# CTIA (CCIT_221121-221123)
---
## 教學必備:ZoomIt v6.11 https://learn.microsoft.com/zh-tw/sysinternals/downloads/zoomit
## Pointfix https://youtu.be/_QaTSo2G0fM https://www.pointofix.de/download.php
---
# 01.脅情報簡介(Threat Intelligence)
### KYE
威脅情資重點就是 KYE– Know Your Enemy
#### 認識了解你的敵人
- WHO 誰?
- WHY 為何?
- HOW 如何?
#### Incident 事件?
- WHEN 時間?
- WHERE 地點?
- WHAT 目的?
---
### 網路威脅(Cyber Threat)
虛擬空間(Cyber)的攻擊 - 各式各樣的駭客及攻擊
### 漏洞(Vulnerability)
駭客的攻擊成功的機會
人是資安事件最大的漏洞。
- 0 Day - 在修補漏洞之前,攻擊者已經在使用了,但仍無法修補。
每個月的第二個禮拜的禮拜二,微軟官方上更新的時間。
https://www.orangecyberdefense.com/se/blogg/cybersakerhet/introduction-to-binary-diffing-part-1
- 1 Day - 已有修補檔案,但不知道更新完有沒有完全補完。
攻擊者會去做比較 – 以 Binary Diffing 比較差別 :
二進制差異簡介 - 第 1 部分
Binary Diff = https://www.cnblogs.com/lsdb/p/10543411.html
https://www.zynamics.com/software.html
MalwareTech = https://www.malwaretech.com/
https://www.malwaretech.com/2019/05/analysis-of-cve-2019-0708-bluekeep.html
https://www.orangecyberdefense.com/se/blogg/cybersakerhet/introduction-to-binary-diffing-part-1
比較完,攻擊者就知道微軟去
攻擊的高潮時間,約是攻擊發布完的前 3 天,就是打 1 Day。
(通常上Patch 的速度沒那麼快)
- N Day - 即使有,但也不更新。
#### How Uber was hacked — again
(2022/09/20)
https://blog.avast.com/uber-hack
### Exploit 漏洞利用
### APT
攻擊者專注在目標端在竊取資訊,在使用者無法查覺的狀況下。
# https://mitre-attack.github.io/caret/#/
https://mitre-attack.github.io/caret/#/
- 中國駭客組織 APT10 竊取我國金融單位內部資料,金融單位應清查供應鏈
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9729
- APT 19 邪惡菜刀(社交工程用滿滿)
- APT 41 邪惡熊貓(攻擊手法,每招都會)
### 來源(Operation Environment) collection → 資料(Data) Processing → 資訊(Infortmation) Analysis → 情報(Intelligence)
---
## 養套殺 (廠商手法)
- 製造恐慌
- 分析衝擊
- 販售產品
#### 美國有 50 州
---
## 情報三階
- Known Knows 已知
- Known Unknows 不知
- Unknown Unknows 無知 (夏蟲不語冰)
買拼圖 無知(盒裝不知道內容)→不知(不知道有沒有1000片)→已知(拼完,或發現拼圖圖案重覆)
### 戶政外洩
以國際戰爭為例;發假情報或真情報以混淆對手。
### 入侵指標(IoCs)
#### 追劇與情資最大不同是在於後續的保護防護措施。(了解攻擊者手法 TTPs)
## 攻擊者手法(TTPs)
TTPs(Tactics, Techniques and Procedures)
戰術、技術與程序。
---
對企業組織來說,有效防禦措施才是最重要的。
(預警)
---
## 情報分為四大類型
| 規模|情報|時間|對象|內容|分析|格式|
| ---|---|---|---|---|---|---|
| 戰爭|戰略|年|將軍/CEO|營運風險、策略方向|WHO/WHY|報告|
| 戰役|行動|月|官Manager|威脅、攻擊|WHO/WHY|HOW|報告|
| 戰鬥|戰術|週|士官admin|攻擊者所使用的手法(TTPs)|HOW|訊息|
| 作戰|技術|日|兵Staff|攻擊者的資源|HOW|訊息|
## 中國網路行動小組
https://xorl.wordpress.com/2021/04/20/chinese-cyber-operations-groups/
## Emotet – 網路攻擊即服務(SaaS) (APT41) 國家機器作為犯罪團專借殼上市(較隱祕)
C2、域名、網址均獨立。
### 殭屍網路病毒Emotet被惡搞,惡意程式被換成無害GIF檔
https://www.ithome.com.tw/news/139049
