Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ITHOME2019-手把手,教你如何處理資安事件
Search
jack chou
March 19, 2019
Technology
0
1.2k
ITHOME2019-手把手,教你如何處理資安事件
jack chou
March 19, 2019
Tweet
Share
More Decks by jack chou
See All by jack chou
Raidforums台灣金融情資驗證探討
jack51706
0
1.5k
Threat Hunting & Compromised Assessment on the cheap 101
jack51706
2
1.5k
我們與厲駭的距離@高科大
jack51706
0
1.1k
鍵盤福爾摩斯的觀落陰真經
jack51706
1
650
研究所資安課程_第五週 準備武器階段 第十七週 清除軌跡
jack51706
0
1.1k
資安課程 外網目標情資偵蒐
jack51706
0
2.1k
TDOHPIPE_公部門資安工作分享
jack51706
0
670
Other Decks in Technology
See All in Technology
rubygem開発で鍛える設計力
joker1007
2
200
監視のこれまでとこれから/sakura monitoring seminar 2025
fujiwara3
11
3.9k
Oracle Cloud Infrastructure:2025年6月度サービス・アップデート
oracle4engineer
PRO
2
240
PostgreSQL 18 cancel request key長の変更とRailsへの関連
yahonda
0
120
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
26k
SalesforceArchitectGroupOsaka#20_CNX'25_Report
atomica7sei
0
170
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
tiltmax3
0
310
Witchcraft for Memory
pocke
1
310
~宇宙最速~2025年AWS Summit レポート
satodesu
1
1.8k
Observability в PHP без боли. Олег Мифле, тимлид Altenar
lamodatech
0
340
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
upamune
2
950
AIの最新技術&テーマをつまんで紹介&フリートークするシリーズ #1 量子機械学習の入門
tkhresk
0
140
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
281
13k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.5k
Writing Fast Ruby
sferik
628
61k
Gamification - CAS2011
davidbonilla
81
5.3k
Balancing Empowerment & Direction
lara
1
370
Site-Speed That Sticks
csswizardry
10
660
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Why Our Code Smells
bkeepers
PRO
337
57k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
A Modern Web Designer's Workflow
chriscoyier
694
190k
Mobile First: as difficult as doing things right
swwweet
223
9.7k
How GitHub (no longer) Works
holman
314
140k
Transcript
手把手,教你如何處理 資安事件 中芯數據 資深資安顧問 周哲賢
經歷介紹 • 證照: – CEH – CHFI • 經歷: –
協助檢調單位偵辦重大網路犯罪案件 – 建置企業APT防護 – 協助企業資安事件處理 • 專長: – Incident Response – Penetration Testing & Exploit Research – Malware Analysis – Security Solution Implementation • APT Gateway/Mail/Sandbox/Endpoint • NGFW & NGIPS • Managed Detection and Response
3 議程 • 資安事件的源頭及趨勢 • 資安事件處理思路 • 資安事件處理工具分享 • 結論
1. 資安事件的源頭及趨勢
5 敵人在哪裡 Nation- State Cyber Criminal Insiders Hacktivism
Multi-Stage Download + Loader 6 http://2xx.xxx.xxx.xx7/tips.txt TXT轉成EXE
攻擊新趨勢 (1) • 此bin.exe為PacketiX VPN(Softether商業版),用作 bridge,可讓內部網路與攻 擊者串成同一個內部網路 7
攻擊新趨勢 (2) • SoftEther VPN是一個由筑波大學研究生Daiyuu Nobori(登太游)因碩士論文 而開發的開源、跨平台、多重協定的虛擬私人網路方案,此方案讓一些虛擬私人 網路協定像是SSL VPN 、L2TP、IPsec、OpenVPN以及微軟SSTP都由同一個單
一VPN伺服器提供。 • 北韓網軍LAZURUS攻擊事件也使用該VPN工具作為跳板使用 8
攻擊新趨勢 (3) • 駭客透過此Webshell下載bin.exe(VPN軟體)並嘗試連線到C2 Server 9
10 中繼站的新架構 • C2 with Web Services –Gmail/Gdrive –Dropbox –Github
–Twitter –…
LOLBIN • Only pre-installed software is used by the attacker
and no additional binary executables are installed onto the system • https://lolbas-project.github.io/ • https://gtfobins.github.io/
2. 資安事件處理思路
企業的入侵向量(Initial Access) • The initial access tactic represents the vectors
adversaries use to gain an initial foothold within a network. • 駭客怎麼打進來的方法…
資安事件調查思路 • 有什麼異常?(What): • 受害對象是誰?(WHO) • 受害對象在哪?(Where) • 如何受害?(How) •
Timeline Analysis • 羅卡定理與時間的交互作用
勒索軟體駭侵調查思路
16 網站駭侵調查思路 • 有LOG: –網頁平台記錄檔 –網頁主機其餘服務存取記錄檔 –檔案時間軸分析 • 沒LOG: –用入侵網站的思維作研判
–請參考右圖黑站思路
17 職業級滅證 • 某一天早上九點半,對外網站完全開不起來… • IR 項目 • History 全清除
• /var/log/* 全清除 • /home/wwroot/* 全清除 (只殘留資料夾) • /etc/ 相關config 全清除
大型資安事件調查思路
3. 資安事件處理工具分享
20 線上沙箱 • https://www.one-tab.com/page/bzBq2VIlSD-5ujzDTw57Kg
線上情資查詢 • https://www.one- tab.com/page/IhfGFd5cSyGDO9cFkn9EGQ • https://www.abuseipdb.com/
22 微軟三寶
23 Windows IR toolkit • https://github.com/diogo-fernan/ir-rescue • https://www.brimorlabs.com/Tools/LiveRes ponseCollection-Bambiraptor.zip •
https://www.sans.org/reading- room/whitepapers/forensics/live- response-powershell-34302
Linux Compromise Assessment
LINUX IR 好文匯整 • https://www.one- tab.com/page/3tLqOfx8T8qkCDp4dDm6_Q
Mac OS IR Tool • TOOL: –KnockKnock –TaskExplorer –Dylib Hijack
Scanner –https://objective- see.com/products.html –https://github.com/jbrad ley89/osx_incident_respo nse_scripting_and_analys is
人工鑑識調查的惡夢 斷點類別: 駭客滅證 EVENTLOG 沒記錄到 惡意軟體行為不明顯
滅證 • Sdelete • ClearEventLog • https://github.com/Rizer0/ Log-killer • https://github.com/hlldz/In
voke-Phant0m
29 Free EDR • Sysmon • Wazuh
Commercial EDR & MDR • 商業的EDR將前面提到的資料即時的收錄 • 搭配有IR人力的MDR服務作資安事件處理
4. 結論
資安沒有百分之百 唯有讓駭客入侵的成本提高 The cyber adversary's tactics flow like water, seeking
the path of least resistance. Plan accordingly. - Sun Tzu, The Art of Cyber War -
被入侵並不可恥 是否有真正回饋及改善 The competent cyber warrior learns from their mistakes.
The cyber master learns from the mistakes & knowhow of others. - Sun Tzu, The Art of Cyber War -
Q&A