ITHOME2019-手把手，教你如何處理資安事件

手把手，教你如何處理資安事件中芯數據資深資安顧問周哲賢

經歷介紹 • 證照: – CEH – CHFI • 經歷: –
協助檢調單位偵辦重大網路犯罪案件 – 建置企業APT防護 – 協助企業資安事件處理 • 專長: – Incident Response – Penetration Testing & Exploit Research – Malware Analysis – Security Solution Implementation • APT Gateway/Mail/Sandbox/Endpoint • NGFW & NGIPS • Managed Detection and Response

3 議程 • 資安事件的源頭及趨勢 • 資安事件處理思路 • 資安事件處理工具分享 • 結論

1. 資安事件的源頭及趨勢

5 敵人在哪裡 Nation- State Cyber Criminal Insiders Hacktivism

Multi-Stage Download + Loader 6 http://2xx.xxx.xxx.xx7/tips.txt TXT轉成EXE

攻擊新趨勢 (1) • 此bin.exe為PacketiX VPN(Softether商業版)，用作 bridge，可讓內部網路與攻擊者串成同一個內部網路 7

攻擊新趨勢 (2) • SoftEther VPN是一個由筑波大學研究生Daiyuu Nobori（登太游）因碩士論文而開發的開源、跨平台、多重協定的虛擬私人網路方案，此方案讓一些虛擬私人網路協定像是SSL VPN 、L2TP、IPsec、OpenVPN以及微軟SSTP都由同一個單
一VPN伺服器提供。 • 北韓網軍LAZURUS攻擊事件也使用該VPN工具作為跳板使用 8

攻擊新趨勢 (3) • 駭客透過此Webshell下載bin.exe(VPN軟體)並嘗試連線到C2 Server 9

10 中繼站的新架構 • C2 with Web Services –Gmail/Gdrive –Dropbox –Github
–Twitter –…

LOLBIN • Only pre-installed software is used by the attacker
and no additional binary executables are installed onto the system • https://lolbas-project.github.io/ • https://gtfobins.github.io/

2. 資安事件處理思路

企業的入侵向量(Initial Access) • The initial access tactic represents the vectors
adversaries use to gain an initial foothold within a network. • 駭客怎麼打進來的方法…

資安事件調查思路 • 有什麼異常?(What): • 受害對象是誰?(WHO) • 受害對象在哪?(Where) • 如何受害?(How) •
Timeline Analysis • 羅卡定理與時間的交互作用

勒索軟體駭侵調查思路

16 網站駭侵調查思路 • 有LOG: –網頁平台記錄檔 –網頁主機其餘服務存取記錄檔 –檔案時間軸分析 • 沒LOG: –用入侵網站的思維作研判
–請參考右圖黑站思路

17 職業級滅證 • 某一天早上九點半，對外網站完全開不起來… • IR 項目 • History 全清除
• /var/log/* 全清除 • /home/wwroot/* 全清除 (只殘留資料夾) • /etc/ 相關config 全清除

大型資安事件調查思路

3. 資安事件處理工具分享

20 線上沙箱 • https://www.one-tab.com/page/bzBq2VIlSD-5ujzDTw57Kg

線上情資查詢 • https://www.one- tab.com/page/IhfGFd5cSyGDO9cFkn9EGQ • https://www.abuseipdb.com/

22 微軟三寶

23 Windows IR toolkit • https://github.com/diogo-fernan/ir-rescue • https://www.brimorlabs.com/Tools/LiveRes ponseCollection-Bambiraptor.zip •
https://www.sans.org/reading- room/whitepapers/forensics/live- response-powershell-34302

Linux Compromise Assessment

LINUX IR 好文匯整 • https://www.one- tab.com/page/3tLqOfx8T8qkCDp4dDm6_Q

Mac OS IR Tool • TOOL: –KnockKnock –TaskExplorer –Dylib Hijack
Scanner –https://objective- see.com/products.html –https://github.com/jbrad ley89/osx_incident_respo nse_scripting_and_analys is

