Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ITHOME2019-手把手,教你如何處理資安事件
Search
jack chou
March 19, 2019
Technology
0
1.2k
ITHOME2019-手把手,教你如何處理資安事件
jack chou
March 19, 2019
Tweet
Share
More Decks by jack chou
See All by jack chou
Raidforums台灣金融情資驗證探討
jack51706
0
1.5k
Threat Hunting & Compromised Assessment on the cheap 101
jack51706
2
1.5k
我們與厲駭的距離@高科大
jack51706
0
1.1k
鍵盤福爾摩斯的觀落陰真經
jack51706
1
630
研究所資安課程_第五週 準備武器階段 第十七週 清除軌跡
jack51706
0
1.1k
資安課程 外網目標情資偵蒐
jack51706
0
2k
TDOHPIPE_公部門資安工作分享
jack51706
0
600
Other Decks in Technology
See All in Technology
One engineer company with Ruby on Rails
rstankov
2
420
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
510
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
7
3.6k
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
1.6k
いいたいことちゃんという
tkengo
0
230
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
2
140
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
150
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
3
3.2k
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
270
Cracking the KubeCon CfP
inductor
2
270
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
210
require(ESM)とECMAScript仕様
uhyo
4
960
Featured
See All Featured
Infographics Made Easy
chrislema
238
18k
Designing the Hi-DPI Web
ddemaree
276
33k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
126
32k
Code Reviewing Like a Champion
maltzj
515
39k
RailsConf 2023
tenderlove
8
550
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
123
39k
Practical Orchestrator
shlominoach
183
9.7k
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
How to name files
jennybc
65
93k
The Invisible Customer
myddelton
114
12k
Become a Pro
speakerdeck
PRO
12
4.6k
4 Signs Your Business is Dying
shpigford
176
21k
Transcript
手把手,教你如何處理 資安事件 中芯數據 資深資安顧問 周哲賢
經歷介紹 • 證照: – CEH – CHFI • 經歷: –
協助檢調單位偵辦重大網路犯罪案件 – 建置企業APT防護 – 協助企業資安事件處理 • 專長: – Incident Response – Penetration Testing & Exploit Research – Malware Analysis – Security Solution Implementation • APT Gateway/Mail/Sandbox/Endpoint • NGFW & NGIPS • Managed Detection and Response
3 議程 • 資安事件的源頭及趨勢 • 資安事件處理思路 • 資安事件處理工具分享 • 結論
1. 資安事件的源頭及趨勢
5 敵人在哪裡 Nation- State Cyber Criminal Insiders Hacktivism
Multi-Stage Download + Loader 6 http://2xx.xxx.xxx.xx7/tips.txt TXT轉成EXE
攻擊新趨勢 (1) • 此bin.exe為PacketiX VPN(Softether商業版),用作 bridge,可讓內部網路與攻 擊者串成同一個內部網路 7
攻擊新趨勢 (2) • SoftEther VPN是一個由筑波大學研究生Daiyuu Nobori(登太游)因碩士論文 而開發的開源、跨平台、多重協定的虛擬私人網路方案,此方案讓一些虛擬私人 網路協定像是SSL VPN 、L2TP、IPsec、OpenVPN以及微軟SSTP都由同一個單
一VPN伺服器提供。 • 北韓網軍LAZURUS攻擊事件也使用該VPN工具作為跳板使用 8
攻擊新趨勢 (3) • 駭客透過此Webshell下載bin.exe(VPN軟體)並嘗試連線到C2 Server 9
10 中繼站的新架構 • C2 with Web Services –Gmail/Gdrive –Dropbox –Github
–Twitter –…
LOLBIN • Only pre-installed software is used by the attacker
and no additional binary executables are installed onto the system • https://lolbas-project.github.io/ • https://gtfobins.github.io/
2. 資安事件處理思路
企業的入侵向量(Initial Access) • The initial access tactic represents the vectors
adversaries use to gain an initial foothold within a network. • 駭客怎麼打進來的方法…
資安事件調查思路 • 有什麼異常?(What): • 受害對象是誰?(WHO) • 受害對象在哪?(Where) • 如何受害?(How) •
Timeline Analysis • 羅卡定理與時間的交互作用
勒索軟體駭侵調查思路
16 網站駭侵調查思路 • 有LOG: –網頁平台記錄檔 –網頁主機其餘服務存取記錄檔 –檔案時間軸分析 • 沒LOG: –用入侵網站的思維作研判
–請參考右圖黑站思路
17 職業級滅證 • 某一天早上九點半,對外網站完全開不起來… • IR 項目 • History 全清除
• /var/log/* 全清除 • /home/wwroot/* 全清除 (只殘留資料夾) • /etc/ 相關config 全清除
大型資安事件調查思路
3. 資安事件處理工具分享
20 線上沙箱 • https://www.one-tab.com/page/bzBq2VIlSD-5ujzDTw57Kg
線上情資查詢 • https://www.one- tab.com/page/IhfGFd5cSyGDO9cFkn9EGQ • https://www.abuseipdb.com/
22 微軟三寶
23 Windows IR toolkit • https://github.com/diogo-fernan/ir-rescue • https://www.brimorlabs.com/Tools/LiveRes ponseCollection-Bambiraptor.zip •
https://www.sans.org/reading- room/whitepapers/forensics/live- response-powershell-34302
Linux Compromise Assessment
LINUX IR 好文匯整 • https://www.one- tab.com/page/3tLqOfx8T8qkCDp4dDm6_Q
Mac OS IR Tool • TOOL: –KnockKnock –TaskExplorer –Dylib Hijack
Scanner –https://objective- see.com/products.html –https://github.com/jbrad ley89/osx_incident_respo nse_scripting_and_analys is
人工鑑識調查的惡夢 斷點類別: 駭客滅證 EVENTLOG 沒記錄到 惡意軟體行為不明顯
滅證 • Sdelete • ClearEventLog • https://github.com/Rizer0/ Log-killer • https://github.com/hlldz/In
voke-Phant0m
29 Free EDR • Sysmon • Wazuh
Commercial EDR & MDR • 商業的EDR將前面提到的資料即時的收錄 • 搭配有IR人力的MDR服務作資安事件處理
4. 結論
資安沒有百分之百 唯有讓駭客入侵的成本提高 The cyber adversary's tactics flow like water, seeking
the path of least resistance. Plan accordingly. - Sun Tzu, The Art of Cyber War -
被入侵並不可恥 是否有真正回饋及改善 The competent cyber warrior learns from their mistakes.
The cyber master learns from the mistakes & knowhow of others. - Sun Tzu, The Art of Cyber War -
Q&A