HITCON Pacific Day 1 === R2 IBM Z/os https://github.com/ayoul3 ICS基本概念 CICS是Mainframe事務(Transaction)處理的主要介面，它位於操作系統z/OS之上，處在應用程序（例如Cobol程序）、用戶和數據庫等子系統之間，完成實現業務功能的映射。 的功能，讓其他作業系統來呼叫。 從應用程式角度看，CICS提供了一個編譯API界面，提供應用程序大部分原來由OS提供 CICS在系統指派给它的唯一的Address Space中執行，在這個單一的Space中CICS支持Multitasking，這裏的任務task指CICS能为用戶同時分別服務，也就是說CICS支持多用戶。 CICS是atm常在使用的一個查詢api介面，按照講師簡報CICS的查詢可以高達120萬/秒 次 --- Would you Need Help to Create Privacy Policies for Apps? (R2) (Andriod .....ios好像沒這問題??????) === 1. privacy policy 1.1 沒有宣告會存取 ex : GPS ? but view code has this function 1.2 錯誤的宣告存取 ex: address book ! 宣告會存取個人資訊但實際上是存去電話簿 1.3 使用第三方的api但，設計者不知道 2. PPChecker 比對app's description 和 app's what's new 與 靜態分析比對，是否宣告和code是一致 * 11 permission 如何自動化提取並分析 ? (自然語  3. 靜態分析 * 如何收集資訊 * API * URI 取樣結果 : 1680個andriod APP有484 (28%)宣告和實際行為不符  詳細作者論文 https://www4.comp.polyu.edu.hk/~csxluo/PPChecker.pdf --- Remote Attacks on Vehicles by Exploiting Vulnerable Telematics(R1) === App =bluetooth=> Vehicles =GSM/3g/lte/wifi=> server 1. 針對好物理接口進行監控 2. 針對firmware進行逆向工程 3. 針對active進行分析 4. 分析藍芽協定 5. 分析交握 how to fix 1. the device should verify the signature of a firemware before installing it. 2. mutual authentication 3. the communication between the app and the device should be protected by keys/pin specific ic... ==補充== 1. 透過車用電腦獲取汽車資訊, 行駛資訊, 地理位置, 甚至進行遠端操控 2. 車用電腦可以透過OBD連接埠進行破解 3. 車用電腦可以透過對外連接(藍芽或是網際網路)的無線裝置 4. 因為升級流程單純且缺乏認證, 所以極容易進行惡意程式植入或是中間人攻擊 5. 因為車用電腦程式沒有進行亂碼化, 所以極容易進行逆向工程及原始碼分析 6. 因為指令傳輸通道缺乏加密及保護, 所以極容易進行封包或是指令分析 感想 a. 可惜講師沒有分析遙控器方面的破解, 其實遙控器的演算法很特別. 我周末再分享一些概念. b. 另外可以參考HITCON Community中GOGORO的破解, 雖然方式不同, 但是從藍芽的弱點入手是極為相似的 c. 現在藍芽的穿戴式裝置認證機制其實大都是各廠商自己寫的(例如NFC接觸後就可以認親了), 但是因為藍芽基本的LIB還在, 所以基本LIB就變成駭客溫床, 或是廠商自己寫的新漏洞就沒有隨者藍芽版本升級而修正 能達到最大的攻擊程度？條件？ poc主要是針對它firmware能實現的，它都能實現。 若可廠商可支援wifi，即可通過wifi去攻擊。 理論上，可以在高速公路上，update隔壁車的firmware。 --- Exploiting PHP7 - teaching a new dog old tricks === serialize unserialize ZVALS system (UAF) //CVE-2016-5771 看起來PHP全版本也中獎 Hawk1n5:php 7不受影響 * Holds PHP variables php7允許用戶控制的值可能會被傳遞給PHP的反序列化函數。在用戶提供的輸入未進行適當處理就傳遞給函數unserialize時(通常對應serialize)，此時就有可能導致該漏洞的發生。由於PHP中允許對象序列化，所以攻擊者可以通過將特殊的序列化字符串傳遞到一個脆弱的unserialization調用中，以此導致一個任意的PHP對象注入到應用程式範圍中。 說明: 1.變數結構 在PHP-7中,用來保存值的結構與php-5有所不同。 在內部保存值的結構是zval(_zval_struct)。這個結構的第一個字段是zend_value，其中包含指向PHP基本類型的指標和結構，而主要類型有Boolean、integer、double、string、object和array 等。 我們需要關注的類型是String、Object和Array,它們在內部中被表示為zend_string、zend_object和zend_array結構。 zend_string是用於保存字符串的結構。