### Emotet 被關聯到很多獨立的事件,作為攻擊者的ISP。
https://www.uuu.com.tw/Public/content/article/21/20210308.htm
## 威脅局勢報告(Threat Landscape Report)
要看各國的報告,因為各國家的事件不會報告自己家的事件。 XD
美國只有俄羅斯的事件,台灣也只有台灣好棒棒,韓國只有韓國好棒棒。
可以看卡巴斯基(kaspersky)的報告,比較全面。
- 曼迪安特(mandiant) APT1:揭露中國的一個網絡間諜單位
https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units
- 中國-台灣威脅局勢報告
https://cyberint.com/blog/research/china-taiwan-threat-intelligence-landscape/
- 110年國家資通安全情勢報告
https://moda.gov.tw/ACS/press/govinfo/report/1351
##
https://www.cisa.gov/uscert/ncas/alerts
## 微軟多州訊息共享和分析中心
https://www.cisecurity.org/ms-isac
---
## 情資分享中心:OSINT,CTI,ISAO/ISACs
以做決策(strategic business decide)
#### 特定威脅(specific threats)
對應到中高階主管(security manager),包含人員、社交媒體、聊天室等等,做為情資交流,如:可疑行為(malicious activities)、
### 戰術(Tactical Threat Intelligence)
TTPs 戰術技術程序 = 基本上就是攻擊者的手法
較高技術資訊(Hightly technical infortmaion)
- APT 報告,戰役報告(campaign report),ex:暗影之錘行動
### 技術情資(Technical threat intelligence)
期間短(Short lifespan)
如:IP、Domain、Hash、C2…
通常c2 被報出來,活不過 3 天。
---
## SIEM
SIEM 安全資訊事件管理系統,代表完成一半情資:
蒐集資料,整理為資訊的平台
## Threat Intelligence Platform
然後整理成情報,放進威脅情資平台
技術情報(資安人員)→ 戰術情報(組織報告) → 行動情報(追蹤駭客) → 戰略情報(資安公司)
## Security 單位與預警(分工合作)
| 面向 | 技術 | 動作 | 項目 |
| --------------------- | ---- | -------- | ---- |
| Prevention\Prevention | ISAC | 預警預防 | TIPs (CTI) |
| Detection | SOC | 監控 | SIEM(IOC) |
| Correction | CSIRT | 應變 | SOAR(Runbook) |
發生資安事件當下:
- 1.Pre-Planning
- 2.Event
## 攻擊者的資源
- IP Address
210.71.44.183
- Domain Names
https://www.ndu.edu.tw/
- URLs
https://www.ndu.edu.tw/home
Botnet C2 URL = Domain + Path + Request (Pattern)
---
### APT 34 (針對石化業者)
https://attack.mitre.org/groups/G0049/
連中油都有打過
為什麼該集團對石化那麼有興趣?
美國對伊朗應該才是最大目標啊?
有啊~
孟晚舟與伊朗做交易高清證據照片被CIA獲得
https://www.incnjp.com/thread-4931765-1-1.html
美國只要跟伊朗交易,就把人家扣留起來了。
孟晚舟事件
https://zh.wikipedia.org/zh-tw/%E5%AD%9F%E6%99%9A%E8%88%9F%E4%BA%8B%E4%BB%B6
## APT 報告需要回答:WHO、WHY、HOW
---
## 對情資導向的決策流程
資安目標(Organization Security Goals)→ CTI (Cyber Threat intelligence)→ CISO / CIO → 風險分析(Risk Analysis) → 做決策(Decide Making)
# 02.網路威脅和攻擊鏈方法論(Cyber Threats and Kill Chain Methodology)
# 03.要求、計劃、指導和審查(Requirements, Planning, Direction,and Review)
---
# 情資蒐集分為五個方向
## 01 計畫及方向 (基於目標規畫)
# 02.數據收集和處理(Data Collection and Processing)
## 03 資料處理變資訊(Processing and Exploiation)
- 最怕失真。
# 04.數據分析(Data Analysis)
- 時效性
- 客觀性
# 05.情報報告和發佈(Intelligence Reporting and Dissemination)
- 整合
---
## 威脅情報所採取的策略
#### 01 先產出技術情報
連 IP 都不知道,那要怎麼封鎖?
