# HITCON ENT 筆記共筆 【新聞稿】會後稿 標題：精彩議題 再現駭客精神 台灣駭客年會 HITCON 2015 完美閉幕 延續昨日HITCON企業場研討會議題，本日（8月27日）上午9時直接進入會議，今日更著重於技術層面討論，邀請Palo Alto Networks的產品管理副總裁Alfred Lee分析，以現今大數據的時代，就連資安也無法置身事外，唯有掌握更多的大數據內容，才能更準確地掌控資安情勢。 趨勢科技資深惡意程式分析師Sean Park，以他豐富的攻防經驗在會議中表示，目前多數銀行的資安防禦是不夠健全的，相當容易遭到有心人士入侵，並曝光其銀行與客戶的交易聯繫與手法，侵犯個人隱私並造成更大的傷害，在會議中以金融資料傳輸的安全性分析業界狀況，並舉出例子試圖解決線上交易的戰爭。 下午會議重點則著重於更實務面的分析，例如「Let's Play Hide and Seek In the Cloud - The APT Malware Favored in Cloud Services」中，講師沈祈恩及賴婕芳點出APT攻擊成為近來新興的話題，各國的組織、企業成為APT的攻擊目標，透過本場會議直指惡意軟件透過各個平台所提供的雲服務，成為攻擊的溫床，並且提出如何應對這些威脅。 Birdman在「企業資安防禦的生存奧義」中，提到過去企業面對駭客的態度，直至今日仍有改善空間，認為企業應該更正向面對資料外洩的危機，無論透過以前資安事件或學習識別攻擊公式，甚至建置自動化體系、使用資安產品與服務，在現今都已是可以更有效地積極建立完善資安防禦環境。 Birdman這邊我覺得他講的核心是某張ppt，keyword is 內賊無恥，笨蛋員工無奈，協力廠商無__，專業駭客無法無天，重點是先了解你面對的威脅，然後把錢花在刀口上，傷口在哪裡刀口就在哪裡。 本日會議最後由在「Spartan 0day & Exploit」及「X Force Exchange – Threat Intelligence Collection and Sharing」兩場中結束，不僅探討探討關於Exploit 開發的技巧、思路以及實現方法，同時探討企業如何妥善運用資安情報共享，有效打擊網路威脅。 針對企業版的資安各層面專業議題，精彩內容中處處可見駭客精神，相信在更多資安人才的共同努力下，HOTCON研討會以拋磚引玉的方式，提倡正確態度與建構資安環境，培育資安人才，期待明年再相見。 更多精彩詳細資訊，可密切注意 Hacks In Taiwan 台灣駭客年會 ( HITCON ) 粉絲團。 相關議程：[http://hitcon.org/2015/ENT/Activities-Enterprise-Agenda.html](http://hitcon.org/2015/ENT/Activities-Enterprise-Agenda.html) [http://blog.hitcon.org/2015/08/hitcon-ent-day-1.html](http://blog.hitcon.org/2015/08/hitcon-ent-day-1.html) =================================================================================================== 09:20-10:00 **Incident Response：Art, Science and Engineering** Maarten Van Horenbeeck，Director of Security at Fastly 資安事件回顧 1988 巴基斯坦Brain病毒 2000 LOVE-LETTER-FOR-YOU.TXT.vbs 2010 STUXNET first Malware, use zero day vulnerable in windows shell  2011 MiTM attack gmail ssl [DigiNotar受到攻擊] 2014 Map of open SSDP servers. Cybersnace Heartbleed   10:10-10:50 **Building a Threat Intelligence Program** Michael Smith，Akamai's APJ Chief Technology Officer of Security 曾經是軍方情報人員 Accurate(準確)+Timely(即時)+Relevant(相關性) = Intelligence(情報) 事件回報活動類型來源，從各面向回饋有用的資訊（如下圖）  如何找到自己要的資訊（如下圖）  Traffic Light Protocol 遵循資訊分級，在資訊分享前，可遵循TLP將事件進行等級分類並依循將內容整理過後，再pass給其他人  How the share threat intelligence? 訊息對每個人而言所代表的意義不同，因此要分享資訊時，可分為下圖幾個群組  11：10-12：00 * Birdman- 資料交換 v.s. 