個session 歸納一些IR要進行的重點,有口訣有方向
這裡說了一個美國企業的資安joke,美國企業只有兩種,一種是已經被入侵過的,一種是被入侵還不知道的
金融業是第三名,第一名為政府,製造業第二
防疫超前部署,資安也應該要
這裡說到DMZ不入AD,被攻下來的時間,可以從三天變成三星期或三個月
日誌的收集和保存,一直都是一個問題,還有大量時的查詢效能
角色定義、職責區分
IR發生時的組織要先編制
可以參考Mitre Attack 撰寫Playbook
平時演練準備
準備好流程、組織、權責、分類、事件分級,當事件發生時才不會手忙腳亂
第一天早上的議程比較是開場,沒有很特定的領域討論,但是一些技術、名詞會後的查詢也讓我多了解了資安的產品、服務,特別是隱寫術的實際應用,當初學習隱寫術時覺得不過是趣味性的,經過講師的新聞回顧,才知道原來可以這樣用,那種把所知道的事情接在一起的感覺,會有一種恍然大悟、原來如此的領悟電流。
New Privacy in Android 11 與 OWASP
行動開發安全 謝佳龍 / 永豐金證券資訊安全部 協理
Open Web Application Security Project (OWASP)
Flagship project
- Top 10 2013 2017
- Dependency-Track (CI/CD)
- Juice Shop (Juice Shop is probably the most modern and sophisticated insecure web application! It can be used in security trainings, awareness demos, CTFs and as a guinea pig for security tools)
- Mobile Security Testing Guide
Mobile Security Testing Guide (MSTG)
Mobile Application Security Verification Standard (MASVS)
- Amass (In-depth DNS Enumeration, Attack Surface Mapping and External Asset Discovery!)
- ZAP Zed Attack proxy security tool
傳統的SDLC(Software Development Life Cycle) insecure
Shift left for security 變成
SSDLC (Secure Software Development Life Cycle)
Privacy vs security
Android 11著重隱私
這個場次收獲最多的是OWASP原來有很多開源的專案可以協助安全測試和開發,不是只有ZAP和Top10,每個flagship projects 原來所旗艦店的名字是用英文flagship來的。
Android11的和iOS看齊,是我用iPad時才發現,原來iOS早就有了One Time Permission.
IR(Incident response) & CSIRT(Computer Emergency Response Team) forum
您的企業有多耐打?- 資安事故應變能量建立實務 劉大川 / 趨勢科技
Purple Team:紅藍隊的相愛相殺 姜尚德 奧義智慧科技 資安研究員
CSIRT 面面觀座談
紫隊一樣是由資安服務商扮演外部攻擊者,但在演練後會把成功入侵的手法與過程展現給企業內部資安人員看,帶有更多與藍隊共同協力提升企業資安防護,甚至重新演練一遍,或提供防護建議等,使藍隊能確實補強弱點。
CERT (Computer Emergency Response Team) /CC(Coordination Center)
學術、公家單位
CISRT(Computer Security Incident Response Team)
企業組織單位,可以是虛擬的,戰備時成立
IRO (Incident response officer)
要像急診室醫師一樣,高抗壓,臨危不亂,正確的判斷
像遇到資料加密時,判斷何時DR,那些系統先回復
管理面大於技術面,統籌整合
Covid-19台灣經驗,超前部署帶口罩,事前封城準備、演練,資安事件也有需要,可以參考https://attack.mitre.org/,產生playbook劇本進行演練。
Insider Threat 竊取手法分析:隱寫、裝置竊取、迴避監控混淆手法
偷取資料的方式和途徑
先把資料編碼和混淆,可以用線上的,可以用程式的方式,也有離線的工具
隱寫術,透過其他檔案來隱藏資料
樹莓派 raspberry usb
實物展示
命令列的obfuscated方式
利用別的程式啟動powershell
使用Powershell Obfuscated的方式,系統提權
講師展示了一支自行撰寫的程式,不需要powershell開啟權限就可以執行powershell,且不會被防毒程式擋下來,透過Obfuscated可以避開防毒程式