#### 02 建立長期有效的資料庫 & 蒐集計畫
#
#### 震網(Stuxnet)
https://zh.wikipedia.org/zh-tw/%E9%9C%87%E7%BD%91
[1][3]Stuxnet還通過偽裝成Realtek與JMicron兩家公司的數位簽章
## 情資成熟度模型(Maturity Model)
## Level 0 - 一亂混亂(大部份企業)
## Level 1 - 已知用火 - 蒐集及篩選 (SOC 或 SIEM)
## Level 2 - 發起行動
## Level 3 - 建立流程 (workflows) & 產出戰略性情報
## Level 4 - 有效率的高成熟的情資計畫
---
# 情資平台業配時間 & 工具時間
## Collective Intelligence Framework(CIF)
## CrowdStrike Cyber
## (已倒閉)
## MISP - OPEN SOURCE IOC 管理工具
## TC Complete 鑽石模型
## Yeti
## RiskIQ
## Rhythm TLM
---
第一章結束
---
# 網路威脅與攻擊鏈(Cyber Threats)
## 威脅角色-激進駭客(Hackivist)
### Black Lives Matter 黑人的命也是命
「#BLM 會不會太過頭了?」輿論主流下,為何亞裔族群中出現另一種聲音?
https://crossing.cw.com.tw/article/13702
動手打黑人,然後警察個資外洩。
# BlueLeaks
251 個執法網站遭到黑客攻擊,700,000 名警察的個人數據被洩露
BlueLeaks 檔案包含超過 1600 萬行數據,包括電子郵件、涉嫌犯罪的描述和詳細的個人信息。
https://theintercept.com/2020/07/15/blueleaks-anonymous-ddos-law-enforcement-hack/
---
## 威脅角色-電子戰網軍(Cyber Terrorists)
敘利亞電子軍(SEA)
敘利亞電子軍入侵微軟Office部落格
https://www.ithome.com.tw/news/84906
## 威脅角色-自殺網軍(suicide hackers)
## 威脅角色-國家級駭客(state sponsored hackers)
Equation Group
"更厲害的是可以感染硬碟韌體"
Kaspersky發現歷來最高明的駭客團體 疑與NSA有關聯
https://www.ithome.com.tw/news/94142
The Equation Group,且暗示和美國國安局(NSA)間諜活動之間可能有關聯。
#### 特定入侵行動辦公室
特定入侵行動辦公室(英語:Office of Tailored Access Operations,縮寫TAO)也譯作取得特定情報行動辦公室,是美國國家安全局的部門之一,約在1998年設立,主要工作是辨識、監視、滲透和收集其他國家的電腦系統中的情報[1][2][3][4][5]。
#### 如何抵擋國家級駭客 (請跪著聽,TAO 辦公室主持人)
https://www.youtube.com/watch?v=bDJb8WOJYdA
由於史諾登事件,所以出來澄清。
(影片最後有掃美國國安局 QR Code,公關演說)
#### 美秘密建造全球最大間諜基地 監視全球數據資訊 – 猶他數據中心
猶他數據中心(英語:Utah Data Center),也稱情報體系綜合性國家計算機安全計劃數據中心。
https://zh.wikipedia.org/zh-mo/%E7%8A%B9%E4%BB%96%E6%95%B0%E6%8D%AE%E4%B8%AD%E5%BF%83
#### 寧靜計畫 - 猶他數據中心 - 監控全球的每顆封包
### 腳本小屁孩(Script Kiddles) - 使用自動化工具
---
# 攻擊四大四素:動機、能力、資源、機會
## 動機(INTENT)
## 能力(Capabillity)
## 機會(Opportunity) 包含資源
## ATTACKS = MOTIVE + METHOD + VULUNERABILTIY
## 駭客論壇(HACKING FORUMS)
## APT
- 高度目標性
- 高度目的性
- 低調、緩慢
- 客製化攻擊
#### RSA Cybersecurity and Digital Risk Management Solutions
https://www.rsa.com/
2011 年,中國間諜竊取了網絡安全皇冠上的明珠——剝奪了全球公司和政府機構的保護。事情是這樣發生的。
https://www.wired.com/story/the-full-story-of-the-stunning-rsa-hack-can-finally-be-told/
# APT 生命週期 (Advanced Persistent Threat Lifecycle)
## 01 - 研究目標(Preparation)
## 02 - 發動攻擊(Inital Intrusion)
## 03 - 擴大影響、橫向移動(Expansion)
## 04 - 持續性(Persistence)
## 05 - 找到目標及外洩(Search and Exfiltration)
## 06 - 善後清除(Cleanup)
---
# 攻擊鍵(Cyber Kill Chain)
## 論文:Intelligence Driven Computer Network Defense Informed By Analysis of Adversary Campaigns and Intrusion Kill Chains
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html#:~:text=Developed%20by%20Lockheed%20Martin%2C%20the,order%20to%20achieve%20their%20objective.
里程碑,是網路攻擊戰爭的開創者。
洛馬將攻擊拆分為 7 個階段
|攻擊階段| | 提出對策(COA)|
| ----- | -------- | -------- |
| CKC| |...|
| R | 萬中選一? |...|
| W | DOC |...|
| D | EMail |...|
| E | VBA-> Powershell|...|
| I | Download -> exe|...|
| C2 | T,H,C |...|
| AOB| ?|...|
CKC 表格裡面不能有空格,代表情報做的不完整。
可以了解事件的技術,但目的不知道為什麼?
