駭客算命攤 x 超。快速入門 - Finding Treasures in the ToyBox / 寬寬 === - 來自日本的講者 - 主要分析惡意程式 - 三個使用的工具(Automated Malware Analysis Service) - [VirusTotal](https://www.virustotal.com) - 上傳樣本做掃描檢查樣本是不是有問題也會share,給全世界作分享 - [AnyRun](https://any.run) - 可以做某種程度的互動 - [Hybrid Analysis](https://www.hybrid-analysis.com) - 錄程式的各種訊息，用以分析 - haunting email相關的訊息 - 在大略了解樣本Tag的情況下，可以直接掃特徵 - [ATT&CK Matrix](https://attack.mitre.org) - 各家防毒軟體都會引用的工具 - 蒐集常見的攻擊手法，畫成一張矩陣表(知識庫) - 各攻擊隊會做哪些手法/手法出現在哪些攻擊/攻擊在週期的哪一階段，供藍隊參考 - 彌補各家防毒軟體都宣稱"我們偵測的到"但是偵測到的依準都不一樣 - report給老大時整理有用的資訊 - example - 監控TA544攻擊團隊 - 每一兩年就會變動一次攻擊手法 - e-mail送excel報價單 - xml呼叫 PowerShell - PowerShell 呼叫URSNI木馬 - OLEDump分析xml檔案 - 先確認使用者的國籍 - macro(巨集) 找到 PowerShell 再做下一個步驟 - macro的權限很低 - ???(缺QQ) - 是RCE嗎？好像不是 - 攻擊不想存成一個檔案: - 前面的東西進來後，後面的攻擊在memory跑 - 網路上抓 PE loader(Windows PE執行檔用的載入器 v.s. Linux ELF) 下來在 memory 裡面跑 - 不會留檔案在硬碟上，鑑識困難 - 用多重工具確認攻擊對象是否在日本 - ex)攻擊者規避: OSS混淆code，試圖加強鑑識難度 - 攻擊者喜歡用[pastebin](https://pastebin.com/) - TA505 - 惡意程式有簽章 - 有簽章的惡意程式比較容易過防毒 ###### tags: `HITCONCMT2019`,`HITCONCMT`,`HITCON`