[CYBERSEC] 2020 台灣資安大會 CyberSec 共筆

# [CYBERSEC] 2020 台灣資安大會 CyberSec 共筆 > [name=Hsieh, Yuan-Shen] > [time=Tue, Aug 11, 2020 08:00 AM] [TOC] ## [keynote] 開場 > [time=Tue, Aug 11, 2020 10:00 AM] - 有 76% 的攻擊部署是在非上班時間 - 今年因為疫情台灣資安大會成為世界唯二兩個能順利開場的資安大會，躋身全球世界級資安大會 --- ## [keynote] 總統致詞 > [name=蔡英文] > [time=Tue, Aug 11, 2020 10:05 AM] - 除了總統之外還有唐鳳、顧立雄等人也有來。 - 總統是第二次來，講完話就走了。 - 總統講完就去四樓參觀了。 --- ## [keynote] Securing the Digital Now > [name=張裕敏] > [time=Tue, Aug 11, 2020 10:15 AM] - NSA和CISA表示因為受到疫情的影響網路駭客活動特別猖獗。特別是有許多資安勒。 - Target ransom： `DMZ zone` -> `Server zone` - 透過主機、網頁、VPN弱點進入主機後台 - 取得特權帳密進入主機後台 - 現在不鎖資料->要不勒索沒有備份的人、要不威脅直接在網路上公開。例如： Bruns Building & Development - 國際駭客發現台灣很喜歡付錢 - Ragnar Locker （舊手法、新規避）： - 用 MSI 套件植入受害者電腦 - 安裝 Oracle VirtualBox hypervisor - 啟動虛擬機 MicroXP v0.82 + Ragnar Locker 和受害者電腦做硬碟分享 - 同時 MicroXP 自己加密導致資安軟體無法讀取偵測 - 七月大廠同步升級修補，`Emotet` 已將此漏洞含到最新的套件中，預計接下來會有大量的攻擊（複製資料） - f5 - CISCO - SAP - CITRIX - paloalto - Microsoft - 不同類型的駭客 - Meow bot：把 elasticsearch and mongoDB 的資料清空，不過他們只是惡作劇 - 好心的駭客：在 elasticsearch, mongoDB, and cassandra 留下 university_cybersecurity_experiment - GDPR 勒索：威脅把資料交給歐盟 GDPR （會有 5% 逞罰性罰金） - DevOps 風險：DevOps 應用程式配置不當導致各大廠的 source code 被公開（如果去 copy 一份就可以「開源」了），如果是使用 GitHub, GitLab, and Jira 可能要再審視一下自己的權限設定 - 安全上雲、雲端安全： - 系統上雲端如果為了方便網路亂設，不但自己看的到，別人也看得到。特別是 Container 設定。 - Cloud Native Application - Cloud Migration - Cloud Operational Excellence - 5G 風險： - 5G 核心網路架構安全風險：電信業者擔心的網路架構問題，是否會有安全漏洞？ - MEC（多接取邊緣運算）平台資安風險 - 企業/工業網路應用資安風險 - 獨立組網 (SA) 切片風險：以後可能沒有網路線，每一個設備都有一個小 SIM 卡直接上雲端，如果用 SIM 卡連上網要怎麼互相溝通，自己的內部溝通會不會被外界參與？ - 資料安全風險：內部員工洩密？ - IOT 萬物皆含電腦、萬物皆可連網、萬物皆會被駭、萬物皆能追蹤例如：勒索你上廁所要付費才能沖水XD 例如：駭客駭入快充設備寫入韌體程式讓手機在快充過程中直接把手機燒壞 - 情資分享 Threat Intelligence - SOC Log人員監控與處理 - SOAR 自動化分析與快速反應 - xDR 全面偵測與回應 - SASE (Secure Access Service Edge) 服務邊際安全存取 - 數位轉型、威脅趨勢 - 駭客思維：從好玩測試轉變為破壞勒索 - 雲端 5G 普遍化 - 漏洞攻擊普及化：與其覺得自己不會被攻擊不如先想自己什麼時候會被攻擊 - 數位轉型、防護建議 - 情資分享 - 多元防護：IT/OT/BYOD/home - 超前部署 --- ## [keynote] 化被動為主動，打造內網資安會平台 > [name=黃士滄] > [time=Tue, Aug 11, 2020 10:50 AM] > 坦白講我覺得這個人是來打廣告的...講得很冗然後都在介紹產品運用 - 108 年資安威脅分析 - 勒索軟體攻擊不減反增 - 內網威脅更難防範 - IOT威脅 - 前畫資安防護完整性及有效性 - 金融業稽核 - 政府稽核 - 內網資安防護思維：化被動為主動 - 數據整合、關聯分析 - 內網資安資訊整合 Security Intelligence Portal (SAP)：整合可以了解目前組織安全情況 - 網路 - 網路設備 - 端點防護 - 網域管理 - 資安風險管理機制 - 資安風險評鑑 - 攻擊行為分析 - 進到內網->尋找對象->取得權限->破壞 - 高風險設備 - 設備開關機時間紀錄 - 設備下班未關機稽核 - 設備久未重開機稽核 - 設備久未開機稽核 - 設備半夜異常開關機稽核 - 設備 AD 使用者登入登出時間紀錄 - 電腦本機登入稽核 - 電腦遠端登入稽核 - 設備久未使用設備稽核 - 資安管理 Agent - 未安裝 - 久未回報 - Windows 設備異常組態異動分析 - 是否新增非法軟體 - GPO套件是否有異動 - 是否有提權但未回收 - 是否開啟權限過高之資料夾 - 是否有異常的 - 內外網協同防禦 - 主動式內網安全管理檢核流程 1. 收集：內部收集盤點 2. 申請：未經過申請不能連網 3. 使用：資安政策檢查 4. 管理：資安政策自我矯正 5. 檢測 - 新設備資安政策檢查自動化 - 資安政策持續性檢查自動化：是否有正常回報到管理主機上 - 資安合規矯正自動化：軟派軟體做自動化矯正 - 建構資安協同防禦平台 - 共用 Protocal 例如 RESTful API - 設備自動化隔離中斷連線 - 政府 A 級機關認證 - 資訊資產盤點：e-SOFT內網資安智慧平台 - 導入效益：降低時間成本、提高服規率 - 製造業內網資安管理的挑戰 - 挑戰 - RD：Lab 無法強制控管 - FAB：病毒感染造成營運中斷、設備多難以盤點 - IoT：設備種類繁多無法有效盤點 - OA：Windows設備AD - 防護檢查機制 - 新設備直接封鎖 - Tracker 重導資安檢查頁面 - 用戶端執行企業及防毒軟體安全檢查 - 管理機制 - RD：Windows直接封鎖、RD筆電盤點、RD軟體異動偵測、USB軟體完整性檢查 - FAB：新設備檢查、Windows設備自動偵測、扯區自動盤點 - IoT - OA - 金融業內部資安稽核 - 稽核缺失 - 存取控管：固定IP的控管 - 端末防護：工作站 - 新興科技：行內IoT設備 - 海外法規： - 資安管理自動化 - e-SOFT 內網資安智慧平台 - IP申請流程自動化 - 自動盤點設備清單造冊 - IoT裝置風險管理 - 資安防護完整性及有效性管理 - Swift工作站、派版主機及廠商區管理 - EOS設備盤點造冊 - 連續假期強化資安管理 - F-ISAC風險通報快速因應 - F-Cert打造銀行內外網聯防機制 - 總結 - 做好準備 - 超前部署 - 追蹤和隔離 - 數據分析 --- ## [keynote] 化被動防禦為主動偵測，阻斷可疑活動 > [name=陳伯榆] > [time=Tue, Aug 11, 2020 11:20 AM] > e04 這個人也是來打廣告的...