出了事不要問,大部份是防禦太愚蠢。
連過 7 關,才是一個有效攻擊。等於防禦也是要防 7 關。
攻擊 - 投手
防禦 -
---
# Base 64 編碼法
A-Z(26)
a-z(26)
0-9(10)
+/(2)
每 6 個 bit 為一個字元,不足時用等號填充。
https://gchq.github.io/CyberChef/
gchq = 英國國安局 圖靈,電腦之父,布雷地莊園
---
UTF-16LE(1200)
字串串接
Repleace"[(+'']"
[reference link]
SPLIT 切割,斷句
---
## 戰術(Tactics)
帶兵攻山頭,用什麼方式?
## 技術(Techniques)
立即收到結果
## 步驟(Procedures)
---
### 01 內網掃瞄(Internal Reconnaissance)
### 02 使用 PowerShell (權限很大)
### 03 使用非特定的代理行理(Proxy Activites)
### 04 使用Command Line
### 05 HTTP User Agent
### 06 User Web shell
### 07 DNS Tunneling
### 08 偷資料(Spear Phishing)
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
Citrix內部網路遭國際犯罪集團駭入,傳為伊朗駭客所為
https://www.ithome.com.tw/news/129224
基於 dnsexfiltrator的DNS隧道研究 - CSDN博客
https://portswigger.net/daily-swig/oblivious-dns-over-https-offers-privacy-enhancements-to-secure-lookup-protocol
# ITHUB-dnsexfiltrator
https://salesianibarcellona.it/apt34-github.html
### 中國菜刀
https://attack.mitre.org/software/S0020/
### 阿共蟻劍
https://github.com/AntSwordProject/antSword
## 404 StarLink Project - 404星链计划
https://github.com/knownsec/404StarLink-Project
---
## 入侵指標 (IoC)
入侵完的入侵指標,殘留的證據。
兩種格式,可以提供至防火牆或設備中。
- IOC
- OpenIOC
- XML
- STIX
https://www.cisa.gov/uscert/ncas/alerts/aa22-321a
## Key Indicators of Compromise
- 01 Unusual Outbound Network Traffic
inbound 比較多,但 Outbond 多代表可能變成跳板。
- 02 資料存取或請求超過一般使用者的權限
- 03 異常的流量
- 04 多次登入失敗
- 05 大量資料庫的讀取
- 06 大量 HTML 回應大小
- 07 重覆回應相同檔案
- 08 應用程式PORT掃瞄
- 09 註冊檔更新
- 10 更新PATCH (以防其他人搶走)
- 11
## 中共文化 - 小馬帶大馬
(一句話木馬) => EVAL($大馬)
$Client 螞劍或菜刀~
## 痛苦金字塔 (Pyramid of Pain)★
- TTPs **(Tough)**
- Tools **(Challenging)**
- Network / Host Artifacts **(Annoying)**
- Domain Names **(Simple)**
- IP Addresses **(Easy)**
- Hash Values **(Trivial)**
===
Day02 以專案管理的思維來進行威脅情資
===
#
了解組織的威脅局勢,從風險意識的角度進去切入,某件事情的可能性,造成的可能性極高,就是高風險。
風險Risk與衝擊(Impact)及機率(Probability)相關
威脅利用弱點對資產造成影響的可能性。
是不是應該針對高價值的資產做一些保護?
# Assess Organization Current Security Pressure Posture
你的公司對駭客有什麼吸引力?
金融業是高度監管。來自於法令法規的要求。(current security policies)
## 1 對資訊資產(Asset)識別 & 分級,進行資產盤點
## 2 對資訊資產進行威脅分析
- 非蓄意性的威脅 (上個世紀的駭客,只是好玩而已~)
- 蓄意性的威脅 (高度目的性,威脅性較高)
幣圈– 全球第二大的交易所 FTX 倒閉。 幣圈沒有監管的環境。
投資不要借錢(就是賭啊,就是風險啊)
創業不要用自己的錢
最慘的就是保險業,防疫險賠了一個資本額,叫苦連天~
精算師計算保單的時候可能沒有計算到這點?但全台灣都虧錢~?
(高風險管控~)
## 3 為了展現資訊安全的成熟度,就開始進行情資研究
為了不見得會發生的事情做準備
做資安跟做保險很像。
跟吃中藥很像,沒辦法立即見效
- 威脅情報
- 監控特定威脅的能力
- 日常作業(Security Operation)
- 事故應變(Incident REsponse)
- 弱點管理(Vulnerability Managerment)
處理好已知後,有時間再來處理未知(zoerday)吧
相關設備 –
- SIEM
- NGFW
- Gateway
- IDS/IPS
- Endpoint Soulutions
#### 終究需要定義組織的目標,來訂定威脅情資的計畫
我想要考證照,但我不知道要什麼?老師:??? 就推最貴的資安長認證(CCISO)
P95
目標先訂出來!就是先前提到的戰略、技術。
必要的需求(requirement),ex:
Production Requirement 交付什麼情資?
