資安大會 2021 筆記

tags: 資安

趨勢科技 OT領域的資安困境

OT領域不能聯網，無法更新

可疑軟體無法即時傳回雲端分析

機器老舊（大概20年前的）新的防護軟體裝不進去

舊的作業系統原廠已經不提供支援

需裝更新檔要關機重開，但是排程是半年後才能重開避免停產

偵測裝置吃更多電或是需要要吹冷氣，廠房會跳電或是產能下降

大內網，範圍可能包含 寧波 台北 四川，各內網之間不阻擋造成出事全部一起被拖下水

Usb傳檔的內容是否確實檢測

建議做法

1. 零信任原則 網路隔斷
2. 裝更新 virtual patch
3. 白名單設定可以執行的程式，其他權限全關
   https://resources.trendmicro.com/Industrial-Cybersecurity-WP.html

高價值半導體要防護 舉例
重要機台要裝ips，設備要裝ai防毒

Windows大量安裝，sid沒有重置造成重複，或是時間校正錯誤造成重複
解決方式：調整安裝流程

SolarWinds駭客攻擊的手法細節及檢測工具
攻擊可以冒充任何使用者驗證登入聯邦式的資源供應商（如Microsoft 365），而無需用戶密碼或多因素驗證（MFA）機制
https://www.ithome.com.tw/news/142344

https://youtu.be/yadLYc8kpRU

Amd 資安

Cpu有一個獨立的安全程序，外部程式無法呼叫
記憶體內容加密

Devcore
2020企業投資重點
https://www.ithome.com.tw/article/136557

漏洞攻擊高峰
被公佈出來後72小時，攻擊者就會準備好攻擊手法，開始找未更新這些漏洞的企業

假冒銀行釣魚簡訊詐騙規模擴大，繼國泰世華、台新銀行後，中國信託今日也出現遭冒名的狀況，金融業者與民眾可千萬注意 20210209

https://www.ithome.com.tw/news/142711

cti的侷限性

生命週期
註冊 攻擊 加入黑名單 之後都是誤判

觀測位置
廠商會被主要市場 地理位置所影響
如廠商跟你不在同一個區域，可能根本沒有情報
台灣金融情資
https://www.fisac.tw/home

5g 安全

專用sim卡

個資外洩
Raidsforum 駭客論壇驚見兜售67萬筆知名餐飲3年前外洩顧客帳密，饗食天堂雖早已翻新網站，但仍緊急通知顧客換密碼
https://www.ithome.com.tw/news/137532

企業面對重大資安事件時，不僅要具備資安應變團隊，背後也要有編組與演練的配合
https://www.ithome.com.tw/news/138882

資安職涯讀書會
https://docs.google.com/forms/d/e/1FAIpQLSe0SbOGOFXpFBJj6yjbuFHw1VehF6Q4QoFRDvvHrYPDU4T_7Q/viewform

唐鳳 買口罩流程

超商行動支付or悠遊卡實名購買 vs 藥局刷健保卡類慢性處方籤

減少使用習慣的改變

便利商店轉帳52元的不安心（要按提款機密碼） vs ibon預訂 店員收款

如果耗費過多人力在處理問題獲得客戶滿意，那只是把人力成本讓自己的人員承擔而已，實際上沒有改善，

好用 省力 睡滿8小時

微軟資安框架

https://www.microsoft.com/security/blog/2018/06/06/cybersecurity-reference-architecture-security-for-a-hybrid-enterprise/

台哥大資安長

為什麼當資安長？
有掛資安長的工作，薪資落在200-500，少數破千
職位很響亮（實際上越低頭越好，到處道歉）
有夢最美，要打造全世界最強的團隊

資安長職涯

產業
金融 電信 電商
Report line很重要（向上回報的機制）
必須要可以面對執行長 技術長和各部門的頭

要跟著法規走，所以高階職位常常去念法律專班
未來可能有的職位 隱私長，但是大概很容易被關

沒有最佳解，只有最合適解

必須要讓老闆信任你
你不是來講公司多爛的，公司問題老闆都知道，你是來解問題不是找問題

如果開了一條無法改善的缺失，這個發現沒有意義
提出的問題必須有解法

資安為骨，治理長肉
意思 框架不能跑掉，在合乎安全之下做出最有效的管理

老闆不懂，你畫很大的圖也沒用，只要告知老闆要達到目標需要的是時間，下一步告知需要的資源（人 錢），並且寫出三年藍圖

講人話
溝通過程要每一句都講對方聽得懂的
例如用衣櫃來比例cache，常穿的衣服要移到前面，不常用的收到下層

相信專業，充分授權
不用怕下面的人比你強，但你一定要有地方比他強

失敗要可控即可，才會有成長
三層架構往下授權
任何一個人被fire，都要可以半年內不會出問題

資安最難的是說yes
例如 這個業務不能做，可能將來會不行
老闆問你都說 no，那幹嘛問你

CISO as a Service Provider
例:決定你價值的是你的顧客和使用者·ITSMS出場
問:你老閱要的是什麼?這個服務需求,要先被滿足!