內外網實體隔離 * Allan- R0 13:20-14:00 R1 **Are We Making Cybersecurity Crisis?~ Or How can We Stop Making Small Things Big? ~** Shin Adachi Kuckoo's Egg 資訊安全被破解的書出版於1989年 會依據在不同地方和不同公司的經驗 微軟在2014年已停止更新XP，但是還是有許多比例的使用者 MS15-077 微軟在2015/07/14推出補丁 有很多漏洞至今並無解決，我們真的有採取適當的防護措施保護自己的設備嗎？ 自從HackingTeam的漏洞被挖出資料庫後，攻擊數量開始大幅增加，即便Adobe原廠提供patch，仍舊有許多使用者尚未更新。 舉出兩個範例，有關公司照片洩漏公司SSID等資訊 手機部分會更難控管 [議程介紹了20分鐘，都是在說以前就有漏洞一再發生，為何大家都沒取得教訓呢？] 到底做得夠不夠？ 做得對嗎？是否有學到教訓？ 因為資安議題不斷的發生，可以自己問自己上面這三個問題 如何注意 1.Authentication and Authorization: 身份和存取權限的管理(IAM)問題，密碼的生命週期、加密的憑證與金鑰如何保存管理都很重要， 2.Configure your system secured IASE Platform 3.Segmentation: 公司內權責分工問題，公司子網路與角色或帳號功能、個人識別資訊、人力資源資訊可能都要加以保護 4.Mobile: 行動裝置的管制也是很重要，即使是遺失也算是重大安全問題，而行動裝置造成的問題也造成資安考驗，所以應該將這些行動裝備作為信用卡一樣的保護 5.Monitoring and logging: 資訊時脈要同步（synchronize clock), 要隨時注意要監控的事件, 需要有分辨正常與不正常事件的能力, 各位要時時注意行動裝置的活動 6.外包：如果你把重要服務交給外包作，則可能需要訂定條款，一再確定對方之權限，盡量使用強勢認證，至少使用2-factors認證, 並時常強調存取紀錄 7.Post Disaster:快速的災後復原手段，還有企業持續進行的計畫，各位也要注意可能偽裝要捐款的文件 8.資安事件回應(Incident Response): 做好準備、對災害進行演習、災害應變小組的成立 9.Communicating with others: 與各方做好溝通協調，包含各國政府的執法機構 未來的安全趨勢 IoT OpenDNS the 2015 internet of Things in the Enterprise Report 看完報告後，會發現這份報告只從DNS QUERY就可以分析不少資訊，所以不能忽略DNS對我們的影響 =========== 南韓的進步有大量的基礎建設做基礎 北韓是第三世界的國家 在這些組織都有各自發展自己的程式及入侵 研究弱點及散布惡意程式，由100位菁英養成中心出來的官員組成 北韓網路戰的主要團體 128聯絡處部門，無線電干擾及海外情到組織的入侵，成員約為100位 常用HWP(韓國自己做的文書編輯器)、PDF和PPT弱點 他們使用一些方法攻擊南韓新聞媒體網站 選定目標多是選點閱率高的，透過網路掛馬、active X 等 或使用WebHard(韓國常用的網路硬碟)、P2P散布惡意程式 (目前南韓約有 700多個 WebHard 服務運作中 ) 介紹幾個個案： 1.利用HWP(韓國自己做的文書編輯器)的 0day 進行魚叉式釣魚攻擊 2. 2014.12 南韓被駭過程 北韓駭客收集南韓情報的技術：了解南韓駭客製作的程式、資安研討會 ========== Windows 內核執行序列與漏洞利用 – 從俄羅斯套娃到Duqu2，再到 Win32k 0day 鄭文彬(MJ0011)，邱鵬(pgboy) 高科技數位武器？哈哈啥 APT win32k 0day 2 0day 內核機制和利用技巧 1.adobe flash 0day cve 2015-3043 2.Win32k local EoP 0-day CVE 2015-1701 Win32k 的序列問題已經被修復 但Win32k 會使用KeUserModeCallback返回到user mode 可被user mode hook中斷 詳細介紹 CVE 2015-1701 Win32k 提權漏洞 修復方法只要兩個對調 CVE 2013-1300, CVE 2014-4113都使用window內核漏洞win32! xxxCreateWindowEx (in kernel mode) Window Procedure被改為預設的user mode payload 微軟修復方式：將代碼順序調換 Set Window Procedure 與create Small Icon調換 卡巴斯基五月公開APT行動 Duqu APT( 卡巴斯基認為)針對P5+1會議成功攻擊並入侵卡巴斯基LAB(2015/3 伊朗核武問題六方會談) (S:卡巴斯基於2015檢測到被入侵，並懷疑出自Duap小組，是伊朗核電廠的團隊 