Intelligence Requirement 需要什麼情資?
Collection Requirement 會蒐集到什麼樣的資料?
#### 利害關係人(Stakeholder)
#### 需要情資的人員
- 戰略用戶 Strategic User
- 戰術用戶 Tactical User
- 運營用戶 Operational Users
## PIR
排序面向:
- 利益
- 處罰
- 成本
- 風險
- 順序性
- 時間壓力
---
## 莫斯科分析法(MoSCow)
來自敏捷專案管理,分為四等來做排序。
- MUST 必要的條件,考試不能被當掉
- SHOULD 應該要 沒有意外就要發心
- MAY 有就有,不強求 躺著就有 阿姨我不想努力了
- WONT 不需要
---
P102
組織包含員工資料、財務資料等等
---
情資範圍,沒有標準答案
依需求或是專案去做調整
---
#### ROE(Rules of Engagement) 交戰守則
#### TOP-LEVEL Guidance
#### ROE"S Assistance
#### 保密協議(NDA) 一定要看清楚
p105
不可靠的情報來源,ex 雙面間碟
- Unreliable Intelligence Sources 來源不可信
- Inadequate Communication 溝通不良
- Data without Context
| | True | False Alarm |
| -------- | -------- | -------- |
| Positive 檢出 | TP | FP 誤報(Type 1) 對的說錯的|
| Negative 未檢出 | TP | FN 漏報(Type 2) 錯的說對的 |
---
P107
# 威脅情資的規劃
- 人(People)
- 程序(Process)
- 技術(Technology)
## 情報來源計畫
- 釣魚信(Phishing Message)
- 惡意程式(Indicators of Malware)
- 被駭裝置(Compromised Devices)
- IP Reputaion
- Maliclous Infrastruture
## 安排威脅情報程序的步驟 考!!!
Step involved in scheduling a threat intelligence program
P111
- (1) GOAL
- (2) WBS
- (3) 交付結果
- (4) 定義
- (5) 順序
- (6) 資源
- (7) 工作的順序
- (8) 預估時間
- (9) 進行工程排程
---
針對Platform & Portal & Integration
如果取得情資之後,可以怎麼做呢?
P115
#### (1) 預防冒名詐騙,提醒消費者
---
動機(Drivers) + 阻礙(Obstacle) + 效益(Benfits)
---
各司其職ー
- 事件處理人員 (IR) 善後
- 鑑識調查人員 (DF) 收屍
不要被帶風向
- 好奇心
- 堅持
- 技術進步
---
組識內部沒有這樣的人,該怎麼辦呢?
(1) 內轉
(2) 空降
要怎麼培養有效的情資團隊?
P121
---
### ISACs
國家資安資訊分享與分析中心(N-ISAC)
- Aurhorization
- Data Protection
安全的交換情資應考量資料敏感性
---
威脅情報的蒐集
P145
- 被動資料蒐集(Passive Data Collection)
- 主動資料蒐集(Active Data Collection)
在不違反法徑及隱私的狀態下,會去蒐集來觀察敵人的系統
- 混合資料蒐集(Hybrid Data Collection)
或是我們會建立 hoenypot 來誘捕駭客
但因為現在有 SIEM、Splunk 及大數據技術
所以不用 hoenypot 囉
---
- Raw Data 原始資料:IP、域名、C2、等等技術細節
- Exploited Data 資訊:已整理過的資料、調整格式、篩選過的內容
- Production Data 情報:已分析過的結果,帶有分析過的個人主觀意思在其中。
---
- OPSEC 作業安全 (Operation Security)
-
### 沒有虛機去哪邊撈咧?微軟啊。(30 Days)
https://developer.microsoft.com/zh-tw/windows/downloads/virtual-machines/
大家都一樣啊,沒有帶什麼個人特徵。
#### 網咖是我的最愛 ♡ - 劉得民 老師
### 環境
- TOR Browser
- 虛擬環境(VMs)
- VPNs
- 手機上網
Virus Total 檔案上傳之後,C2 晚上就知道哪些人來看,
包含各大家的防毒軟體… 趨勢的封包裡面有會帶特徵 Trend Micro,然後把大家防毒的 ban 掉,之後有遇到這些防毒的就無效。
---
## 資料的可性度
- 關聯性
- 可信度
### 可行動型情資
驗證品質及可靠度
---
## 蒐集資料的頻率(Over-all)
- 技術情報:漏洞、IP、行為…
從資安設備來的~看攻擊語法有機會可以看到 Zeroday
但要想想頻率,如果太頻繁,收的東西都是有用的嗎?