旁通道分析對硬體產品的威脅與應對之道 陳君朋/國立台灣大學電機工程學系 兼任教授
Analysis vs Attack,知己知彼,百戰百勝,這門課是用分析的字眼,其實是做攻擊的準備,資安產品有標準要符合規範,才可以避免side channel attack,像是時脈、電力耗損、電磁流出、聲音都可以用來利用攻擊。
透過非侵入式的scan,可以拷貝sim卡
硬件電子錢包也可以透過儀器進行攻擊
https://www.ttc.org.tw/index.php?apps=pgarticle&action=index&cat_id=7&id=15
所以採購時要確認安全認證CC
FIPS https://www.ithome.com.tw/node/47886
Operation ENDTRADE:TICK 網路間諜集團利用多重階段後門程式攻擊不同產業並竊取機密資料 Joey Chen/趨勢科技 資深威脅研究員
利用廠商當跳板來攻擊主要的目標(政府、軍事機關)
http://www.cc.ntu.edu.tw/mailtips/index.html
這個手法是利用真的email/附件進行攻擊,所以上述的防止方式其實很難防止
判斷是否有防毒程式,沒有才執行,避開偵測,放置在防毒程式的同目錄下,避開scan,把檔案變大,讓防毒程式略過
先攻擊海外子公司,把程式放在共用資料匣,再讓母公司的人去執行,進而攻擊母公司 https://ithelp.ithome.com.tw/articles/10217688
攻擊相關網站放入攻擊程式
使用到的惡意軟體和工具
把工具打包在一起,更方便使用,當連結到合法的網站下載前還會判斷容量是否足夠安裝惡意軟體,避免警告被發現背後植入
惡意軟體還會偵測防毒程式,試圖關閉再執行
TICK活動監控
使用合法的檔案當成誘餌(從其他公司偷)
使用漏洞去放下載器
使用新的下載器和後門
使用隱寫術隱藏後門
使用合法的網站當成跳板
利用漏洞提供文件給受害者開啟下載dll,還要先驗證是否是要攻擊的host,不是就不運作,減少被抓到的風險
https://www.itread01.com/content/1543219567.html
從供應商偷檔案當誘餌
使用都多的下載器和後門,而且只在上班時間作業,針對特定地區的使用者
使用資料隱寫術埋後門
使用合法網站當成是下載惡意程式的來源或是C&C
使用dll注入技術
進化版的攻擊流程
工具的總結如上圖,比較特別的是會偵測是否在VM環境,若是的話就不執行,這樣若是想要在VM環境測試就沒辦法,只能在實體機環境
工具展示,可以執行輸入想要使用的命令執行
工具的作者分析,主要有三個人
Debug錯誤字串也有包到,裡面是簡中訊息,所以判斷是中國人..
透過多年多次的攻擊,透遛兩層以上的供應商進行入侵,從出版業進而軍事化學工業,使用真的日本誘餌文件,開發新的惡意軟體避開防毒軟體,檢查已存在,假裝防毒軟體,escape防毒 (檔案變大,防毒程式不掃)
揪出極為隱匿的無檔案網頁後門
Dove Chiu Tim Yeh / 趨勢科技 資深威脅研究員
從Incident response的案例開始說起如何找出後門
Memory dump 這個工具以前我有用過,是應廠商要求才去收集,但是很久沒有使用了,要幫客戶做IR還真不容易
https://docs.microsoft.com/zh-tw/windows-hardware/drivers/debugger/debugger-download-tools
說MZ without MZ,用記事本開exe都會出現MZ開頭的
正常的exe用筆記本打開應該有MZ開頭如上
怎麼修復的我就不清楚了,裡面有提到一個工具IDA Pro可以逆向工程,還原之後看到一個網址
https://ithelp.ithome.com.tw/articles/10188132
MITRE ATT&CK有一個Webshell exchange ISAPI filter的技術
去檢查登錄檔,沒有發現dll
檢查logic,有一個while loop 和判斷
反組譯之後的程式片斷查出有這些命令
檢查bootlog 找出來源https://www.windowscentral.com/how-enable-boot-log-windows-10
這裡的raw copy 是低階的copy,可以保全證據時會用到的
Dll hijacking的flow
可以看到會被載入在系統的位置
講師雖然說很難找,但是還是被找出來了,IR的處理,真的蠻像追緝凶手一樣,蛛絲馬跡都要找出來才能破解
另一個IR,透過cookie string才能啟用後門
稱為welcome server 登入後會出現Hey Welcome
也有變種的版本
這是另一種攻擊
發現的時間軸,紅色的是trend micro發現的
利用內建的工具就可以打造後門
POC
POC demo
要利用駭客粗心才有辦法追出來,檢查版本
Netsh http show servicestate 檢查有沒有後門
還是有可能被繞過,https://attack.mitre.org/techniques/T1546/007/ 有說明,謎之音:買產品才有辦法..