當引擎創建了一個新的字串後,它會分配足夠的字節給zend_string結構，對字符串的大小進行擴充。然後,它會用字符串的數據填補這個結構的字段，並在結構的末尾添加上字符串的內容。因此,字符串創建為我們提供了一種在不同的尺寸中進行分配的方法:sizeof(zend_string)+ strlen(str)= 16 + strlen(str)。這樣，我們就沒法再偽造一個字符串zval，並讓它指向我們想要的地方了,這和使用PHP-5時有所不同。 2.記憶體分配不同 在PHP-7中，記憶體的工作原理不同於PHP-5。小的分配(slot)由一個free list完成。每個分配大小都有一個對應的free list。 free list通過一個或多個連續頁（bin）進行初始化，而free list的初始化使得每一個slot指向下一個slot。一旦free list耗盡，一個新的bin會被分配出來。  講者報告: https://blog.checkpoint.com/wp-content/uploads/2016/08/Exploiting-PHP-7-unserialize-Report-160826.pdf --- Winnti Polymorphism === * memory-resident * export function names * tryp to bypass UAC dialog then create service * decrypt/run worker component * export function name SMTP worker component * some worker components support SMTP * public code is reused  VSEC Variant * Two main differences compared with Novetta variant * no engine componet * worker's export function name is "DllUnregisterServer" * recently more active than Novetta variant? Winnti as a Loader loading like Ghost and PlugX Related kernel drivers * kernel rootkit drivers are include in worker components * hiding TCP connection * making covert channels with other client machines * the rootkit hooks tcp ip network device interface specification(NDIS) protocol handlers  查170個winnit樣本查詢他的campaign ID，並且查其憑證，看是否用於醫療業者 --- R1好恐怖啊...各種分析malware欸哈哈 --- Target Identification through Decoy File Analysis === 1.解釋如何反彈閃避防火牆 2.可以閃過防毒軟體,virustotal都是0唷 3.大多數企業可以被文件入侵,因為更新部分只限於os 4.語言是重點,因為有些狀況會因為文法不同識破是社交工程 5.老話一句,時事也很容易中招 6.研究中發現,會有駭客直接拍下螢幕(prt sc) 直接貼在文件上 製作成社交工程文件 (Decoy File) ,但我們從語言發現,居然是簡體中文,馬上從細節看穿這份社交工程文件 (R1_太基本.....有點想睡.....) (R2....呵呵@@) 看起來很好玩啊 R1嗎 ? R1可能兇手是阿共 ~~~ 剛剛有人問R2的講師的問題， 講師表示...大概可能我猜...是老共XDDDD ==補充== APT的Malware多半有針對性, 所以可以執行環境將會是受限的, 所以許多感覺起來壞掉的執行程式可能是因為環境因素未滿足, 所以無法執行. 所以在進行惡意程式分析時, 必須考量是否有針對性的目標, 以避免認為是已經損毀或是不具威脅的無用檔案. 這也是VS無法查詢到的原因. 誘餌檔案的分析 1. 把沙箱或是防毒分析放在防火牆可能是另外一個誘餌分析的解答; 現在有些解決方案是把沙箱放在Proxy. 2. 誘餌檔案多半與目標有關係, 語言/時間/內容將可以判斷駭客可能想要取得的有價資訊或是攻擊目標, 利用被攻擊者的信任感 (一些工作上或是生活上的常見檔案), 甚至會協助傳播. (我夢見曾經有一封養身的社交工程測試信, 被一位疼惜員工及友愛親朋的長官大幅轉寄, 最後點擊人數超過200, 可以說這位長官是駭客之友嗎?!) 3. 攻擊者有可能會在誘餌檔案中無意留下一些訊息, 揭露了攻擊者的背景(作業程式, 慣用語言, 或是製作時間) 4. 誘餌檔案可能是區域性散佈, 誘餌檔案中連結的Domain可能是兩種或兩種以上的惡意軟體共用. 因此可以經有前述兩種情形進一步確認攻擊者的來源. --- Fly me to the BLACKMOON (R2) (今天我覺得最有趣的一節課 - Titan) 針對銀行惡意程式的分享分析 === 名詞解釋: ~ Pharming(phishing + farming) ~ NPKI (National Public Key Infrastructure) ~ IFT Network = Interbank Fund Transfer ~ Fss financial supervisory service (韓國的金管會) blackmoon 會劫持首頁 會產生假頁面、假通知、假的loading頁、假KISA頁面，需要你輸入帳密個人資料 (都假的,眼睛業障好重阿) blackmoon會判斷windows還是linux,會給受害者對應版本 透過廣告去散撥惡意程式  how to find 透過 爬蟲 去搜尋（不過沒說是怎麼爬的） blackmoon時間軸  2015年 是透過修改hosts 因為不能拍照.....