成本~
- 頻率(Frequency)
- 衝擊(Impact)
---
## 情資蒐集計劃
- CH 4 資料的收集(Data Collection)
- (Structuring/Normalizaion)
- CH 5 (Storing and Data Visualization)
-
---
資安資訊分享與分析中心(ISAC) 及資訊安全監控中心(SOC)
---
# 機場監控
https://beta.twatc.net/
###
- 數位簽章(Measurement and Signature Intelligence)
- 人力情報(Covert Human Intelligence) 臥底
- 金流情報(Financial Intelligence)
- 社交媒體(SOCMINT) facebook
- 網路反情報(CCI) 誘補系統 Honeypot
- 政府和執法來源(Goverment and Law Exforcment Source)
---
### Search Engines
https://otx.alienvault.com/pulse/57ffa2f27c54df175fb514fb
### Dark Web Searching
- surface web
- 深網(Deep Web)
非主流教派的內容
- 暗網(Dark Web / DarkNet)
可能包含禁忌的項目 毒品 洗錢 兒少
台灣的使用習慣比較少
因為大部份的使用者的習慣是 PTT & 滴卡
然後暗網為什麼不用咧?
因為~台灣人的英文不好所以…
#FACEBOOK TOR:
facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion
---
## 蒐集垃圾信的 IP 黑名單 – spamhaus
https://www.spamhaus.org/
## 蒐集垃圾信的 IP 黑名單 - IBM Xforce
https://exchange.xforce.ibmcloud.com/search/%23blacklist
---
### 網頁情蒐
- 掛馬
- ALEXA 線上服務:確認是正常服務還是假裝的網站
https://www.semrush.com/website/alexa.com/overview/
- HTTrack 嵌站:
HTTrack Website Copier - Free Software Offline Browser (GNU GPL)
https://www.httrack.com/
- archive.org 網頁時光機.. https://archive.org/web/
https://web.archive.org/web/20130302031537/http://www.wretch.cc/album/
---
E-Mail Header Tracker
https://www.ip2location.com/free/email-tracer
---
# - Port Forwarding tester
http://www.yougetsignal.com/tools/open-ports/
測試服務埠是否開通
https://www.yougetsignal.com/
---
# DNS Transfer
## 小鴨 DNS (惡名昭彰)
https://www.duckdns.org
新聞: 不再使用 Reddit 登錄- 法律請求
支持我們:成為Patreon
## NGROK 動態網址
https://ngrok.com/
(健保詐騙)
---
## Maltego 針對人的情蒐工具 (人與人的關聯性)
999 歐元/用戶/年
---
# 親切訪談 Interviewing
# 警察審問 Interrogation
國外是老鷹,國內是鴿子
吃便當是真的,用燈照不行,趴趴熊
---
### 網路反情報
- 網路反情報
- 誘捕系統 & 模擬環境 (Respone 跟真的一樣)
## sysmon
https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
收那麼多 sysmon log 量很大,所以我們會搭配 splunk 跟 gaylog 開源一起用。
### Splunk
gray log = (免費版的splunk) https://www.graylog.org/
---
# Passive DNS Monitoring
有時候我們不在乎 IP 封包,而是網域名稱,比較快速查詢來源。
最好的問題在於 DNS 查詢的紀錄。
### Passive Total
RiskIQ 被動總計
全球 2,000 人中有超過 400 人信任 RiskIQ 的攻擊面管理和情報。
- 具有強大搜索功能的簡化界面
- 豐富的 OSINT 文章
- RiskIQ 原始威脅研究
- 直接訪問 PassiveTotal 數據
付費服務
https://www.cosive.com/riskiq-passive-total
https://www.iforensics.com.tw/EN/product33.html
---
### Malware Sinkholes 貓味天坑
做一個雷區讓病毒去踩?