還是有API可以用,但是沒有文件(Microsoft有等於沒有的文件)
透過逆向工程,還是做出工具了
實際IR的查找方式
工具展示
已經很久了, 所以很有可能已經中了只是不知道
是中資的技術,可以使用命令和打造程式來檢查…
【大大們的Free Talk】比特幣 x 勒索 x 駭客
徐千洋 (Tim Hsu) / HITCON
黑色的熱氣球?
降到2000個體時才看得出來的,高層次傳銷詐騙關係圖
三個月,兩個人利用wechat pay 老鼠會的方式,一次發十個人投資100 RMB,就可以分利息,賺了一億
2013下半年,預儲值管道(如MoneyPak或Ukash)支付300美元或歐元,或是2比特幣,才能解開這些檔案,11月漲到10BTC,當當時價值3500美元https://zh.wikipedia.org/wiki/CryptoLocker
駭客的成功案例
一年半賺進20億美金,這些駭客說要快活退休去了。他們證實了做壞事不會有報應,證明一年內就可以賺到一輩子的錢,而且可以真正成為別人眼中的第一名,而不是只有自己說說。
支付方式改變了駭客行為,讓不善長行銷,拙於言辭的工程師找到了新的賺錢方式,不需要面對受害者,也不用煩惱收款方式
比特幣生態最知名最完善,若不是用比特幣可能很難拿到錢,換話說會寫程式的人可以自己寫程式加密,得到財富自由
不會寫程式的人,也可以用RaaS,會發email就可以分錢
還有後台可以看到目前的進帳
也有分潤比例
abuse report,四月份爆量,可能是covid-19的關係
看產業,一般是不付錢
有公司說不要付錢給勒索者,付錢給他們公司,他們有技術可以解鎖,結果是先收錢,他們再付錢給勒索者取得金鑰,被剝兩層皮
結論是備份 DR 和買保險
你的資安策略夠明確嗎?透過框架優先緩解真實威脅
資安架構的運用,從事資安工作之後,聽過了許多資安規範和架構,但是不知道如何運用,只知道依樣畫葫蘆,把規範中有的checklist、文件補上,沒有真正的了解怎麼使用,這場session之後,有了更進一步的想法。
100%四天內可以攻破公司的防禦,這個服務很厲害,這也是他們的專業
資安的導入需要有策略有計劃的,不是買資安產品就不會被駭
資安考量的各種狀況,看完還是不清楚,所以要加上時間
有了時間就可以排順序來進行
結果大部份的公司都只能做到恢復原狀,極少部份的可以防微杜漸,追求理想就是一種夢想
自行判斷Impact常會不想面對或是錯估
把追求理想改成未雨綢繆比較精確
在還沒有被攻破之前,只能全面性的防禦沒有目標,有限的資源,如何做到最重要的防護?就像倖存者偏差的二戰防護理論案例一樣,要把鋼板(資源)放在最重要的地方,才能將傷害降到最低
依據職責可以將攻擊事件和規範整合,第一線技術人員負責設備、服務,主管要負責procedure process executive
原本我只知道ISO27001:2013 和NIST的csf,這次又聽到了CIS Critical Security Controls for Effective Cyber Defense
這裡標了各標準的重點
在不同的level要準備不同的標準對應,不是一種標準通用的,這時提到了一個案例,需要如何防止中勒索病毒?是買防毒軟體就解決了嗎?還是需要定義流程、程序才可以解決?中勒索之後該如何回應和回復,不是只有資安軟硬體就可以解決的
資安產品可以解決的問題,只是資安工作項目的一小塊,即使有了資安產品,還有一大堆的工作項目Breach and Attack Simulation (BAS)
資安產品屬於Applications的識別和保護,還有一堆的防禦缺口需要進行,可以看矩陣中的部份
OWASP的矩陣,用雜貨店的案例說明,試圖幫使用者分類資安產品,提供矩陣來排列,使用NIST的識別、保護、檢測、響應、恢復,5×5的網路防禦矩陣
將資安工作放入矩陣,可以比對出各縱橫向的定位
即使如此有了資安產品,還是會有防禦缺口需要補
這邊把標準和對應對應在一起,其實讓人看到就怕,感覺怎麼做也做不完
根據分類對應矩陣,目標比較明確
CDM幫大家把要進行的工作依規模分類,不需要全都同時進行
利用紅隊演練進行攻擊,將被攻擊的方式和路徑記錄下來
找出問題和修補方式,定訂流程和程序,加強設備設定和監控
真的被打過了才可以正確的評估風險
結合所有的方式,才能將資安工作發揮最大的優勢
雖然資安廠商都是透過理念的宣導推銷他們的產品,但是透用各種資安框架和紅隊演練來進行強化和發現弱點,很有說服力。
留言