2017.03 雲端時代企業面臨的攻擊威脅

Transcript

1. 雲端時代 企業⾯面臨臨的攻擊威脅 翁浩正 (Allen Own) 戴夫寇爾股份有限公司 [email protected]

2. 講者簡介 翁浩正 (Allen Own) 戴夫寇爾 DEVCORE 執⾏行行長 [email protected] 台灣駭客年年會 HITCON

   核⼼心成員 專長：駭客攻擊⼿手法分析、滲透測試

3. 資安就是資訊的不對稱戰爭

4. None

5. 企業最⼤大的對⼿手是誰？

6. 不是駭客，更更不是駭客組織 ⽽而是⿊黑⾊色產業

7. ⿊黑⾊色產業 Black Market 有需求，就有供給；有利利益，就有產業。 正因有需求、有利利益，才會有駭客集團進⾏行行組織性的攻擊。

8. ⿊黑⾊色產業的營利利模式 • 帳號密碼 • 資料庫 • 流量量 • 攻擊程式 •

   情資 • 個⼈人資料 • 電⼦子郵件信箱 • 信⽤用卡號 • 交易易資料 ⱃ㘵㐪ॏ }} ๡ݥҊ }㘓ా⍋␗ } ቧำ } ⶘⷇ɗ
   ౖٛٱ⌲ } %%P4

9. ⿊黑⾊色產業地下市集

10. None
11. None

12. 這是⼀一場企業與入侵者的戰爭

13. 防守的傳統策略略：蓋城牆

14. None
15. None

16. Path? Injection?

17. None
18. None
19. None

20. Red Team 模擬入侵者的戰略略

21. 滲透團隊如何無堅不摧 • 攻擊思維與防禦思維不同 • 敵暗我明，攻擊技術的增長、企業卻沒因此跟上 • ⼤大數據分析攻擊標的、外洩資料等

22. 漏洞洞評價 Ⅲ఺༸ ؍ᷗ༸ कㄒ༸

23. Struts2 S2-045 • 廣泛：⽤用 JSP 的企業幾乎都會採⽤用的 Struts2，預設值即含有此漏洞洞 • 穩定：符合版本執⾏行行 exploit

    幾乎⼀一定成功 • 易易⽤用：PoC 直接⼀一步執⾏行行，沒有複雜動作 • 嚴重：可直接執⾏行行系統指令

24. 員⼯工如何成為企業資安缺⼝口 • 攻擊者根據不同⽬目的選擇不同攻擊⽬目標，當發現伺服器資安健全後，就會轉⽽而 向員⼯工個⼈人電腦、個⼈人裝置下⼿手。 • 密碼使⽤用習慣不佳，弱密碼、密碼重複使⽤用等因素造成攻擊可能

25. 撞庫攻擊 攻擊者利利⽤用已外洩的資料庫，取得帳號密碼，嘗試登入⽬目標系統。

26. 撞庫攻擊 讀取外洩帳號密碼，透 過殭屍網路路⼤大規模攻擊 ⽬目標伺服器。若若有 CAPTCHA 防禦亦可能 透過第三⽅方服務破解。 受害伺服器 企業 第三⽅方服務


    解 CAPTCHA Botnet 殭屍網路路 攻擊者 社⼯工庫

27. 撞庫攻擊與⿊黑⾊色產業 ⶳጓำ ⶘ߺᯥ؍ ዗ኄ⓱
    "UUBDLFS 攻擊取得資料庫 分析資料庫輔助下次攻擊 販 售 ⾄至⿊黑⾊色產

    業 獲 取 錢 財
28. None
29. None
30. None

31. 防禦⼿手法 以三層縱深建構防禦 對，降低外洩可能性、 增加攻擊者破解難度、 即時監控異異常⾏行行為防⽌止 ⼤大量量嘗試。 3. 防⽌止嘗試 2. 防⽌止破解

    1. 防⽌止外洩 藉由三階段防禦對策防⽌止密碼被惡惡意使⽤用

32. 防⽌止外洩 • 做好伺服器防禦，避免攻擊者入侵竊取資料庫 • 做好機敏資料的取⽤用控制，盤點資料的保護範圍 • 偵測異異常流量量，防⽌止攻擊者持續竊取⼤大量量資料

33. 防⽌止破解 • 增加密碼的加密法安全等級，避免被攻擊者取得密碼後進⾏行行破解 • 使⽤用公認安全的加密演算法，避免⾃自⾏行行研發，如 PBKDF2, bcrypt • 搭配 Salt