- 把 C2 打下來
- FAKE NET 網路模擬器 (解析病毒想幹嘛)
### flare-fakenet-ng
https://github.com/mandiant/flare-fakenet-ng
### FAKE DNS
https://www.kali.org/tools/dnschef/
--
# 惡意程式類型
- 木馬 由駭客操縱,種進去自己下指令,彩虹橋,沒辦法大量部署
- 蠕蟲 丟上去亂竄,怎麼弄都不管啦,有目的或是造成勒索
- BOT-NET 部署進機器中,然後連結至 C2 ,透過 C2 下指令,然後控制成千上百的 BOT。(RED LINE) 201X年~往後~
---
### YARA RULE
Google 病毒結構化查詢語言 (用於 Virus Total)
行為模式或是特徵很接近(血緣關係或地緣關係)
ex.俄羅斯病毒不會攻擊歐洲
---
# IoC (fireye)
花錢買情資 主要跟設備廠商買
- 開源
- BLUELIV
- OTX
- MISP IOC 平台 規則要自己弄
- CACADOR
- IBM X-FORCE
- THREAT_NOTE
- IOC Bucket (WEB)
https://www.iocbucket.com/feeds/rss2/yara/latestten
需求來自於 你有沒有這樣的資安設備可以用
像說 SIEM NGFW 等等 丟進去掃瞄等等
沒有這些設備 那你做 IOC 就很難有效果
- - -
#### RED LINE
https://resources.infosecinstitute.com/topic/forensic-investigation-with-redline/
https://fireeye.market/apps/211364
記憶體分析
---
## IOC Editor
編輯器而已 你主要還是著重在特徵
如果把已知病毒的雜湊丟進去 但只要改一個bit 雜湊就沒有用囉
---
## 惡意程式分析
### PE STUDIO -靜態 (強!)
https://www.winitor.com/download
### ANY RUN - 動態分析
https://any.run/
https://app.any.run/submissions
https://app.any.run/tasks/ed078f61-33af-4c25-b29d-229aa79f4242/
---
## BULK DATA - 大數據 三元素
- Volume 量
- Velocity 速度快
- Variety 多樣
---
- 結構化資料
raw data 、圖形(ai)
- 非結構化資料
(檔案半結構) 影像 聲音 圖片檔
#### Structuring / Normalization of Collected Data
- 標準化 / 結構化
- 正規化
-
### 正規化方式
- STIX
- CybOX
- OpenIOC
- TAXII
### 情資 CTI - 標示語言 STIX - 傳輸協定 TAXII
### 網頁服務 WWW - 標示語言 HTML - 傳輸協定 HTTP
---
## 資料採樣(Data Sampling) - 考!
### 隨機取樣(Probaility Samplling)
取樣很平均,樣本沒有代表性,隨便找路人
### 目的取樣(Purposive Sampling)
賣化妝品問男生,沒用,請找女生問卷
### 便利取樣(Convenience Sampling)
隨便啦,方便就好。
---
儲存(Storing):放雲或放地端都好啦
視覺化(Data Visualization):以圖表呈現啦
= = = 第四章結束 = = =
---
# Day03 資料分析
- 資料分析(Data Mining) & 視覺化分析(Data Visualization)
## Malware Visualization 惡意程式的圖像分析
"Trojan Pong" and other malware data visualization ideas
https://www.secviz.org/content/trojan-pong-and-other-malware-data-visualization-ideas.html
---
P230
## Type of Data Analysis
#### 敘述性 Descriptive
#### 診斷性 Diagnostic
#### 預測性 Predictive
#### 規範性 Prescriptive
#### 定性分析(Qualitiative)
- SWAP 分析
| 優勢(S) | 劣勢(W)|
| -------- | ------ |
| 機會(O) | 威脅(T) |
#### 定量分析(Quantitative)
量化的數字從哪裡來?
可能過於主觀?
#### 探索性分析(Exploratory)
但避免先射箭再畫靶
#### 確認(Confirm)
### 資料檢查 Data Validation (考)
- 信心程度(Confidence Levels)
將差異性資料排除後,可以找出較常態分布的資料
- 標準差(Standard Deviation)
---
### 資料關聯性(Data Correlation)
- 交集
- 聯集
### 統計學的三位老師~
## 皮爾森 Pearons - 兩個變數之間的線性關聯性
## 史爾曼 Spearman - 兩個變數之間的深度關聯性
## 肯代爾 - 兩個變數之間的正常關係
## JOE Sandbox
https://www.joesandbox.com/analysispaged/0
#### Analysis of Competing Hypothesses Process (ACH)
真正可能性篩選完之後,處理完,就能預設最佳假設
(但實際上作法是把最唬爛的幹掉)
---
## 暗影之錘(ShadowHammer)
影錘(ShadowHammer)——利用華碩升級服務的供應鏈攻擊預警
https://www.anquanke.com/post/id/175543
卡巴斯基研究報告:
https://www.kaspersky.com/blog/details-shadow-hammer/26597/
---
# 競爭假設分析(ACH)
ACH 是一種工具,可幫助判斷需要仔細權衡替代解釋或結論的重要問題。它幫助分析師克服或至少最大限度地減少一些認知限制,這些限制使先見之明的情報分析難以實現。
非常重要的是要注意,ACH 的目標是盡可能多地拒絕假設,而不是確認任何假設。
## Analysis of Competing Hypotheses (ACH part 1)
https://isc.sans.edu/diary/Analysis+of+Competing+Hypotheses+ACH+part+1/22460
- 暗影之錘是誰幹的?
