Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ITHOME2019-手把手,教你如何處理資安事件
Search
jack chou
March 19, 2019
Technology
0
1.2k
ITHOME2019-手把手,教你如何處理資安事件
jack chou
March 19, 2019
Tweet
Share
More Decks by jack chou
See All by jack chou
Raidforums台灣金融情資驗證探討
jack51706
0
1.5k
Threat Hunting & Compromised Assessment on the cheap 101
jack51706
2
1.5k
我們與厲駭的距離@高科大
jack51706
0
1.1k
鍵盤福爾摩斯的觀落陰真經
jack51706
1
650
研究所資安課程_第五週 準備武器階段 第十七週 清除軌跡
jack51706
0
1.1k
資安課程 外網目標情資偵蒐
jack51706
0
2.1k
TDOHPIPE_公部門資安工作分享
jack51706
0
670
Other Decks in Technology
See All in Technology
会社もクラウドも違うけど 通じたコスト削減テクニック/Cost optimization strategies effective regardless of company or cloud provider
aeonpeople
2
140
RapidPen: AIエージェントによる高度なペネトレーションテスト自動化の研究開発
laysakura
1
380
AI工学特論: MLOps・継続的評価
asei
10
1.4k
メモ整理が苦手な者による頑張らないObsidian活用術
optim
0
110
自分がLinc’wellで提供しているプロダクトを理解するためにやったこと
murabayashi
1
160
AI時代にも変わらぬ価値を発揮したい: インフラ・クラウドを切り口にユーザー価値と非機能要件に向き合ってエンジニアとしての地力を培う
netmarkjp
0
220
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
7k
AI エンジニアの立場からみた、AI コーディング時代の開発の品質向上の取り組みと妄想
soh9834
5
150
2025/07/22_家族アルバム みてねのCRE における生成AI活用事例
masartz
2
100
BEYOND THE RAG🚀 ~とりあえずRAG?を超えていけ! 本当に使えるAIエージェント&生成AIプロダクトを目指して~ / BEYOND-THE-RAG-Toward Practical-GenerativeAI-Products-AOAI-DevDay-2025
jnymyk
4
230
Recoil脱却の現状と挑戦
kirik
2
260
Amazon CloudWatchのメトリクスインターバルについて / Metrics interval matters
ymotongpoo
3
210
Featured
See All Featured
Java REST API Framework Comparison - PWX 2021
mraible
31
8.7k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
840
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
Side Projects
sachag
455
43k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
760
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
Producing Creativity
orderedlist
PRO
346
40k
For a Future-Friendly Web
brad_frost
179
9.8k
4 Signs Your Business is Dying
shpigford
184
22k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Transcript
手把手,教你如何處理 資安事件 中芯數據 資深資安顧問 周哲賢
經歷介紹 • 證照: – CEH – CHFI • 經歷: –
協助檢調單位偵辦重大網路犯罪案件 – 建置企業APT防護 – 協助企業資安事件處理 • 專長: – Incident Response – Penetration Testing & Exploit Research – Malware Analysis – Security Solution Implementation • APT Gateway/Mail/Sandbox/Endpoint • NGFW & NGIPS • Managed Detection and Response
3 議程 • 資安事件的源頭及趨勢 • 資安事件處理思路 • 資安事件處理工具分享 • 結論
1. 資安事件的源頭及趨勢
5 敵人在哪裡 Nation- State Cyber Criminal Insiders Hacktivism
Multi-Stage Download + Loader 6 http://2xx.xxx.xxx.xx7/tips.txt TXT轉成EXE
攻擊新趨勢 (1) • 此bin.exe為PacketiX VPN(Softether商業版),用作 bridge,可讓內部網路與攻 擊者串成同一個內部網路 7
攻擊新趨勢 (2) • SoftEther VPN是一個由筑波大學研究生Daiyuu Nobori(登太游)因碩士論文 而開發的開源、跨平台、多重協定的虛擬私人網路方案,此方案讓一些虛擬私人 網路協定像是SSL VPN 、L2TP、IPsec、OpenVPN以及微軟SSTP都由同一個單
一VPN伺服器提供。 • 北韓網軍LAZURUS攻擊事件也使用該VPN工具作為跳板使用 8
攻擊新趨勢 (3) • 駭客透過此Webshell下載bin.exe(VPN軟體)並嘗試連線到C2 Server 9
10 中繼站的新架構 • C2 with Web Services –Gmail/Gdrive –Dropbox –Github
–Twitter –…
LOLBIN • Only pre-installed software is used by the attacker
and no additional binary executables are installed onto the system • https://lolbas-project.github.io/ • https://gtfobins.github.io/
2. 資安事件處理思路
企業的入侵向量(Initial Access) • The initial access tactic represents the vectors
adversaries use to gain an initial foothold within a network. • 駭客怎麼打進來的方法…
資安事件調查思路 • 有什麼異常?(What): • 受害對象是誰?(WHO) • 受害對象在哪?(Where) • 如何受害?(How) •
Timeline Analysis • 羅卡定理與時間的交互作用
勒索軟體駭侵調查思路
16 網站駭侵調查思路 • 有LOG: –網頁平台記錄檔 –網頁主機其餘服務存取記錄檔 –檔案時間軸分析 • 沒LOG: –用入侵網站的思維作研判
–請參考右圖黑站思路
17 職業級滅證 • 某一天早上九點半,對外網站完全開不起來… • IR 項目 • History 全清除
• /var/log/* 全清除 • /home/wwroot/* 全清除 (只殘留資料夾) • /etc/ 相關config 全清除
大型資安事件調查思路
3. 資安事件處理工具分享
20 線上沙箱 • https://www.one-tab.com/page/bzBq2VIlSD-5ujzDTw57Kg
線上情資查詢 • https://www.one- tab.com/page/IhfGFd5cSyGDO9cFkn9EGQ • https://www.abuseipdb.com/
22 微軟三寶
23 Windows IR toolkit • https://github.com/diogo-fernan/ir-rescue • https://www.brimorlabs.com/Tools/LiveRes ponseCollection-Bambiraptor.zip •
https://www.sans.org/reading- room/whitepapers/forensics/live- response-powershell-34302
Linux Compromise Assessment
LINUX IR 好文匯整 • https://www.one- tab.com/page/3tLqOfx8T8qkCDp4dDm6_Q
Mac OS IR Tool • TOOL: –KnockKnock –TaskExplorer –Dylib Hijack
Scanner –https://objective- see.com/products.html –https://github.com/jbrad ley89/osx_incident_respo nse_scripting_and_analys is
人工鑑識調查的惡夢 斷點類別: 駭客滅證 EVENTLOG 沒記錄到 惡意軟體行為不明顯
滅證 • Sdelete • ClearEventLog • https://github.com/Rizer0/ Log-killer • https://github.com/hlldz/In
voke-Phant0m
29 Free EDR • Sysmon • Wazuh
Commercial EDR & MDR • 商業的EDR將前面提到的資料即時的收錄 • 搭配有IR人力的MDR服務作資安事件處理
4. 結論
資安沒有百分之百 唯有讓駭客入侵的成本提高 The cyber adversary's tactics flow like water, seeking
the path of least resistance. Plan accordingly. - Sun Tzu, The Art of Cyber War -
被入侵並不可恥 是否有真正回饋及改善 The competent cyber warrior learns from their mistakes.
The cyber master learns from the mistakes & knowhow of others. - Sun Tzu, The Art of Cyber War -
Q&A