CVE 2015-2360 ) 攻擊方式：KeUserMobeCallback劫持，仍是xxxCreateClassSmIcon,也中斷xxxClientCopyType 過程：創建class1, send WM_SETICON觸發CreateClassSmIcon,中斷CreateClassSmIcon並釋放Class1,恢復中斷後繼續觸發lock實現任意地址, 修改class2 flags, 就會創建內核模式視窗 IE EPM 沙箱逃逸0day IERegHelperBroker繞過：可幫助沙箱內IE process修改IE註冊表設置的COM介面 CIEUserBrokerObject::DoSetSingleValue ============================================ 15:00-15:40 **Building Automation and Control：Hacking Subsidized Energy Saving System** Philippe Lin(miaoski)，Stephen Hilt 建築自動化系統 台灣有妨害電腦使用罪，不要亂侵入別人的系統 BACnet Building Automation —>人機界面，可顯示受控制的硬體畫面 有遵循ANSI/ASHRAE 135-2001規範 ICS通訊協定 使用者可以在家裡用raspebery來實作 BBMB = BACnet broadcast management device 表示如果發生事情，BBMB會廣播到其他設備 BACnet-dicsover-enumerate.nse (you can download from github) BACnet discovery tool (別人都幫你寫好了免費工具了）+Shodan (port:47808 city:tw 可以發現台灣有哪些BACnet裝置) 研華科技(ADVANTECH)目前台灣較多企業使用 大多沒加密沒檢查資料完整性也沒有驗證身分 wireshark可以掃bacnet協定 BAC/IP UDP +BVLL+npdu+apdu 某些學校也會裝冷氣中控系統 (看來以後加班有機會自己開冷氣摟） 某些國立大學也有某些裝置連到網路上(ex.Power and Energy Management等) 工控廠商 表示, 沒有多的預算跟人力成本處理資安問題 16:00-16:40 **日誌分析之昨天今天與明天** 林鵬 各式的日誌怎麼分析？ 昨天：以前是iis的天下，最流行的漏洞是inject and ddos awk,grep,wc,uniq,sort( basic on linux) 統計top n : awt ‘{print $i}’ default_access.log |sort ….. 關鍵字篩選：grep 通常會先過濾“入侵時間”、“狀態碼過濾”、“類型過濾”、“ＩＰ分析“—>“過濾IP”、“入侵時間”、“狀態碼過濾“ 今天：文件上傳、平行權限、LFI本地文件包含、cmd、Nday 如何在大資料中找到那個扮成羊的狼 工具 elastic(透過Logstash將log丟到logstatsh filters 在用elastic分析, logstash, flume(china多人用, 只要在server 裝上這個軟體就可以用), fluend(可通過mongodb), 分析 頻率分析 數據值（IP訪問次數 「可能有平行權限活動或是網站被攻擊」、url被訪問次數「可能被惡意重發等等攻擊」） url深度分析—>多是根據自己業務深度分析，若發現有使用者太深度訪問目錄，可能受到弱掃工具攻擊 靜態資源與動態資源平均是正常狀況，失去平衡則可能是被爬蟲 訪問離散度—>正常離散度是0.48, 0.49 判斷url參數工具 菜刀 webshell IP關聯 同時發生兩個事件，發現event e1 來源ip = event e2 目的ip NIDS發現有webshell連結， 狀態關聯 event.somstatus is success (or something) —>LFI（Local File Include) other: 漏洞關聯 特徵關聯 異常關聯（需分辨何謂正常值） 了解攻擊者 time什麼時間, where訪問了哪些站點, what做了什麼, how是否成功, 水平如何, 採用什麼技術(proxy? scanner? auto? 手工?) 