感覺只有第一個人認真講QQ - 總覽 - 2020 Cost of Insider threats Global Report 1. 員工或第三方廠商 2. 內部惡意攻擊 3. 帳號外洩 - 2020 Threats of Taiwan - 遠距上班的連線 - 疫情開放的API - 風險在哪裡 - 部門角度：不同部門關注的資料行為風險亦不同 - 技術基礎：搜集了數據之後要如何分析，內部威脅與駭客技術混用會越來越廣泛 - Knowledge Gap：技術演變導致精進追趕不上 - 角色差異：不同主管關心的事不一樣，離職員工刪檔案？ - 資安規模與資源：缺乏精於資安風險評估的人員 - DLP 與 Zero Trust 結構結合下 Dashboard & EDR - Zero Trust Security (End Point) -> Visibility & Analytics （非線性分析，依使用用途角色等不同因素結合作分析，例如使用 USB 的次數依不同部門角色會有不同的結論）-> Endpoint Detection and Response (ex. Automation, Manual, Notification) - Dashboard 風險分析1：Risk Under Private IP (Network Trust) - Public IP: General Web, None-general Web, Deep Web, Dark Web - Private IP: - 172.16.0.0-172.31.255.255 - 192.168.0.0-192.168.255.255 - 10.0.0.0-10.255.255.255 - Risk: - Unauthorized VM - Unauthorized Network Device Interconnection - Unauthorized Tunnel - Unauthorized NAT - Localhost - Dashboard 風險分析2：Who access unauthorized devic - 使用不安全的外部網路？ - Dashboard 風險分析3：Who access Cloud Storage (Cloud Trust) - Dashboard 風險分析4：CMD 環境下風險分析 (Command Trust) - LOLBAS, ngrok.exe, ATT&CK - 混淆的 CMD - ... - 結論：數據分析 --- ## [keynote] 加油吧！勒索軟體 > [name=邱銘彰] > [time=Tue, Aug 11, 2020 11:50 AM] > 這個直接不演了，上來直接介紹樓下攤位 > 不過他講的真的很有趣，感覺是個有趣的創辦人 :smile: - 自我介紹：他說他是少數能去舊金山參加 RSA 資安展覽又回台灣的人XD - 勒索風險：因為疫情的關係所以今年的勒索攻擊比歷年同期都還猖獗 - 中油大當機：民生用品也開始有機會受到影響 - 素材： - 素材1：調查局公布的資料 - 異常詳細，提到 AD, GPO, Winnti Group 等等 - 素材2：中華電信公布的IOC資料 - 不過中繼站 IP 異常多 - 素材3：有一個客戶要求來資安鑑識 - 發現有一個軟體和中華電信公布的 Hash 一樣 - 不過因為已經重灌還原所以鑑識資料不全 - 資安方法： - 過往的資安鑑測很依賴經驗 - 其實 AD Server 可能未必被攻破，有可能只是取得了高權限帳號 - 希望可以用還原現場 - 取得殘存的惡意程式 - 用 CYCARRIER 還原電腦跟電腦的連線感染關係 - 用 CYBERTOTAL 去找最有可能的攻擊者來源（已裝有許多公開資料） - 分析結果： - 網管的電腦沒有還原 - 駭客已在系統內潛伏，但直到四月底才以排程發動攻擊 - 四月底只裝了後門程式，五月底才安裝加密勒索軟體 - 上班開機之後 GPO 自動更新，中午 12:10 才開始加密檔案 - 比起勒索金錢，更像是為了造成輿論壓力影響社會活動 - 猜測： - 日期 - 4/26日：駭客開始活動 - 4/27一：裝第一次後門程式 - 4/28二：休息 - 4/29三：裝第二次後門程式 - 4/30四：修咦 - 5/01五：勞動節 - 5/02六：連假 - 5/03日：連假 - 5/04一：多家公司GG - 5/05二：多家公司GG - 5/06三：大家開始重灌 - ... - 5/15五：調查局公布 - 連假其實是資安攻擊最猖獗的時間，因為大家都去放假了，尤其是只有我國放連假的時候XD - 中華電信公布的 domain 應該只是把有關係的全部都列出來，並未真的有活動 - 看起來是用 Win APT10 的攻擊，不過很難推測是誰做的，因為駭客有可能會共享資源 - Winnti Group 近年很活躍，早年攻擊遊戲，近期主要攻擊金融、科技公司，感覺是一個不單純的勒索軟體 - 攻擊基礎設施的 APT 攻擊應該不是自動化攻擊，應該是人為的。且駭客應該已經潛伏多時，握有高權限帳戶多日 - 不過其實因為提前部署攻擊的關係其實有多天可以預防此事的發生 - AI 自動化全場域鑑識與自動化分析應該是下一代 AI-SOC 的趨勢 --- ## [Attack & Defense Camp] 網路壞壞 > [name=廖威捷] > [time=Tue, Aug 11, 2020 02:00 PM] > 中正大學電機系碩士，IBM Security Engineer > Protecting Your Internet Route Integrity > https://github.com/jieliau > https://github.com/jieliau/cybersec2020_poc > https://github.com/jieliau/asnChecker - 三個 Case study - 19 Horizen Routing `/21` issue - 18 MainOne leaked Google CloudFlare IP routes to CHina Telecom - 18 Amazon Route53 Ether Wallet issue - Internet Number Resources (INR) - 除了IP之外還又ASN (Autonomous System Number) - 每個單位會有自己的 AS Number - BGP：Routing Protocal - AS Path: Path for routing amonge ASes - Extenral BGP: cross ASes routing - Internal BGP: in the same ASes - 有時候同一個 AS 物理上仍為非長遠的距離所以 iBGP 還是有用 - https://bgp.potaroo.net/ - BGP Problem - AS