    強制增加密碼強度

34. 密碼防⽌止破解⼼心法 拉長破解時間 -> 密碼長度複雜度 降低每秒破解數量量 -> 使⽤用強加密法 強制加長密碼長度 -> 密碼使⽤用

    Salt

35. 防⽌止嘗試 • 防⽌止攻擊者使⽤用⾃自動化⼯工具嘗試⼤大量量帳號密碼登入，如 CAPTCHA • 偵測到⼤大量量攻擊嘗試即封鎖該 IP • 使⽤用者帳號偵測到惡惡意攻擊⾏行行為即進⾏行行安全機制，如通報或封鎖帳號

36. 攻擊思維

37. 攻擊途徑？ 雲端時代的企業，攻擊 者有哪些攻擊途徑滲透 整個企業？ 內部網路路 防火牆 VPN Server Slack Gmail

    資料庫 ERP DMZ GitHub

38. 如何鎖定⽬目標攻擊？ • 盤點⽬目標有哪些（外部系統、內部系統、外圍系統、網路路邊界） • 外洩資料庫有哪些帳號密碼與⽬目標有關

39. 如何搜尋帳號密碼？ • 透過 whois 等資料瞭解管理理者帳號名稱 • 尋找該帳號對應的外洩密碼 • 尋找該公司 email

    address 所有帳號密碼

40. 滲透案例例

41. Case Study 1 • 撞庫登入系統後台，獲得更更⾼高權限帳號 • 透過更更多權限的後台，利利⽤用檔案上傳功能上傳 webshell 攻擊

42. 攻擊途徑 1 利利⽤用撞庫進入系統後台， 並利利⽤用後台漏洞洞得到資 料庫權限。 防火牆 VPN Server Slack Gmail

    資料庫 ERP 內部網路路 DMZ GitHub 主網站

43. 哪裡出了了問題？ • 有密碼保護後台就是安全的嗎？ • 密碼為什什麼會外洩？ • 與外⾯面網站⽤用的密碼為什什麼相同？ • 密碼為何沒有定期更更換的機制？

44. Case Study 2 • 撞庫攻擊取得 GitHub 權限，取得系統所有原始碼 • 分析原始碼找出系統其他可入侵點 •

    滲透系統，取得伺服器控制權

45. 攻擊途徑 2 利利⽤用 GitHub 權限，取得 網站原始碼。分析原始 碼找出網站漏洞洞，進⽽而 取得資料庫。 防火牆 VPN

    Server Slack GitHub Gmail 資料庫 ERP 內部網路路 DMZ 主網站

46. 哪裡出了了問題？ • GitHub 很好⽤用，但為什什麼⽤用的是重複使⽤用的外洩密碼？ • 為什什麼沒開啟⼆二步驟驗證 (Two-Factor Authentication)？ • 把網站程式碼放在外部

    Github 的必要性？
47. None

48. Case Study 3 • 撞庫攻擊取得 Gmail 權限 • 取得信件往來來中儲存的 SSH

    Private Key • 取得 Google Chrome 瀏覽器儲存的密碼 • 使⽤用 Private Key 登入系統，使⽤用密碼存取保護功能

49. 攻擊途徑 3 攻擊 Gmail 帳號，取得 系統 SSH Key 及密碼後 登入系統。

    防火牆 VPN Server Slack GitHub Gmail 資料庫 ERP 內部網路路 DMZ 主網站

50. 哪裡出了了問題？ • SSH Private Key 為什什麼透過 Mail 明⽂文傳遞？ • SSH

    Private Key 為什什麼沒有 Passphrase? • 主機 SSH 為何不限制 IP？ • 為什什麼⽤用瀏覽器⾃自動儲存密碼？ • Google 未開啟 2FA

51. Case Study 4 • 撞庫攻擊取得 VPN 權限，直接進入企業內網 • 從內網尋找其他內部系統進⾏行行滲透，取得機敏資料 •

    尋找 Domain Controller，從帳號清單尋找 administrator • 撞庫取得管理理者帳號權限 • 登入內網任意電腦

52. 攻擊途徑 4 取得 VPN 權限進入企業 內網 防火牆 VPN Server Slack

    GitHub Gmail 資料庫 ERP 內部網路路 DMZ 主網站

53. 哪裡出了了問題？ • VPN 有無⼆二步驟驗證？（如 OTP） • VPN 連線為何可直接存取 Domain Controller？

    • 未阻擋員⼯工電腦間的⽔水平移動

54. Takeways 消除與攻擊者的資訊不對稱 建構專責專職資安⼈人員編制 安排⾜足夠資源佈建防禦體系 ⼆二步驟驗證做最後⼀一道防線

55. 資安就是戰爭，戰爭沒有僥倖

56. Q&A 戴夫寇爾股份有限公司 [email protected] Thanks for listening.