大數據分析用的工具 Redis, Hadoop Apache kafka, Apache storm 明天：APT, 0day 彌補關聯分析的不足 感知異常 機器學習 獲取數據— >格式化—>數據分析 <-->（計算/回饋）<—>結果 2015/08/27 Paloalto透過Big Data 可以分析出該攻擊是否是隨機抑或刻意針對的攻擊 這個方法比在google搜尋還要有效率 一樣用sndbox進行分析 paloalto 提供的AutoFocus有660 users , 460m samples進行研究並更新 **Winning the Online Banking War** Sean Park，Senior Malware Scientist at Trend Micro 常見攻擊: web injects 線上交易(phone banking code)常是駭客想要攻擊的目標 通常是輸入信用卡的相關資訊，並輸入來自你裝置的Token(或代碼) MITM —> 當你等待時 可能會發生一些事情，但只能透過封包看到 Transaction Injection - SMS 收到SMS要求輸入安全代碼來進行交易，而惡意程式則試圖在背景進行竊取行為 此時使用者會認為當下並還沒進行交易，為何要輸入代碼，表示當下正在受到社交工程的攻擊 Malware Inject Probe System MIPS 常見防範手法 通常傳輸時能進行資料竄改來進行攻擊，通常是使用DOM Injection，不論有沒有加密，只要在web browser 輸入惡意的javascript，使使用者網頁遭到注入，則可透過MIPS進行惡意交易，MIPS可以掃描網站完整性，倘若送到server則有防禦Injects簽章進行完整性比對 [pic] 研究重點 DOM Stealth 他可以注入在button中，點擊後就會自動移除，雖然在DOM 消失，但仍會存在Memory中 Defense:進行DOM Event Scan 現場DEMO 線上交易竄改攻擊 說明當有DOM Event Scan 時，雖然遭受到攻擊，但仍可以透過Injects簽章來比對，以確認scripts有無任何異常 另外一個攻擊範例，只要重複監看MIPS流量就可以bypass 這個防禦攻擊 防禦方法，使傳送出來的流量都不同，使攻擊者較難分析 攻擊者可能放棄這種攻擊方法， 但可以直接注入MIPS，這方法是可行的 防禦方法1，使用Code Integrity Check，在call stack context中加上DomCheck() 裡面會產生隨機亂碼，但這樣的方法仍可能被破解 防禦方法2，MIPS隨機化 防禦方法3，Opaque Predicates 使用於隨機化運算 攻擊者也能用Rookit進行攻擊，只要進行掛馬攻擊，使某些行為不被進行 防禦方法，只要發現有exception行為會立刻觸發警告 所以DOM Event Scan可以做到 dom_完整性 mips_完整性 都是為了要告訴線上交易伺服器，我們是真正要交易的一方 結論：只要能夠將資源分散、隨機化，還有避免遭逆向工程的可能性，則有機會戰勝這場線上交易戰爭 **DGAs, DNS and Threat Intelligence** John Bambenek 網域產生演算法 (Domain Generation Algorithm) Threat Intelligence容易被散亂的發不出來，但其應該被整理且正規化過 我們這次talk會專注於網路犯罪上 Malware C2 Network Types 常見的惡意程式[pic] 大部份犯罪者，會用多樣的工具，包含隱藏IP, DGAs, 避免其中一方失敗 Domain Generation Algorithms: 可用動態演算法產生domain names. 則只有攻擊者知道自己產生什麼domain name，抑或attacker會去購買domain name range，會更難猜測[pic] Reverse Engineering DGAs—>通常藏在binary中，use IDA/Debugger DGAs種類，通常是使用”“Seed””(種子)，可能是以時間、動態、靜態為基礎的種子，這些種子不論如何使用，但仍全球適用.... Other DGA Hardening Techniques 1.whois protection, make it hard to sinkhole 2.偵測sinkhole, 避免製造假資料 DGAs Sample: Cryptolocker，來自flashback osx worm. 以時間作seed Tinba，一天之類可產生1000以上的domain，非time-based seed，他們會分析並嘗試換seed，使其他人更難發現他們的存在， Bedep，動態based seed，難以事先block， Matsnu and Rovnix，use Wordlists(算是內建字典檔)來產生domain DGAs 其實也可以拿來做好事，也可以使用在安全上，讓所有受害主機連到Domain上，可讓資安研究者進行分析， Sinkholing —>很多安全公司在做這件事。 