Path Manipulation: Make a fake best route and hijack trafic to specific AS - Prefixes Origin Hijacking - parcitally hijacking: using the same prefix as others to get a part of the trafic from the original route - total hijacking: using a longer prefix to get all the route from the orignal route - Route Leaks - A route leak is the propagation of routing announcemnets - Fat fingers - 6 types - RFC7908 - There are hundrads of hijack and leak every month - https://bgpstream.com - Protecting - Prefixes or AS Path filtering - filter out every prefix that is larger than 24 :laughing: - BGPSec - prevern AS path manipulation - use key pair to sign traffic - Resource PKI (public key infrastructure) - use resouces certificate - Route Origin Authorization - fixed the following information: - IP prefixes - Maximum length - Autonomous System Number - RPKI Status - CloudFlare issues ROA and covers 90% of it's prefixes - NTT is testing - AT&T and KPN are now dropping all invalids - Q&A - Same AS can include different Geolocation, for example the 8.8.8.8 (Google) and 9.9.9.9 (IBM) --- ## [CYBERSEC 101] 第一次使用 k8s 就不埋漏洞 > [name=YSc] > [time=Tue, Aug 11, 2020 02:45 PM] > 白帽觀點創辦人/HITCON CMT/Balson CTF Team > - Kubernetes Basic - containerize application organize system - microservice for VM and container - structure - control plane: Deployment(YAML, find empty pods to deploy), Service(YAML, can act like a low balancer) - node(s): Kuberlet(waiting for command) - pod(s) - container(s) - node(s): Kuberlet - pod - container(s) - 資安問題 - 基礎上的資安問題 (SRE team, Infra team) - 自建 vs 雲端 - 自建：kubeadm, kops - 雲端：AWS, GCP - 管理 - 金鑰管理：K8s secret doesn't encrypt your secret in etcd - 權限管理：憑證共用問題、憑證更新管理問題（`namespace` in k8s, kind of like VLAN）、切割權限問題 - 網路管理：內部平行滲透，特別是沒有 Auth 的服務（例如 MongDB） - 解決工具（開源為主） - Secret Management: [HashiCorp Vault](https://www.vaultproject.io/) - Authentication: [dex](https://github.com/dexidp/dex) - Network policy: [K8s Network policy](https://kubernetes.io/docs/concepts/services-networking/network-policies/) (like internal firewall), [Istio](https://istio.io/) - 應用上的資安問題（Development team） - 潛在問題： - 設定檔檢查：沒有限制 CPU & Memory、沒做 Liveness Probes、沒有 Network policy、Run by root - 映像檔安全 ([Container issue](https://www.ithome.com.tw/news/129018)) - 服務運行時的資安 - 解決工具 - [kube-score](https://github.com/zegl/kube-score) - [trivy](https://github.com/aquasecurity/trivy) - [falco](https://falco.org/) - [kube-bench](https://github.com/aquasecurity/kube-bench) - 流程： - 建立 Kubernetes 之前：金鑰管理、身份管理 - 配置 Kubernetes：金耀權限規劃串接, Network policy, Service Mesh, Runtime Security, Kubernetes Audit Event - 開發服務時：DevSecOps, CI pipeline check, CD pipeline check --- ## [CyberLAB] 資安事件實戰演練 > [name=Zet & Tom] > [time=Tue, Aug 11, 2020 03:30 PM] > 我不小心錯過中午的報名時間所以沒辦法搶到唯有的 20個名額 QQ :cry: --- ## [HITCON Talk] NAS 與 CVE 之間的距離 > [name=ddaa] > [time=Tue, Aug 11, 2020 04:00 PM] > > 0xddaa@gmail.com > Trapa Security Researcher & Co-founder > HITCON CTF 戰隊成員 > Synology > > [HITCON Zeroday](https://zeroday.hitcon.org/) - NAS Introduce - > Networking, Application, Storage. - Synology - Data store in NAS and service run on server - Prior Knowledge - Type - CVE (Common Vulnerabilities and