只能說....這駭客太不小心了,還滿好笑的 連錄影都中斷了,因為.....講師也違法了 XD 賺錢電音阿!!!按照這些資訊這首電音會一直放  --- 補充： https://blog.fortinet.com/2016/04/23/over-100-000-south-korean-users-affected-by-blackmoon-campaign --- HITCON Pacific Day 2 === An Intelligence-Driven Approach to Cyber Defense (R0) --- 1.資安能見度越來越低 1.1.惡意的程式從檔案變沒有檔案 (變成script/或直接放在記憶體) 1.2.攻擊者行為從惡意變成沒有和大家一樣的正常行為 2.攻擊越來越中性,像是把偷出來檔案使用dropbox上傳 * Invisible Attacks * Invisible network traffic 3.Powershell和WMI越來越多惡意script出現  4. * infisible malware 5.病毒的自我簽章加入[信任憑證],來閃避資安檢測 TooHash(H2) Evolution 6. VirusTotal搜尋機密資料XDDDDDDDDD（大誤 VirusTotal才是[危機]解密 TMPolicy 猜測可能藉由某antivirus軟體機制散撥惡意程式 7.案例 ~ 7.1. windows xp ~ DLL side-laoding 如果預設的路徑沒有dll，從最近的檔案路徑優先使用 （xp copy檔案到system32是很容易的）  ~ 7.2. windos 7以上 ~ 使用wusa.exe來達到閃避效果 [ex : wusa.exe "IE11-Windows6.1-KB2929437-x64.msu" /norestart] wusa.exe(?) 在win7最新的patch，以及win10已經被拿掉。  ATT&CK reference URL:https://attack.mitre.org/wiki/Main_Page URL:http://detect-respond.blogspot.tw/2013/03/the-pyramid-of-pain.html 8.commercial Threat Intelligence ~ 我們是否有辦法產生自己的資安履歷,晉升到SIEM 2.0 ~ 我們應該轉換角色，獵殺APT駭客  --- Cybersecurity Strategy in Japan(R2) === * Understanding of cyberspace * Objective * Principle * Policy ..? * Organization 糟糕...聽不懂了....有人要神救援嗎 ? --- 基於機器學習的惡意軟體分類實做:Microsoft Malware Classification Challenge 經驗談 (R1) === 透過機器學習，自動化惡意軟體分類 Step. * Prepare data * generate feature * train model * make prediction * Evaluate Tools:scikit learn * http://scikit-learn.org/ 比賽：Microsoft malware classification challenge URL: https://www.kaggle.com/c/malware-classification Tools: XGBoost URL: https://github.com/dmlc/xgboost --- 計分公式：  計分板： https://www.kaggle.com/c/malware-classification/leaderboard 程式碼： http://dsguide.biz/competition/40/ 第1名的 https://github.com/xiaozhouwang/kaggle_Microsoft_Malware 第2名的 https://www.kaggle.com/c/malware-classification/forums/t/13863/2nd-place-code-and-documentation?forumMessageId=75478#post75478 第72名的 https://github.com/vrajs5/Microsoft-Malware-Classification-Challenge 其他資料： Microsoft Malware Winners' Interview: 1st place, "NO to overfitting!" http://blog.kaggle.com/2015/05/26/microsoft-malware-winners-interview-1st-place-no-to-overfitting/ Microsoft Malware Classification Challenge 上位手法の紹介 (in Kaggle Study Meetup) http://www.slideshare.net/shotarosano5/microsoft-malware-classification-challenge-in-kaggle-study-meetup --- Why today's security researchers cannot just publish vulnerabilities (R1) === 婀....