# HITCON 2017 FreeTalk 共同筆記 ###### tags: `HITCON` 主題：HITCON 2017 FreeTalk - 從 CCleaner 後門事件看企業如何因應 supply-chain APT attack & 2017 駭客搶銀行 日期：2017.10.13(五) 歡迎大家針對這次的議題作共筆！ ## Supply Chain Attack 軟體供應鏈攻擊 (GD @ HITCON) ### Watering hole attack 水坑攻擊 在獵物聚集的地方等待目標，選擇目標下手 * 網頁掛馬 SWC (Strategic Web Compromise) * 軟體供應鏈 SCA (Supply Chain Attack) ### 小結 供應鏈廠商被打進去是沒救的 * 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽) * 廠商要顧好自己的 Source Code Repository * 廠商要顧好自己軟體的 CI/QA 測試，安全漏洞 * 廠商要顧好自己的數位簽章主機 ### 資安事件處理方法 Digital Forensics→Incident Response→Proactive Incident Handling * 1997 Disk Forensics * 1999 Network Forensics * 2001 Memory Forensics * 2003 National CERT * 2005 Private CSIRT * 2007 SIEM, SOC, MSSP * 2010 Stuxnet / APT * 2011 Threat Intelligence * 2013 Remote Forensics EDR * 2015 Orchestration * 2016 Threat Hunting ### 理想的 CSIRT 資源配置 * 目前多數公司預算分配 * Hunting & Response < Detection < Prevention * 理想的主動防禦公司 * Hunting & Response > Detection > Prevention # 近期銀行轉帳攻擊事件導讀 (PK @ HITCON) ## The big-name in cyber incidents * ICS, Eastern Europe * BlackEnergy(2014.6) * CrashOverride(2015.12) * Petya(2016.4) * NotPetya(2017.7) * Bank, cyberespionage * Lazarus(2009) * SWIFT Cyberheist (2016) * Wannacry(2017.5) ... ## Takeaway * 駭客利用組合技 (勒索軟體,SWIFT攻擊程式,釣魚信件) * 初始調查時易誤導為一般勒索事件 * 系統加密後無法開機，資安鑑識調查困難 * 銀行本身整體安全、應用程式部署而非僅SWIFT問題 * 國外應變CCleaner透過橫向縱向情報聯繫把中繼站上有的受害者都找出來通報 * 反看我們等到國外都有分析報告了我們台灣還是不太清楚？ # HITCON Pacific 2017 議程預告 * GREAT SCOTT GADGET: Michael Ossmann * TEPCO 東京電力 --- # Panel 問題區（歡迎大家先來填寫） 1. CCleaner 現在發布的更新版，還可以信任嗎？ 1. 人工智能在資安攻防之應用 1. 官方管道下載的程式，防毒軟體未檢測出異常，若沙箱同樣沒發現，是否檔案就真的可以信任？ 或是有什麼措施可以減輕損害？ 1. 想多了解有無白帽駭客相關課程，可以供我們企業去上課，加強資安觀念 1. 針對電商業者與開發平台商及共應商,是否有建議的簡單應對方式? 1. CCleaner 後門事件也許是第一次，但不會是最後一次。 面對這樣的情況，未來企業、民眾該如何防範、自保? 1. 許多廠商裝著第三方的產品、防毒並且依賴著廠商的套件產品，如再次遇到類似CCleaner這樣的事件，導致公司受到危害、損失，是否可向廠商要求賠償? 1. APT攻擊很可怕，連大型資安公司都遭受攻擊危害，那麼對於其他一般企業如遭遇APT攻擊時該如何防範呢? 有沒有什麼基本SOP防範措施 或是 加強訓練 ? 1. 透過這次的事件，其實服務提供商也算是受害者，有沒有什麼建議給服務提供商，降低類似的事件發生機率 1. 銀行面對國際駭客針對SWIFT攻擊，有甚麼新的攻擊趨勢，有沒有建議銀行防禦思維應該要做甚麼改變 1. 要如何主動出擊，若是依現有特徵偵測方式，那現有的架構即可處理？ 2. 請問這次CCleaner如何是被竄改(連資安軟體公司都被入侵破壞,若是可以從他這源頭開始Study應該是個很好學習的case) 3. 請問一般的中小企業，除了Microsoft Update落實，防毒軟體落實及管理，防火牆等等維護，人員的資安宣導之外，還有什麼其它建議的方法或者手段可以有效提升整體安全性? 整體的安全性要如何評量達到該企業所需要的水平? 4. 請問實體隔離的網路，風險來自哪裡？又要如何說服長官針對這些脆弱點投資，以外部防禦來說，是否需要使用權支援應用程式辨識的NGFW? 5. 針對arcsight的源碼被某國去看的問題有什麼想法？優缺點？ 6.