Exposures): vulnerability number - CWE (Common Weakness Enumeration): root cause for sorting - CVSS (Common Vulnerability Scoring System): the severity of the vulnerability - 0.0: None - 0.1 ~ 3.9: Low - 4.0 ~ 6.9: Medium - 7.0 ~ 9.0: High - 9.0 ~ 10.0: Critical - NVD (National Vulnerability Database) - Scenario: HackerOne Bounty Report 1. Weakness: CWE 2. Severity: CVSS - CVSSv3 - Cause - Attack Vector, AV - Network (N) - Adjacent (A) - Local (L) - Physical `(P)` - Attack Complexity, AC - Low (L) - High (H), MITM attack - Privileges Required, PR - None (N) - Low (L) - High (H) - User Interaction, UI - None (N) - Require (R) - Affect - Scope, S - Unchanged (U) - Changed (C) - Confidentiality, C - None (N) - Low (L) - High (H - Intengrity, I - None (N) - Low (L) - High (H - Availability, A - None (N) - Low (L) - High (H) - Example - CVE-YYYY-NNNN Product - Affected component - Security Risk - Weakness - CVSSv3 - Example: Meldown (CVE-2017-5753) - NVD: 5.6 (medium): PR (L) - Synolog: 5.3 (medium): PR (H) - Example: CVE-2018-0372 MediaWiki - Example: CVE-2017-5223 PHPMailer - Affected component - Security Risk - Weakness - CVSSv3:6.5 - Example: CVE-2017-7494 SambaCry - Affected component - Security Risk - Weakness - CVSSv3:8.8 - Example: CVE-2018-1160 Netatalk - Affected component: libatalk.so - Security Risk - Weakness: CWE-120 - CVSSv3:7.3 -> 9.8 - Vulnerability Analysis - CVE-2017-5223 - CVE-2017-7494 - CVE-2018-1160 - Why attacks NAS: ASLR isn't install on NAS - Nettalk daemon afpd is default to fork-based - [http](https://ddaa.) - [pwnable](https://pwnable.tw) --- ## [Attack & Defense Camp] 從零開始了解存取控制狂 SELinux > [name=王禹軒] > [time=Tue, Aug 11, 2020 04:45 PM] > 聽這一場有一點小遲到，因為前一場多講了一些時間 > 歹勢但是到最後我真的聽不懂 QQ :cry: > - SELinux Intro - Made by USNSA and RedHat. Thus it is mainly for military usage. - Concept - Mandatory Access Control: (DAC use identity) use activity to detect access control. This job is defined by user and passed to kernal for checking. - Label Format: - Filesystem with extended attribite - User:Role:Type:Range - Type enforcement: only same type can access - MCS (Multi-category security) - MLS (Multi-lable security) - Trusted subjects: include kernel, init, pam and login -> if trusted subjects is attaked, the MLS might fail - LMS Hook and Audit System - SELinux-aware - SELinux 擋住 - 看 Log - /var/log.audit - journalctl - dmesg - 檢視是否要存取 - boolean - change label - change SELinux user mapping - add a new policy rule - 更改 SELinux 設定檔 - semanage - fcontext - user & login - Limitation - Kernel attack - If it allows it, you can't deny it --- ## [AI Security Form] I See you! 在億級海量 Quad9 DNS 數據中利用 AI 挖掘駭客的足跡 > [name=郭柏妤] > [time=Wed, Aug 12, 2020 10:00 AM] > > 這個研究跟我之前的 Final Year Project 很像，只是他們的 traffic 來自 DNS (感覺訊息量更大) 然後他們有更好的 pre-process & clustering - What is Quad9 - free DNS 9.9.9.9, which filter suspicious domain - average blocks 60M/440M domain query - Quad9 DNS query traffic clustering - pre-process -> clustering -> evaluate - perform analysis in cluster of our interested domains - Find new malicious domians in suspicious cluster - ML 1. Data pre-processing - Split the data into fragments: but might lost some information (distortion) - PCA (Principal component analysis): a better way to pre-process w/o distortion - `filtering` -> `aggregation` -> `normalization` - filtering: remove domains that don't follow domain name rules. ex. `local` - aggregation: aggregation query traffic data with time window ex. 1hr - normalization: normalize the number to 0 ~ 1 3. Time series clustering - Num of clusters - Silhouette method: minimize the distence between the same cluster and maximize the distence betwee different clusters - Distence clustering - Euclidian distance: this is for one-to-one mapping, thus, time delay might cause mapping issue - DTW (Dynamic Time Warping): this solve the issue of `Euclidiam distance` that it take the entire form of dots into consideration - But the drawback of this method is it takes a serious large amoung of time to process. (> ED * 2000) - Algorithm - K-mean - DBSCAN (Density-Based Spatial Clustering of applications with moise) - will remove outlayer(?) - Result - DGA (Domain Generation Algorithm) clusters - Spam clusters: the domain include spam - Suspicious clusters: found 43 domain with 24 malicious domain block by Quad9 and 8 unblock malicious domain - conclusion - this method can classify DGA quite well - can group domains that have similar characteristics - can get volumetric feature for detevting malicious domains --- ## [Disinformation Form] Islander 島民衛星：AI-Empowered Real-time News Monitoring > [name=陳縕儂] > [time=Wed, Aug 12, 2020 10:45 AM] > - [islander 島民衛星](https://islander.cc/latest/) - 因為假新聞的變化多端，所以用 Islander 島民衛星來為新聞做前置處理 - 用客製化的方式去排序媒體並且客觀的給它評分來判斷是否中立、是否是好新聞，可以讓使用者去發現哪些報導是比較好的、哪些媒體又是比較可能有問題的，也希望以此激勵媒體往好得方向去發展 - 媒體品質分析 - Problems in News Media: Bias 偏頗, Hearsay 傳聞, Sedition 煽動 - Indication for Trustworthuness: 中立不偏頗、引用充足、客觀不煽動 - Bias Analysis: 遣詞用字是否暗中但有正反方的偏頗 - Fact/Opinion Analysis: 就算是引述事實也可能因為引述單一面向的論點而造成偏頗，不過這方面比較難研究所以只以引述佔整篇篇幅的比例做判斷 - Sentiment Analysis: 是否用了情緒性用字，例如痛批、飆罵 - Example - 口罩外交 - #TaiwanCanHelp hash tag 發文分析 - 比對各國政要轉發口罩貼文的時間點和 #TCH 在 twitter 上的討論熱度，發現正要發文的時間點幾乎都可以在 twitter 上引起討論 - 口罩外交前後發現在之前 #Taiwan 的 hash tag 時常是負面貼文，之後感謝台灣的推文居多，所以無論這個政策是好是壞，至少在 twitter 上帶來了正面的討論 - Said sorry to Tedros - #saysrytoTedros - 使用這個 hash tag 的人群體集中，幾乎都是關注一樣的事情，群體很集中，且較親中 - #ThisAttackComesFromTaiwan - 這一群人也很小，但是群題比較 diverse 應該是比較多不同來圓的人 - 結論是使用 #saysrytoTedros 應該是中國網軍 - Information Propagation Pattern - abnormal pattern: 例如武漢肺炎疫情來自美國的訊息傳遞路徑詭異且涉及許多假新聞，因此可能是也很可能是假新聞的一環 - islander Magic quadrant: 一個矩陣來判斷媒體是否健康 - 下星期 islander 會改版，歡迎大家上去玩玩看 --- ## [Attack & Defense Camp] Operation ENDTRADE: TICK 網路間諜集團利用多重階段後門程式攻擊不同產業並竊取機密資料 > [name=Joey Chen] > [time=Wed, Aug 12, 2020 11:30 AM] > - What is Operation ENDTRADE? - Target specific commercial trade - multi-year, multiple-waved attck with TTPs - Target second layer and third layer supply chain as well - TICK a.k.a BRONZE BUTLER, RedBaldNight - China might be the country supporting this group - Main target is Japan, Korea, Singapore, and Taiwan - since 2018, there main target is chemical industry (43%), manufactiuring (28%), and government (19%). They also attack personal tech-device supply industry and public report industry. - early 2018: Mainly target public report companies to steal