- 想哭是誰幹的?
### ACH - 8 大步驟
#### (1) 確定所有假設。
理想情況下,所有假設都應該相互排斥,這意味著如果一個假設為真,則所有其他假設都為假。
#### (2) 列出支持和反對每個假設的相關證據和論點。
這還必須包括假設和邏輯推論。
#### (3) 如上所述創建一個矩陣,並通過定義是否一致、不一致或不適用/不相關來針對每個假設分析每個證據,以試圖反駁盡可能多的假設。
簡單來說,就是分析證據的“診斷性”。
此外,重要的是為每個證據提供可信度和相關性級別(即高、中或低),因為這將有助於最終評估的信心。
#### (4)優化矩陣
審查調查結果,找出任何差距,收集任何需要的額外證據,刪除沒有診斷價值的證據。
#### (5) 對每個假設的相對可能性得出初步結論,並試圖反駁它們。較低的一致性意味著較低的可能性。
#### (6) 分析分析對少數關鍵證據的敏感性。
#### (7)根據所有假設的可能性報告結論,不僅是最有可能的假設,還總結了考慮過的備選方案以及它們被拒絕的原因。
#### (8) 確定未來觀察的結論
#### 作業練習
暗影之錘的威脅 – 是誰幹的?!WHO?
卡巴斯基沒有寫說是誰幹的,所以請幫他腦補出來是誰幹的!
| 證據(真) | 新聞 |
| -------- | -------- |
假設(猜)
| 軍事化–國家級駭客?| +5(中國網軍入侵雲端)|
| 犯罪化? | +5(俄羅斯駭客感染路由器) |
| 激進主義–人權團體?| +3(印度童工)|
| 激進主義–環保團體?| +0 (綠色產品) |
| 其他競爭對手?| +2 (微星技嘉) |
## SACH - Structured Analysis of Competing Hypotheses
增加假設複雜度 OR 更多真實的證據
就能完成假設
=> 最有可能的結果
---
# 事件處理與回應 Analysis Process and Responsibilities
## (1) 指標升級 Indicator Escalation
## (2) 初始分析 Inital Analysis
## (3) 整合分析(Enrichment Indicator though Fusion Analysis)
Dimond Model
## (4)
# WHO & WHY?
WHO 敵人是誰?
WHY 為什麼攻擊我?
WHAT 怎麼發生的?
TARGET 被攻擊的標的是什麼?系統本身的特性?
#### Modus Operandi
#### 技術情報的分析
- 無知→不知→知
#### 技術細節分析 MITRE ATT&CK®
https://attack.mitre.org/
針對事件進行分析
#### 鑽石模型
#### 權限邊界的問題- 透過資料流程圖
#### DFD VS DAD
# RISK = PROBARILITY * DAM
## 威脅模型方法論
### STRIDE
| Column 1 | Column 2 |
| -------- | -------- |
| 欺騙 Spoofing | 驗證 Authentication |
| 篡改 | 完整性 INT |
| 否認 Repudiation | 完整性 Non-Repudiation (Accounting) |
| 資訊洩漏 Information Disclosure | 機密性Confidentiality |
| DoS | Availability 可用性 |
| Privilege Escalation | Authorization 授權|
### PASTA
### TRIKE
### VAST
### DREAD
### OCTAVE
## 框架的認知偏誤(psychological phenomenon)
要理性!請用模型!
ps.非洲人不穿鞋耶,那我前進非洲都是商機 ^^
ps.哇!非洲人不穿鞋耶,那我就賣不進去了 QQ
---
機器學習
- 監督式學習
- 非監督式學習 (曠日費時)
- 增強式學習 (把錯誤排掉)
---
#### Runbooks
CyberKillChain 也算是一種依步驟完成的腳本
#### Knowledge base
- x-force
- TLM
---
# 最後一個章節 – 情資報告
報告要怎麼發佈呢?
- 跟正確的人講
- 情資分享
(1) 建立情報交換機制
## 情資的分享模型 分三等 - 公開、限閱、機密
- 網路開粉專?網路大爆炸時代
- 不想公開,但又想知道別人的情資
### STIX Viewer
https://oasis-open.github.io/cti-stix-visualization/
## 老師講太快了,視覺化參考這裡
[Day 7] 威脅情資概述 - 結構化威脅資訊表達式 STIX
https://ithelp.ithome.com.tw/articles/10289306
---
### 通報
- 法令法規(上市上櫃或金管會)
- 主管機關()
- 廠商
#### 整合
#### 考試情資
Sign in with Wallet
Connect another wallet