###### tags: `AIS3` # 鑑識與情資-威脅情資 <!-- ## 工作 * 滲透測試工程師 * * 資安服務 * 裝機,技術支援,SOC,事件處理 * **用不到駭客技術** * 開發資安產品 * 瑪農、程式猿 * **用不到駭客技術** * 甲方資安團隊 * 大部分都在做管理,不太適應,無法管理系ㄊㄨㄥ * **用不到駭客技術** * 威脅情資研究 * 學習資安的方向和目標 * 帶來價值與解決資安問題 * 一門顯學 --> <!-- ## 案例 ### SolarWinds * 美國政府機構史上規模最大的駭客入侵事件 * SolarWinds Orion Supply-Chain Attacks * 資產管理軟體 * 從一個平台管理所有機器 * 普及率高 * 更新的 server 被入侵,然後有漏洞的更新被派送到所有的客戶 * 18000 名受害者 * 受害者名單:Department of Homeland Security, Agriculture, Commerce, Defense, Energy, Health and Human Services, Justice, Labor, State, the Treasury * 各大企業有用這套軟體的都被入侵了:Cisco, SAP, Intel, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Lukoil, Rakuten, Check Point, Optimizely, Digital Reach, and Digital Sense. __MediaTek (聯發科)__ might have been affected as well. * Microsoft Office 365 MFA was bypassed #### 資安廠商也被打 * Microsoft, Cisco, Malwarebytes, FireEye, VMware * 軟體還在開發階段就被植入惡意code,因為軟體的簽章是有效的,所以很難被發覺 ### Ransomware (REvil) * The Most Profitable Ransomware * ~~最賺錢的~~ * [Second Florida city burned by ransomware and pays attackers](https://www.scmagazine.com/news/application-security/second-florida-city-burned-by-ransomware-and-pays-attackers) * [Travelex being held to ransom by hackers](https://www.bbc.com/news/business-51017852) * [Pan-Asian retail giant Dairy Farm suffers REvil ransomware attack](https://www.bleepingcomputer.com/news/security/pan-asian-retail-giant-dairy-farm-suffers-revil-ransomware-attack/) * 雙重勒索: 加密、威脅要公布資料 ex. Happy Blog (暗網) * [Updates Regarding VSA Security Incident](https://www.kaseya.com/potential-attack-on-kaseya-vsa/) * [Kaseya拿到REvil勒索軟體的通用解密工具了](https://www.ithome.com.tw/news/145837) --> ## 資安兩大問題 - Advanced Persistent Threat (APT) - Targeted Ransomware ## 資安的價值 * 對駭客攻擊的了解 -> 威脅情資研究 > 利用你對駭客攻擊的了解,替防守方持續有效解決被入侵問題並降低損失 * 有效的防守,需要知要有效的攻擊 * 不了解攻擊,無法防守 * 了解攻擊的意圖 * 了解攻擊的手法 * 了解攻擊的意圖 * 了解威脅的發展 * 最新的駭客攻擊 * 了解手法 * 後門手法 * server 通訊 * 解決方法 * 可以做出有效的防守 * 防守方處於劣勢 * 雖然買了很多設備... 但是還是被入侵 * 不夠了解攻擊他的攻擊者 * 威脅情資 就是在了解攻擊者 ### 如果你可以預先知道攻擊者 (1/3) * 怎麼掃描你的網路 * 寄送惡意郵件的方式 * 利用的漏洞(應用程式,網站套件,VPN伺服器漏洞) * 後門的運作機制 * 內網滲透的手法 * 偷資料的方法 ### 如果你可以預先知道攻擊者 (2/3) * 常用的 C2 domain name * 常用的 C2 location * 常用的 C2 類型 * 常用的 C2 連線方式 * 怎麼把偷到的資料傳輸回去 ### 如果你可以預先知道攻擊者 (3/3) * 目標是甚麼 * 要打誰 (國家,產業,個人) * 這波攻擊計畫,持續多久 * 背後是誰? 誰在支持? ## 如何了解敵人-Diamond Model ### ADVERSARY * Where are they from? * Who are they? * Who is sponsoring them? * Why do they attack? * Campaign timeline and plan ### CAPABILITY * Reconnaissance techniques ### TARGET * Purpose * Target sectors * Target individuals * Target data ### INFRASTRUCTURE * C2 Domain names * Location of C2 servers * Type of C2 servers * Compromised machines * C2 management mechanism and structure * Path of Control and data leakage <!