人工鑑識調查的惡夢斷點類別: 駭客滅證 EVENTLOG 沒記錄到惡意軟體行為不明顯

滅證 • Sdelete • ClearEventLog • https://github.com/Rizer0/ Log-killer • https://github.com/hlldz/In
voke-Phant0m

29 Free EDR • Sysmon • Wazuh

Commercial EDR & MDR • 商業的EDR將前面提到的資料即時的收錄 • 搭配有IR人力的MDR服務作資安事件處理

4. 結論

資安沒有百分之百唯有讓駭客入侵的成本提高 The cyber adversary's tactics flow like water, seeking
the path of least resistance. Plan accordingly. - Sun Tzu, The Art of Cyber War -

被入侵並不可恥是否有真正回饋及改善 The competent cyber warrior learns from their mistakes.
The cyber master learns from the mistakes & knowhow of others. - Sun Tzu, The Art of Cyber War -

ITHOME2019-手把手，教你如何處理資安事件

ITHOME2019-手把手，教你如何處理資安事件

jack chou

More Decks by jack chou

Other Decks in Technology

Featured

Transcript

手把手，教你如何處理資安事件中芯數據資深資安顧問周哲賢

經歷介紹 • 證照: – CEH – CHFI • 經歷: –

3 議程 • 資安事件的源頭及趨勢 • 資安事件處理思路 • 資安事件處理工具分享 • 結論

1. 資安事件的源頭及趨勢

5 敵人在哪裡 Nation- State Cyber Criminal Insiders Hacktivism

Multi-Stage Download + Loader 6 http://2xx.xxx.xxx.xx7/tips.txt TXT轉成EXE

攻擊新趨勢 (1) • 此bin.exe為PacketiX VPN(Softether商業版)，用作 bridge，可讓內部網路與攻擊者串成同一個內部網路 7

攻擊新趨勢 (3) • 駭客透過此Webshell下載bin.exe(VPN軟體)並嘗試連線到C2 Server 9

10 中繼站的新架構 • C2 with Web Services –Gmail/Gdrive –Dropbox –Github

LOLBIN • Only pre-installed software is used by the attacker

2. 資安事件處理思路

企業的入侵向量(Initial Access) • The initial access tactic represents the vectors

資安事件調查思路 • 有什麼異常?(What): • 受害對象是誰?(WHO) • 受害對象在哪?(Where) • 如何受害?(How) •

勒索軟體駭侵調查思路

16 網站駭侵調查思路 • 有LOG: –網頁平台記錄檔 –網頁主機其餘服務存取記錄檔 –檔案時間軸分析 • 沒LOG: –用入侵網站的思維作研判

17 職業級滅證 • 某一天早上九點半，對外網站完全開不起來… • IR 項目 • History 全清除

大型資安事件調查思路

3. 資安事件處理工具分享

20 線上沙箱 • https://www.one-tab.com/page/bzBq2VIlSD-5ujzDTw57Kg

線上情資查詢 • https://www.one- tab.com/page/IhfGFd5cSyGDO9cFkn9EGQ • https://www.abuseipdb.com/

22 微軟三寶

23 Windows IR toolkit • https://github.com/diogo-fernan/ir-rescue • https://www.brimorlabs.com/Tools/LiveRes ponseCollection-Bambiraptor.zip •

Linux Compromise Assessment

LINUX IR 好文匯整 • https://www.one- tab.com/page/3tLqOfx8T8qkCDp4dDm6_Q

Mac OS IR Tool • TOOL: –KnockKnock –TaskExplorer –Dylib Hijack

人工鑑識調查的惡夢斷點類別: 駭客滅證 EVENTLOG 沒記錄到惡意軟體行為不明顯

滅證 • Sdelete • ClearEventLog • https://github.com/Rizer0/ Log-killer • https://github.com/hlldz/In

29 Free EDR • Sysmon • Wazuh

Commercial EDR & MDR • 商業的EDR將前面提到的資料即時的收錄 • 搭配有IR人力的MDR服務作資安事件處理

4. 結論

資安沒有百分之百唯有讓駭客入侵的成本提高 The cyber adversary's tactics flow like water, seeking

被入侵並不可恥是否有真正回饋及改善 The competent cyber warrior learns from their mistakes.

Q&A