這場翻譯我愛莫能助了～ **The Terminator to Android Hardening Services** 張躍騫，羅夏樸，殷浩洋 Dex 簡單介紹，架構, File in class def item中 有代碼執行的方法，其中注重code_item主要在encode_method中 當安裝APP時 會產生OAT文件，其嵌入於ELF header中，其中可以關注OaT Classs DexHunter 1.dump dex 2.loading a class 3.class loader 於java層 bootclassloader (加載系統 dexclassloader(載自己的系統 pathclassloader(來不及.... Parent Delegation model 在android中不能使用defineclass() in class, 會拋出不支援該系統 在class object 使用時 可以使class被初始化 有兩塊可以注意 DVM and ART(Android Run Time) **Let's Play Hide and Seek in the Cloud - the APT Malware Favored in Cloud Services** 沈祈恩，賴婕芳 介紹APT Malware趨勢 1. Elirks 常在yahoo and 噗浪攻擊，將其當作中繼站 2. wmlghost yahoo, wordpress，透過WMI(Windows Management Instrumentation當作惡意行為 3. Midhos yahoo, bing, ex ++s++ 4. IXESHE : 常有encoded 字串 5. Talered : use rc4加密，為base64字串 6. ＿＿＿：DZKS2當開頭結尾的 上述六種病毒都是藉由第三方部落格頁面，連線到第二階段的中繼站 但也可以透過DNS bypass 1.Protux: target is tw gov. 惡意程式會試圖更改user agent. 1.DropNetClient: use .net dev. 難以被偵測, 存在於dropbox 2.GDrive RAT: 3.illitat:也是跟部落格相關，會將dll加密 遠端攻擊 1. GTalk trojan, use tor encrypt. 當要操作時，需要登入，不過Gtalk已經停止服務了 2. Kimsuky： 會將受害著加密資料（RC4 encrypt data, rsa encrypted RC4 key用 hotmail傳送 該類型的惡意程式容易變化，像DDNS，其能bypass AV, DNS, 被動的IDS...etc, 也藏在雲端服務下，難以被偵測，再來成本也低 如何防禦？ Cyber Threat Intelligence 「4格圖」 **企業資安防禦的生存奧義** 邱銘彰(Birdman) 勒索軟體 加密勒索軟體對台灣影響大，但加密勒索軟體的省思....到底是被資安廠商勒索還是被駭客勒索呢？ Birdman建議：把錢給駭客後再自我檢討是否系統架構有什麼問題，影哎如何改善～ 建議針對公司曾受到的威脅再規劃該如何採購產品 吉姆雷諾帶領很多駭客的攻擊ＸＤ 企業態度 1. 遇到駭客一律否認(10年前)—>繼續忍 忍一忍就過去了（now) 2. 電腦被入侵，一律重灌—>更快速的重慣 3.資料外洩用紙本—>更多紙本 4. firewall —>more more firewall 威脅來源 [圈圈圖] 除了了解威脅來源外，也能得知資安產品的優缺點 資安公司也會被APT的.....XD(要掛~敲碗) Pass the hash attack 是跟管理層面、程式人員相關的問題 駭客有能力將client的防毒軟體proxy植入惡意程式，會直接導入到有C2的部落格 趨勢officescan.....也曾發生這種事情 1.偷簽章已經是駭客主要的攻擊模式了 2.常用的網路傳輸已經使用cloud server and use https 3. Pass the hash attack應該嚴肅面對 資安思維轉變[pic] 情資導向資安防禦模型 observation: you can use log analysis, 檢視資安防禦能量 心中奧義 1.一直找廠商來demo,或多參加研討會，來學習識別攻擊的方式 2.檢討歷年發生的資安事件，以前發生的未來可能再發生，蒐集識別方法（indicator 3.建置自動化體系（就是買產品），因為已經能夠寫rule了[indicator] 4.建立資安事件應變流程sop...建立團隊 處理完後回饋到123......因為分析人員已經知道攻擊為何 5.根據4檢討報告，調整it架構 6. 使用資安產品與服務，將資安事件偵測與應變自動化 7.最佳化1~6反應時間，可以買更多產品節省人工部分 騰訊實驗室，瀏覽器安全和先進漏洞、寫APT攻擊的文案 DEP與ASLR都算是比較舊的保護機制 Isolation heap 微軟去年六月加入的保護機制 範例：繞過ASLR、CFG、EBP bypass memoryProtection & Isolation 原意是讓漏洞無法執行，但還是有漏洞 1. bypass check ：兩邊的指針互相導入相反順序的object 2. 劫持EIP 3. EMET 如何繞過？ 確定這個漏洞也可以bypass EMET ，只要能任意置換 address 可以提供一點點馬賽克的細節嗎？ 微軟廠商就坐在下面啊... 等等我也丟些上來，畢竟議程的時候我都整理在IRC上，再copy到notepad，照片我就沒怎麼拍。