第五次社課 === ###### tags: `1082` :::success 線上簽到： B073040047 楊志璿 B073040030 林秉承 B063040059 陳縵欣 B073040019 蔡孟師 B083011023 陳又𩑹 B083011026 蘇彥龍 M083140008 黃警鋒 B083040036 蔡明霖 B083040037 黃琮閔 B073040062 南政佑 B073040050 翁昌閔 B083040021 嚴宇同 B073011009 李詠珍 B073040032 涂哲誠 M073040039 簡振宇 M083140014 黃晏林 M083140005 曾煜鈞 B073040031 葉星佑 M083140001 張郢展 ::: 主題：AI迷霧-資安事件分析的挑戰 講者：Birdman 會議連結： [Google Meets](https://meet.google.com/cfe-hbhw-zgp) ## 資安產業的 Money-making Chain * 資安產品 * Prevention 阻擋 (e.g.掃毒軟體) * 9成的客戶所付出的成本都會在這 * 資安服務 * Detection 偵測惡意及可疑的行為 * Monitor 監控 * Investigate 調查 (數位鑑識) * Response 應變處理 * Feedback 強化防禦 透過一個程式的名稱是沒有善惡的，要透過行為分析才知道。 Virustotal: [link](https://www.virustotal.com/) 結合50~60家的掃毒軟體 前面的資安偵測都是基於有惡意軟體的 但是如果攻擊是沒有惡意程式的？ :::info Q: 沒有惡意程式的攻擊，該如何判斷？ ::: ## APT 入侵事件分析案例 有些駭客(只)是間諜 What is AD server? [wiki](https://zh.wikipedia.org/zh-tw/Active_Directory) ### 透過記憶體鑑識 * 針對 process ### 合法憑證(簽章) * 不可否認性，無法否認是XXX廠商、公司發行的 * 通常有合法簽章會是合法軟體 * why惡意程式有合法簽章? * 簽章流出 (被偷) * OS Root securiry store 被駭，因此惡意程式被安裝憑證 (偽裝憑證)，該OS就會信任此惡意程式 * `certutil -ebterprice -addstore "root" 1.cer` 橫向移動，全網檢查 FTP：以TCP傳輸為主 TFTP (Trivial File Transfer Protocol)：以UDP傳輸為主的 (通常在內網使用，因為內網比較不會掉封包) Text Based Configuration (TBC) file VLAN 虛擬區域網路 ### 從案例學到? * 傳統惡意程式檢測與工具，很難有效偵測偽裝憑證 * minikaz moudle：好用的駭客工具包，提權 windows OS * [GitHub](https://github.com/gentilkiwi/mimikatz/releases) * nbtscanner * Psexec * 遠端執行程式 Windows Sysinternals * [MS](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec) * Identify all malicious endpoints * 藍隊(防禦方)難點：如何利用駭客攻擊所留下的痕跡，回推過程及進行修復/保護 * 建TCP/IP連線紀錄之 Graph， * 被放惡意程式的電腦，看檔案的時間決定進入點(最早)及結束點(最晚) * source node * destination node * **增強式學習** 分析駭客攻擊路徑，找出從哪個漏洞開始入侵 * 透過AI 做連線 & 電腦使用 Log 分析 * Reward matrix：根據專業判斷，被駭的嚴重程度來分配分數 * 出口給最高的分數 * Transition matrix：根據連線方式決定目前節點要走哪一個next node，由權重決定 (加總為1) * 透過增強式學習進行路徑推演，找出分數最好的攻擊路徑 * 機器學習能夠掃描出人類無法察覺(e.g.被hacker消除log痕跡，專家沒有掃到)的路徑 *  ### 數位鑑識 * 流量鑑識 * 惡意程式鑑識 * log鑑識 * NLP 分析 * 監督式學習 --- 頁尾交流區