研究人員，也是需要錢的！！！！ 研究人員會跟誰說漏洞呢？ 1. 廠商 2. bug bounties 3. 朋友（如果有的話）/家人.... --- Evaluation of Static Features for Mach-O Sample in Classification Task (R2) === 相關研究 http://homepage.divms.uiowa.edu/~mshafiq/files/raid09-zubair.pdf PE file vs much-o最主要差異為resource，mach-o的resource不包含在可執行檔案中 一般木馬跟後門沒有特徵 ｖｔ的query string 為何？ (呼應上個簡報....vt會有很多秘密唷) 有一個類別... --- Government's cybersecurity challenge and future(R2) === * challenge 1: 每天被打QQ * challenge 2: 預算太少 * 美國政府資安預算：751e * 行政院資安預算:8e * challenge 3: 持續變動威脅 * challenge 4: 資安設備整合 * challenge 5: big data(? * challenge 6: 人 * challenge 7: 時間 --- 一銀（R1) === Q:為什麼一次吐60張鈔票？ A:根據一銀的說法，超過60張，會卡紙XDDDDDD [另一說法:根據 Wincor 1500xe 介紹，最多一次吐鈔60張] * http://www.wincor-nixdorf.com/internet/cae/servlet/contentblob/627810/publicationFile/11076/brochure_ProCash1500xe_EN.pdf CNGDISP_NEW_NOLOCK.exe 未被媒體報導的exe，但是還無法反組譯出來 行內的ATM，是沒有防火牆的防護。(補充說明: 照銀行的說法不是沒有防火牆防護, 是因為都在內網所以都受同樣的外部防火牆防護 XD) 行外的ATM，才有防火牆，本次一銀事件，都是針對行外的atm，所以都有firewall紀錄，從firewall的紀錄可以看到從倫敦來的紀錄。 來源分別為： 1. 倫敦的錄音主機 2. NCR的主機(NCR是另外一家ATM廠商 [Wincor 1500] 的機器。)，但是跟這次一銀的ATM是不同廠商。 吐鈔程式是透過NCR 瑞士IP=>電話主機=>內部網路=>NCR, DSM, ATM =>  (補充說明: NCR主機是管理NCR ATM的主機, 駭客是利用NCR管理主機的弱點, 讓Wincor ATM受感染; 夢境中有仙人說好像有人想要整合多管理平台所以將原本的網段切割取消了, 所以大一統的環境來臨了) 瑞士的IP共有連線到四個主機,都採單線聯絡方式 (製造斷點) 這台錄音主機，發生了一些事情，然後就往生了！ (noreboot.exe可能刪除了很多紀錄）  喔喔喔喔！ 有安裝強大的teamviewer!! 大概是5/31，進入錄音主機，6/1安裝teamviewer。 某位陳小姐的ATM最高權限被取得XDD  DNS主機被上傳客製化的patch檔。 喔喔喔！ mimikatz 出現了！！  在最後一次的patch派送進行滅證！！ 駭客盡量使用了SMB的方式做資料傳輸,避免被資安人員發現。 陳小姐是關鍵！！！XDDDDDDDDD 吐鈔程式，會限定日期 (台灣版本無誤，九月限定、七月限定） payload(命名為beacon)(Hawk1n5:cobalt strike用的payload) 443/80/53連線 = 外部 smb = 內部  Hacker 使用的入侵工具組 * https://cobaltstrike.com/ 密碼取得方法 * GPP exploit  請參考MS更新文件 * https://support.microsoft.com/en-us/kb/2962486 * MIMIKATZ   REF: sdelete tool * https://technet.microsoft.com/en-us/sysinternals/sdelete.aspx --- Memory Wars: 對記憶體攻擊手法與防禦技術的探討 (R2) === 探討1 :windows 如何執行exe  Process memory * windows implements a virtual memory model * every process had its own private virtual address space PE檔案會有自己prefer的記憶體位置 DLL記憶體位置是可以被使用者可以自行定義 探討2 : 為什麼PE很重要 ? Portable executable(PE) file is the standard binary file format for windows executable PE optional header * imagebase * addressOfEntryPoint * Other metadata 微軟防護記憶體的工具： EMET, Enhanced mitigation experience toolkit * 主要是提高駭客去攻擊的難度！ SEHOP(structured exception handling overwrite protection) * program出現exception時，該如何處理 Dynamic DEP(data execution...) * 限制行為，only read, only write，不讓執行其他行為 ASLR(mandatory address space layout randomization) * 每次重開機時，可讓base address是不一樣的 奇怪的軟體不適合用EMET去保護XDDDD (word / Chorome 也很奇怪 XD ) EMET不是windows內建的工具 連word對於EMET的相容性都會有問題！ chrome....呵呵 在32位元系統上會有低不可預測性的問題，造成容易暴力破解攻擊（Low entropy ：不可預測性） 記憶體保護的方式： * patch * 白名單 * 機器學習 * Anti-exploitation工具 --- Automatic Binary Exploitation and Patching using Mechanical [Shell] Phish (R2) === https://github.com/mechaphish https://github.com/shellphish * Automatic binary exploit * information leak * code exection * Automatic binary patch * Prevent binary from being exploit * Preserve binary functionality * Preserve binary performance * Prevent analysis from other team * Defensive techniques * return point encryption * aslr * Patcherex * adversarial techniques * detect QEMU * Backdoor * ... * backends * inject code opensource: github.com/shellphish github.com/mechaphish github.com/angr ::\OwO/:: --- Fractured Backbones – Incidents Detection and Forensics in Telco Networks(R2) === --- Lurk, Carbanak and Attacks on Banking Infrastructure(R1) === 1.太信任內網 (進內網以後....呵呵XDDDDDD) (太相信外網的防護了！進內網就如入無人之地XD)(都是oracle/oracle) 2.員工資安意識薄弱 (認為token拿走沒差) (泰國....atm的線路，會被觀光客拔掉XDDDDD) 3.員工失業只能做黑的 case in Lurk group : ~ timeline about Lurk ~ 2011 start ~ 2013 build inf team  特色 ~ 使用水坑攻擊 ~ 喜歡用java script ~ 喜歡先攻擊熱門網站,攻下後再攻擊,目標銀行 === 有銀行人開始作夢,有相同存巧合 === 1.補充說明, 2008年金融海嘯後, 各國倒閉銀行拍賣ATM機器, eBay上約莫40000台幣即可購得(含說明書但是不含運費), 此情形也造成封閉ATM系統變成顯學 2.駭客還是習慣從容易如手的弱點開始攻擊 (個人感覺, 如同笑話中所云, 兩個人被老虎追趕, A對B說, 我們怎麼可能跑得過老虎, B對A說, 我只要跑得比你快就好 XD. 所以避免低級錯誤, 至少讓自己處於第二線被攻擊的對象, 降低風險) 3.ATM breach還是比較傳統的方式, 比較屬於C&C. 不要從ATM出發, 要從攻擊者角度出發, 標的是銀行, 一定踩入銀行, 什麼都有可能是標的, 所以要把重點放在若駭客在內部可能還可以如何發動攻擊, 只是更換ATM或是防禦ATM是腳痛醫腳. 4.以個人電腦為例, 安裝應用程式的清單對駭客而言是高價值的資訊, 因為熟悉銀行流程的駭客可以從清單分析出來這台電腦的價值, 與這個使用者的對於交易流程的關鍵性 5.許多銀行內部系統還是用很傳統的密碼格式 - 4碼的英數字 (我夢到許多系統還是屬於4碼的數字, 我相信很多夥伴已經想到什麼字典檔可以好好來用用看了) 6.銀行行員的活動時間與駭客進行攻擊的時間可能有正相關 (平常日的中午以及每周周五) 7.目前針對銀行的Payload很多在VS都還看不到(不是維多利亞的秘密), 這一點可以與前面講座提及的Malware或是惡意腳本都是客製 ==課程延伸閱讀的夢境== 1. 201607被關站的烏雲網曾經是亞太區主管機關的最愛 2. 某數字銀行的海外網銀曾經在15分鐘內被PT打爆 3. 旁邊的夥伴提及, 同一家數字銀行的客戶資料未依照區域進行區隔, 如此可能有合規議題外, 倘若被SQL injection, 那就世界大同了. 4. 部分銀行進行網路封包側錄, 多半連限制惡意網站的都是那些不能說但是常上電視的人.(一般企業也是,這些人是VIP,專門是資安的"VIP")