report - late 2018: Use the report stolen from the public report companies to phishing chemical industry - 2019: start to attck the government and military by getting the secret information from the chemical industry. - Using Real Document/Mail is the Trend - don't believe the sender's name and email - pay attention to the emergency words - check the spelling - check the sender's name - don't open attachment file - don't provide personal information - Technical Summery 2019 - 2018 exploiting vulnerabilities - using real Japanese decoy documents - developed new malware families: ABK, BBK, Build_dower, Down_new - Check, escape and pretend existence anti0virus produvts - place under Fortinet folder - increase the file size up to 50MB to avoid checking - Attack Target's subsidiary 1. infect Chinese subsidiary 2. deploy the folder to internal file server 3. wait for Japan Company to executes the file and infects - Use normal website as C2 website (to recieve sensitive data) - Malware and Hacking Tools - Public tool: Lilith backdoor, BlackYe backdoor, zwcreatethreadex_test, doubleagent_x64, Tarrler_32, Win10 UAC bypass, minilaiz - Hacker tool: (self-develope) - Downloader/Dropper: ABK, BBK, tomato, Avenger, build_downer, down_new, snake - Decoy Files: CVE_decoy, exetodoc, hidefloder, pretender - Fropper Varint Collection - Dropper variant - combind some tools like Avenger = (ABK, BBK, tomato) & snake = (build_downer, down_new) - TICK Activity Since 2018~2019 First Half - Using legitimate file as decoy - Using CVE to drop the downloader - CVE-2018-0802/CVE-2018-0798 - Using new downloader and original backdoor - ABK, BBK - Attack Scenario case 1 1. Use CVE-2018-0802 - TICK Activity Since 2019 Second Half - Using legitimate file as decoy - Using more downloader and backdoor - Attack Scenario case 2 - Tool Sunnary - Virtual Machine Detect tool: avoid sandbox - Win 10 UAC Bypass tool: bypass yes/no - Load VBScript with ADS technical tool - - Key takeaway - Multi-year, multiple-waved attack - Target second layer or third layer compnay to achieve supply chain attack - Target public relations business - Using real Japanese decoy documents --- ## [Attack & Defense Camp] 揪出極為隱匿的無檔案網頁後門 > [name=Dove Chiu & Tim Yeh] > [time=Wed, Aug 12, 2020 02:00 PM] > > 雖然沒問但是我猜這個問題只會發生在 Windows OS，畢盡 Mail Server 他們展示的是 Outlook 然後他們使用的 Tool 都是在 Windows 甚至是 bit32 的版本，感覺怪怪的 - Abstract - case study - solution - [Case study] Live IR, found a mail server - 現場還原 - 修MZ頭 - Rebuild PE - IDA Pro - [MITRE ATT&CK](https://attack.mitre.org/): Webshell Techniques - ISAPI filter 後門 -> 沒找到 filter dll 所以應該不是 ISAPI filter - 認為是 Malicious file -> 重開機看何時被載入 - The loading sequence: Terminal Service -> SessEnv.dll -(dll hijack)-> TSVIPSrv.dll (malicious file) -(inject)-> wininit.exe -(register, rpc since lpc has socket)->invisible webshell in IIS (registered "requested.html") - 難找的原因 - webshell 沒有實體檔案 - TSVIPSrv.dll 只載一次，之後就不再記憶體內的 - IIS log 裡面沒有 request.html 因為夠底層 - TSVIPSrv.dll 使用一些 anto forensic 技巧：鎖定無法打開、修改時間 - 鑑識工具 - 此後門主要利用 Windows HTTP API 打造隱密性後門 - 這個 API 可以註冊 URL - Windows HTTP API as backdoor: POC - TCP View：因為開在 Kernal 所以不會顯示對的 PID 在 TCP View - Process Exploer: 看不到開 port - Window white list: 用白名單來繞過 Admin 權限問題 - netsh: windows 可以列出註冊的 URL，但缺點是可以被抹掉讓人找不到 - HttpControlService + Reverse Engineering 找到註冊 URL - IR 工具 - ProcessScan: find suspicious process and dump memory - InvisibleWebshell Scan: find suspicious and invisible PID and URL - HijackScan - Conlcusion - invisible Webshell 已被 APT Group 利用 - 已經至少三年 - 政府部門很常見到 - IIS-Share/WelcomeServer/OwlProxy 系列要多注意 --- ## [AI Security Forum] 以圖形雜湊值做惡意程式分群 > [name=方家慶 & 翁世豪] > [time=Wed, Aug 12, 2020 02:55 PM] > [graph-hash](https://github.com/0xvico/graph-hash) > 這場不知道為什麼拖了十分鐘才讓大家入場，在門口和大家起排隊了十分鐘 - Modtivation - Malware classification - Share cyber security intelligence: save time when encounter a new malware - Share IoC with some information that better than file checksum, sucj as MD5, SHA family: the drawback is that the IoC info is quite small - Related Toolsets/Works - Cyptographic Hash: MD5, SHA256 - Not for classification - Message digest - Fuzzt Hash: tlsh, ssdeep - CTPH (Context ) - Match inputs that have homologies - For digital forensics in the begining - imphash: - imphash = fMD5 (IAT of Executable) - IAT (Impoert Address Table) - Executable file feature -> Partial content of executable - powered by Madiant - impfuzzy - impfuzzy = - Graph-based Similarity Analysis (the above is for phrase, and this is for graph) - From graph point of view - Call graph od executable - Bindiff: use graph to show the similarity between two different files - can only deal with two files at a time. not quite efficient. - what if: - present a call graph of a executable - not graph but binaray - calculate cryptographic hash - calculate fuzzy hash - Methodology - Hybrid - CGP - Call Graph/Flow Graph - call graph := {vertices, edges} -> the relation between edges - Colour Vertex: not only the pattern but also the colour is take into consideration for similarity - Function type: follow the difinition of Google bin dev - Edges: relationshop between functions (when functions call other functions) - Use DFS to related the edges - But service might have multipule root - Function reused: the redundant pattern will not show again, which will increase the calculation efficiency and avoid the process to run endless. - Evaluation - Operation Orca - Long term cyber espionage - Most targets are East Asia countries - Orca Raw Samples: 322 distinct samples - (Malware Handler) 10 Families by Malware Handlers: based on token, communication protocol ro C2 used by malware - 100% - (ssdeep) Group by ssdeep: - set the similarity to 85% - 211/322 (66%) samples could be grouped - 62 groups in total - (MD5) Group by MD5: only the same pattern can be match - 260/322 (81%) samples could be group - 71 groups - but the group number is still high - (graph ssdeep) Group by graph ssdeep: - set the similarity to 85% - 274/322 (85%) samples could be grouped - 67 groups in total - this can save half of the man power - This can assist manual analyse - Accuracy Test - whatever, they say they are accurate :rolling_on_the_floor_laughing: - Conclusion - Could be another malware calssification method - Limitation - Not so good for packers or simple structure executables - Still lean on IDA Pro --- ## [CyberConnect] 為什麼勒索軟體無法根絕座談會 > [name=黃彥棻 & 邱銘彰 & 蔡松廷 ( TT ) & 林淵博] > [time=Wed, Aug 12, 2020 03:50 PM] > > 這一場的人莫名其妙的少誒真奇怪，大家都回家了嗎？ > 他們好像兩場連著講了，我還要去聽其他場，我先走好了QQ :cry: - 黃：現在勒索病毒越來越猖獗，例如科技大廠台積電，五月的中油，前一陣子的 Garmin。淵博可以來分享兩個有趣的故事。 - 林：名世科技本來是做 ERP 的系統，但是因為駭客進到一間公司最喜歡的就是 ERP 系統，因為跟 Mail Server 那些不一樣，有可能裡面存著是公司好幾年的帳本，砍掉就沒了。而且現在駭客要求的贖金隨著受騙人數的成長慢慢上升，因為駭客也開始組織化、防禦系統越來越強、受騙人數也越來越少。我先講一個故事，之前有一間公司上班上到一半 Server 開始 Shut down 幾百台電腦開始反黑。這間公司有一個致命的盲點是因為他的網段內網和外網是公開的，駭客先發了釣魚信給使用者，因為影響不大，所以中的人也沒感覺，但此時駭客已經有掌握電腦的權限了，接下來駭客就開始用密碼表試密碼，找到密碼之後就可以進到 Server 了。此時就算有備份也沒有用，因為備份就放在同一個地方。甚至第二個案例，駭客的病毒會去針對特定品牌的 NAS 然後去試 Admin 密碼，他只用丟出 code 就好了甚至不用之後還去裡面工作。所以我的建議是用 **Linux** 去學 Linux 然後用 **VLAN** 去切網段。不過 Mail Server 就比較難，因為這一塊有時候會外包，資安人員還是要特別小心。 - 蔡：你為什麼會覺得駭客會回你的問題？ - 林：因為要跟他們談判啊，有時候要跟他們殺價，而且有些駭客很愛炫耀，所以會一直跟你講他是怎麼做到的。甚至有時候問他要怎麼保證我付錢你一定會幫我解鎖檔案，結果駭客跟我們說因為他是守信用的穆斯林。 - 邱：那你就說你也是穆斯林就好了啊！ - 蔡：所以你們是說英文嗎？還是簡體中文（笑）？ - 林：對啊，不過他們應該也不是母語啦，因為他的英文跟我一樣爛。 - 蔡：那你有失敗過嗎？ - 林：有啊，之前有遇過駭客突然消失了，錢也在他錢包裡，也沒人去領，寄 email 也寄不到，可能被抓走了，或是帳號被砍了。這種就很可憐啊，客戶錢都付了，結果檔案也沒拿回來。甚至有時候駭客給的解碼程式也沒有解的很乾淨，很尷尬甚至駭客說那不然你把這個 DB 傳給我，客戶嚇死了。 - 邱：可能他們也有客服窗口（笑）。 - 蔡：先承認你就是駭客。 - 林：我是駭客我就不會坐在這裡了（笑）。而且有時候駭客還認識我，email 第一句寫 I know you。而且有時候付錢也不能付的太直接，有時候駭客喊的價錢也只是試探，如果直接答應，他們也有可能為在加價。不過喊太低也有可能收錢就跑了，不過我之前有威脅過，如果跑了我就要去破壞你的名聲說你沒誠信，而我也確實幹過這種事。我也會跟他們裝熟說別這樣，我也是第三方來幫客戶解決的。 - 蔡：所以你也是第三方支付就是了？駭客代理商？ - 黃：那邱有覺得要怎麼解決勒索病讀嗎？ - 邱：其實我覺得應該要事前避免啦，不一定要直接走付錢這一條路。 - 林：我們本來也不是做這個的，都是意外被推上去的。 - 邱：不過我分享一下，有時候最難的事是公司都已經重灌了我們也找不到東西。而且很奇怪，那些有錢的竹科公司，付贖金都很豪邁，啊我們這種資安公司他們都不肯掏錢給我們，付給駭客卻很大方。甚至在他們眼裏我們還可能比較像勒索單位，一直叫他們買東西，明明我們還可以開發票，上市公司報帳也更方便。之前還遇過明明就有備份，但是備份還原成本比贖金更高，所以還是直接付錢了事。難怪要請你們當第三方支付，因為可以開發票（笑）。 - 林：我都會跟我的客戶說你們現在就算還原了，還是要注意因為你的環境是髒的，今天有人可以這樣進來，他之後也還是會進的來。 - 蔡：對啦，我都會跟我的客戶說要找出 root cause 。而且有些公司就算有備份，很多公司的重來沒還原過，對他們的工程人員也是很大的壓力。 - 黃：其實我們要呼籲遇到這種事真的務必要報案，不然調查單位沒辦法介入，只會讓他們一直逍遙法外。如果公佈了，才可以幫助潛在的受害者。不要一開始就先電腦重灌。 - 蔡：我覺得我遇到最困難的是客戶問說要不要付錢。因為我覺得不能鼓勵大家付錢，但有時候檔案不付錢又拿不回來。不過我覺得要減少他們的動機，如果大家都不付錢，就不會有人勒索了。 - 邱：但我覺得這太難了，就像你叫壞人不要犯罪，警察就失業了。這已經有點變成一種經濟活動了，特別是比特幣的出現讓支付變得更匿名。 - 林：這一點我有發現駭客活動變多的時候比特幣就會上漲。 - 蔡：所以要逢低買進嗎？ - 林：不過我覺得資訊人員也很重要，出事了老闆又會覺得你沒做事，沒出事老闆又覺得要你幹嘛？ - 邱：所以要適時勒索以凸顯資安人員的價值嗎？ - 黃：誒這一點我也有感觸，因為有些公司甚至會定期故意出一點事來試探資安人員有沒有在工作，我也只聽過有一家會在沒出事的時候給資安人員獎金。 - 蔡：怎麼講座變成在鼓勵勒索的感覺？ - 黃：不過我覺得還是覺得不能鼓勵付錢啦 ... --- ## [HITCON Talk] Windows Malware 搜奇榜 > [name=短短] > [time=Wed, Aug 12, 2020 04:30 PM] > QQ 因為上一場連著說的關係，這場前半段少聽一點點 > 例如自我介紹LOL > yichinduan@gmail.com > 我覺得她講得不太好，根本就只是在唸稿，難道就只能做到這個程度嗎？ :cry: - #2 Trickbot - 2016年發現得 Banking Trojan - 2020/02 發現會以 dll 的方式藉由垃圾郵件傳播 - 也發展出一些 UAC Bypass - 針對 Win10 做 remote control - 他也會檢查螢幕解析度，如果是 1024*768 就不會中獎，因為大部分的 VM & sendbox default 就是 1024*768 - #1 Emotet - 2014年發現得 Banking Trojan - 常以釣魚郵件、垃圾郵件散播 - 也會透過 Wi-Fi 傳播 - 2020/07 發現惠安專 Qaot - TTPs - Tactics: why - Techniques: how - Procedures: a sequence of actions - Mitre ATT&CK - ATT&Ck is a knowledge based - have 12 tactics in total - T1185 Man in the Browser - Agent Tesla - Trickbot - Dridex - Sub-techniques - .001 - .002 - Top 5v ATT&CK Techniques in Action for 2019 1. T1063 2. T1027 3. T1055 process injection 4. T1082 system informatino discovery 5. T1057 process discovery - Conclusion - phising is the most common - A download B ex. Emotet downloads Trickbot - Malicious application always frequantly update