ITHOME2019-手把手，教你如何處理資安事件

Transcript

1. 手把手，教你如何處理 資安事件 中芯數據 資深資安顧問 周哲賢

2. 經歷介紹 • 證照: – CEH – CHFI • 經歷: –

   協助檢調單位偵辦重大網路犯罪案件 – 建置企業APT防護 – 協助企業資安事件處理 • 專長: – Incident Response – Penetration Testing & Exploit Research – Malware Analysis – Security Solution Implementation • APT Gateway/Mail/Sandbox/Endpoint • NGFW & NGIPS • Managed Detection and Response

3. 3 議程 • 資安事件的源頭及趨勢 • 資安事件處理思路 • 資安事件處理工具分享 • 結論

4. 1. 資安事件的源頭及趨勢

5. 5 敵人在哪裡 Nation- State Cyber Criminal Insiders Hacktivism

6. Multi-Stage Download + Loader 6 http://2xx.xxx.xxx.xx7/tips.txt TXT轉成EXE

7. 攻擊新趨勢 (1) • 此bin.exe為PacketiX VPN(Softether商業版)，用作 bridge，可讓內部網路與攻 擊者串成同一個內部網路 7

8. 攻擊新趨勢 (2) • SoftEther VPN是一個由筑波大學研究生Daiyuu Nobori（登太游）因碩士論文 而開發的開源、跨平台、多重協定的虛擬私人網路方案，此方案讓一些虛擬私人 網路協定像是SSL VPN 、L2TP、IPsec、OpenVPN以及微軟SSTP都由同一個單

   一VPN伺服器提供。 • 北韓網軍LAZURUS攻擊事件也使用該VPN工具作為跳板使用 8

9. 攻擊新趨勢 (3) • 駭客透過此Webshell下載bin.exe(VPN軟體)並嘗試連線到C2 Server 9

10. 10 中繼站的新架構 • C2 with Web Services –Gmail/Gdrive –Dropbox –Github

    –Twitter –…

11. LOLBIN • Only pre-installed software is used by the attacker

    and no additional binary executables are installed onto the system • https://lolbas-project.github.io/ • https://gtfobins.github.io/

12. 2. 資安事件處理思路

13. 企業的入侵向量(Initial Access) • The initial access tactic represents the vectors

    adversaries use to gain an initial foothold within a network. • 駭客怎麼打進來的方法…

14. 資安事件調查思路 • 有什麼異常?(What): • 受害對象是誰?(WHO) • 受害對象在哪?(Where) • 如何受害?(How) •

    Timeline Analysis • 羅卡定理與時間的交互作用

15. 勒索軟體駭侵調查思路

16. 16 網站駭侵調查思路 • 有LOG: –網頁平台記錄檔 –網頁主機其餘服務存取記錄檔 –檔案時間軸分析 • 沒LOG: –用入侵網站的思維作研判

    –請參考右圖黑站思路

17. 17 職業級滅證 • 某一天早上九點半，對外網站完全開不起來… • IR 項目 • History 全清除

    • /var/log/* 全清除 • /home/wwroot/* 全清除 (只殘留資料夾) • /etc/ 相關config 全清除

18. 大型資安事件調查思路

19. 3. 資安事件處理工具分享

20. 20 線上沙箱 • https://www.one-tab.com/page/bzBq2VIlSD-5ujzDTw57Kg

21. 線上情資查詢 • https://www.one- tab.com/page/IhfGFd5cSyGDO9cFkn9EGQ • https://www.abuseipdb.com/

22. 22 微軟三寶

23. 23 Windows IR toolkit • https://github.com/diogo-fernan/ir-rescue • https://www.brimorlabs.com/Tools/LiveRes ponseCollection-Bambiraptor.zip •

    https://www.sans.org/reading- room/whitepapers/forensics/live- response-powershell-34302

24. Linux Compromise Assessment

25. LINUX IR 好文匯整 • https://www.one- tab.com/page/3tLqOfx8T8qkCDp4dDm6_Q

26. Mac OS IR Tool • TOOL: –KnockKnock –TaskExplorer –Dylib Hijack

    Scanner –https://objective- see.com/products.html –https://github.com/jbrad ley89/osx_incident_respo nse_scripting_and_analys is

27. 人工鑑識調查的惡夢 斷點類別: 駭客滅證 EVENTLOG 沒記錄到 惡意軟體行為不明顯

28. 滅證 • Sdelete • ClearEventLog • https://github.com/Rizer0/ Log-killer • https://github.com/hlldz/In

    voke-Phant0m

29. 29 Free EDR • Sysmon • Wazuh

30. Commercial EDR & MDR • 商業的EDR將前面提到的資料即時的收錄 • 搭配有IR人力的MDR服務作資安事件處理

31. 4. 結論

32. 資安沒有百分之百 唯有讓駭客入侵的成本提高 The cyber adversary's tactics flow like water, seeking

    the path of least resistance. Plan accordingly. - Sun Tzu, The Art of Cyber War -

33. 被入侵並不可恥 是否有真正回饋及改善 The competent cyber warrior learns from their mistakes.

    The cyber master learns from the mistakes & knowhow of others. - Sun Tzu, The Art of Cyber War -

34. Q&A