IT infrastructure
真的很辛苦
一隻背著一堆鍋的烏龜,其他人站在上面接受喝采
IT會是推行資安的重要夥伴

身為高階主管 記得釋放壓力

高階面試
面試前三天去剪頭髮，讓履歷照片和自己是一樣的
面試前一小時吃川貝枇杷膏
站起來不能撞到桌子
第一句話講什麼 做好控場
面試的公司的重要新聞或是近期業務
甚至知道創辦人的興趣

104資安人才身價調查

https://hunter.104.com.tw/edm/HTHUNTERREQ-631/website02/index.html

好像是可以自己做選擇題的網站
https://my.beekast.com/

天堂之門 32位元混用64位元繞過防毒軟體的攻擊手法

Chroot讀書會成員 惡意程式前線作戰指南 作者
https://www.facebook.com/addrArsenal/posts/2869046933352278
Sheng-hao Ma

Wow64 可以讓你把32位元的程式跑在64位元的一個像是翻譯機的東西

天堂聖杯 重新利用wow64的攻擊手法
天堂注入器
在荷蘭公開的新漏洞攻擊手法

NtResumeThread hooked

任何32位元的程式呼叫，最後都會跑去ntdll32，然後經過wow64轉換，進到ntdll64

防毒軟體他會用jump指令去hook，這個ntdll32，但是我如果知道64位元的導向函數，我就直接跳過那個wow64去用64位元的，防毒軟體就找不到我了，如同開啟天堂之門

漏洞原理

正常來說，64位元的東西應該掛在4gb以上的記憶體位置，但是win7微軟偷懶，他直接把32 ,64放在4gb以內，win8.1開始微軟就把ntdll挪到4 gb以上，所以舊手法已經不行了

新手法

既然wow64可以這樣轉換，應該要有一個初始化的入口點
果然在wow64cpu runsimulatedcode的地方找到入口點
這邊有一個r15 turbor thunk table 是專門指向32位元的指針表

只要看最後一個指針，就可以知道模擬行為是靠這個函數傳回程式碼

NtAPI Trampoline

用了jump指令，intel cpu晶片就改用64位元了
前面的jump指令用的byte使用了EA，之後的程式碼就會用64位元解析，就能拿到r15的指針表來使用了

把r8 r14d edi…等等的指令都寫入一份snapshot到r13，切換為64位元後，再把snapshot倒回來

天堂注入器

把惡意程式直接注入到另一個現有的程式裡，例如把mimikatz放到cmd裡面

作者的筆記
https://m.facebook.com/story.php?story_fbid=2728347247422248&id=2219116195012025

使用usb擺渡攻擊竊取隔離網路的資料

https://documents.trendmicro.com/assets/Tech-Brief-Tropic-Trooper-s-Back-USBferry-Attack-Targets-Air-gapped-Environments.pdf

Usb擺渡 Usbferry

Tropic tropper 熱帶騎警（趨勢命名，也有叫海盜熊貓） 是一個駭客組織，他們擅長進行多年多階段的滲透，非常精良的間諜組織，他們使用了隨身碟 記憶卡 光碟 磁片等東西來攻擊

這次目標是攻擊實體隔離的區段 海事 國家銀行 政府 軍醫院，針對實體隔離的資料交換手段攻擊
他知道軍方的防護很嚴格，所以挑了相對不嚴謹的單位攻擊，例如
政府不好打，那就打國家銀行
軍方不好打，那就打軍醫院

攻擊情境

從2014年開始
有多種元件對應不同情境，例如假執行檔，usb後門木馬

躲藏方式
把自己的安裝檔放在usb的資源回收筒，會直接用cmd把檔案跑起來

三種型態
基本搜尋（查可以打的目標，可以執行的權限）
把檔案copy出來
攻擊內部系統電腦

確保進到內部

會ping一下fb 或是外部可以連到的網站，檢查自己是否已經打進去內部了

針對文件檔copy

如果發現doc docx之類的檔案有更動過，還會copy多次保存新版

攻擊

使用的ip 帳號都已經固定了，所以已經把內部環境都摸出來了，攻擊的電腦NOC是作戰指揮中心的縮寫

2016年新版更新

東西整合成一個元件
躲在flash資料夾
使用了dll injection直接寫入到記憶體
區分成主程式和下載的檔案的資料夾

最早1.0是用dll injection
1.5更容易的更動部分元件
2.0改成用windows service跑起來，更難發現

要打入後門的時候也要帶密碼，有正確的密碼才會回傳，而且回傳的內容是一張加密的圖片

反序列化

Oscp 滲透測試證照
https://pentestwriteup.blogspot.com/2017/10/offensive-security-certified.html

反序列化 不安全的反序列化
用python和java demo
如何防止

序列化就是把物件轉成byte二進位格式(db file或網路傳輸)，反序列化就是把byte轉回物件

如果拿到錯誤的說明書(組合方式)或是錯誤的內容，可能就會組出有問題的東西

Python pickle是不安全的需要檢查，但是功能很強，連程式都可以反序列化，所以很多人都在用

用json傳相對比較沒有問題

Pickle是用dump和load來做序列化和反序列化

Jboss 2015 反序列化漏洞
https://xz.aliyun.com/t/9468

防禦方式

反序列化只能在內部，不要在外部 or 使用簽章
如果要序列化和反序列化的是json xml的格式就不用擔心這種問題
Machine key不要被公開，就不容易被反序列化

Win10 字體漏洞 誘使使用者下載字體就能造成記憶體損毀執行任意程式碼
https://www.ithome.com.tw/news/142986