-- ## Cyber Espionage * Russian, Cozy Bear, APT29, SVR, Dark Halo, UNC2452, Turla * Cyber Espionage * [FBI adds 5 Chinese APT41 hackers to its Cyber's Most Wanted List](https://thehackernews.com/2020/09/apt41-hackers-wanted-by-fbi.html) * [APT 40 CYBER ESPIONAGE ACTIVITIES](https://www.justice.gov/opa/press-release/file/1412921/download) --> ## 威脅情資101 ### 甚麼是情資 * 入侵指標 (Indicators of Compromise, IoC) * 暗網 * 惡意程式 * 漏洞資訊 * 如何對企業進行入侵 ### 解決的問題 * 防毒軟體(傳統) * 惡意程式的出現$\rightarrow$防毒軟體廠商進行分析$\rightarrow$更新病毒碼$\rightarrow$阻擋 * 防毒軟體的盲點 * 針對性的攻擊 * 攻擊者的武器 * 資源快速變化 * 監控與回應 (當今企業採用): * 監控設備、SOC、專業團隊分工 * 規劃(資安長)、戰術(資安主管 SOC 分析師)、行動(事件處理) * 蒐集IoC * 監控模式的問題 * 欠缺威脅的全貌 * 告警過多 * 事件處理無法找到關聯資訊 ### 甚麼是威脅情資 > 知己知彼,百戰不殆 * 清資三大特性 * 精確(Accurate) * 時效(Timely) * 關聯(relevance) * 提供的人 * 所要保護的設備 * 以情資為核心,擬定策略來對抗網路世界中的敵人 * 行動型情資(Operational/Action intelligence) * 戰術型情資(Tactical intelligence) * 戰略型情資(strategic intelligence) ### 從資料、資訊到情資 * 資料 * 觀察現象 統計數據 * 資訊 * 蒐集的數個相關資料,足以回答特定問題 * 情資 * 經分析後的資料或是資訊,可以揭露一個聽定的現象並提供決策所需的前後文(context) ![Figure 1-3: The relationship between data, information, and intelligence.](https://www.researchgate.net/profile/Md-Abu/publication/339640019/figure/fig2/AS:864827639603202@1583202385691/Relationship-of-Data-Information-and-Intelligence-4.ppm =400x) <!-- Source: https://paper.bobylive.com/Security/threat-intelligence-handbook-second-edition.pdf 第24頁 --> ### 威脅情資循環 * 一開始訂定目標 (mission) * 規劃 (planning) * 蒐集 (Collection) * 處理 (Processing ) * 分析 (Analysis) * 發布 (Dissemination) * 了解敵人的 * 身分 * 動機 * 目的 * 方法 * 以正規畫的流程進行資訊的蒐集 ## 新聞 * https://siliconangle.com/2021/06/28/microsoft-warns-solarwinds-hacking-group-nobelium-targeting-customers/ > APT-C-08 > APT-C-01 ## 威脅情資廠商介紹 ### [TeamT5](https://teamt5.org/tw/) - ThreatVision - ThreatSonar ### [FireEye](https://www.fireeye.com/) ### [Recorded Future](https://www.recordedfuture.com/) - ML & AI ### [Intel471](https://intel471.com/) - 網路犯罪情資起家(美國) ### [RiskIQ](https://www.riskiq.com/) * 網頁釣魚起家 ### [Anomali](https://www.anomali.com/) * 以威脅情資平台起家 * 可以上架威脅情資 ### [GroupIB](https://www.group-ib.com/) * 網路犯罪起家(俄羅斯) * 2018 搬到新加坡 * 跟國際刑警組織有密切合作 ### More * [Cisco Talos](https://talosintelligence.com/) * [Microsoft Security Intelligence](https://www.microsoft.com/security/blog/microsoft-security-intelligence/) * [Unit 42](https://unit42.paloaltonetworks.com/) > https://hackmd.io/@AIS3-2021/20210726T5