# The Big Bang of Cybersecurity Emergencies - Costin Raiu {%hackmd @HITCON/HkzqEGQsR %} > 從這裡開始 同步口譯：https://www.youtube.com/live/0G_3ZRve5vw 1990-2024 年之間發生的資安威脅 Around 1993 高中網路發現新的病毒 磁碟片發現壞磁區 (檔案被 BadSector Virus 感染？相關 keyword 被寫在檔尾) May 12,2017 勒索軟體 [WannaCry](https://en.wikipedia.org/wiki/WannaCry_ransomware_attack) July 19, 2024 Windows bluescreen caused by [CrowdStrike](https://en.wikipedia.org/wiki/2024_CrowdStrike_incident) Guccifer, was a taxi driver and became a hacker by using tools found on the web Guccifer 2.0: claim from Romania 因為這些是我的浮水印， 你也可以找到其他西班牙文， 但他使用羅馬尼亞人 你會用 WATERMARK （不是羅馬尼亞人會用的方式） 不正確的當地人的方式，可能是翻譯而來的 很有趣的是美國司法定罪文件 才發現是俄國情報單位 發現是關於這個世界知名的關鍵字可以辨識 是俄國情報單位假冒羅馬尼亞人 APT28 持續滲透的 一般來說我們都希望有這樣的能量 但在不同國家會有不同國家利益 中國可能對台灣、香港、美國、歐盟 伊郎可能會使用入侵方式來攻擊記者，來造成錯誤的報導 所以Gucci吧2.0 記者都會不會跟你說是資料來源是哪裡來的 古生物的博物館的概念來套用這些概念 像說尼斯湖水怪 或是頭、背啊 也不是說它真的存在 也是要透過線索或重要資訊才能把這些資訊給拼起來的 Google 在 2017 年的 wannycry 放出來 大家才知道勒索軟體 如果真的打開之後 比對特定offset 才會知道有雜湊方式來比對 預先訂義雜湊的種子值 跟俄羅斯的內容是同樣的 一開始這些國家可能不會做毀滅式攻擊 我們可能會在隱藏在裡面 shodowpad 中 可能隱藏在客戶端或… 然後不停的在「未知」的網域 是在韓國軟體中 植入後，找這些這些 domain 取得加密金鑰 APT41 的程式碼，可能是一個中國的 apt 群組 你可以比較plugin 有所相似之處 同時具有間諜行為及財務相關的誘因 可能就是為了虛擬貨幣而進行這些行為 有很多持續且明確的 APT 攻擊 在這個事件中 shell code 有 APT17 事件有重疊 因為 APT 17 攻擊 Google 所以有名 讓 Google 放棄 Windwos 是其中的一個原因 如果去做程式碼相似性可能會有所差異 與 Lazarus 很相近 也有中國、越南其他的 APT 團體 Code 不一樣，但功能是相近的 是因為韓國奧運 原本以為是要催毀奧運 但其實不好說樣本是不是複製貼上 因為太相近了 加下混淆所以難以辨識 我們就是用比較古生物去進行骨頭分析這樣 （就惡意程式分析跟鑑識嘛…） 有機會可以去透過組譯的方式來分析來源 #### Wild Neutron(？) 用zoerday 漏洞去進行多平台、多憑證、多toolkit去進行漏洞研究 去駭入其他控制中心 其中有些是中國的電信公司 有些是惡意軟體的開發者的作品 是他們隱藏自己的身份是專家 (目前無法辨識) 但目前由於因為錢的關係 所以攻擊很多不動產、健康、保險、資安公司、技術 但沒有攻擊國家跟政府 #### ANSAR 通常攻擊的方法是有自己 toolkit 無法取得 但只會入侵特定系統、版本 存取控制入侵完就會有放 zeroday 通常是reserver ssh 進行 甚至少 macos 被偷走的憑證還是從 acer 來的… 我們有去警告 acer acer ：我們知道啊 攻擊者：你們知道就好 (對話結束) #### SSP Plugin 延伸套件 開發者可以進行套件驗證 大部份攻擊是用 mimikazari 沒有辦法辨識 md5 能可以辨識其他密碼 如果你知道的話 歡迎跟我們說 （因為 no VT) #### Wild Neutron IIS Plugin 可能是波蘭文或俄文這樣 但註冊域名是投資銀行的銀行 但去看他追 IP 卻是投資高科技公司、保健公司 可能這家更好的投資又很難說是因為為何？ 因為CEO 的推特也被入侵了嗎 所以常常發佈一些不如預期的內容(？) 其中一個是比特幣詐騙的網站 然後來詐騙很多的人 雖然現在沒辦法跟現今的貨幣 但當時造成轟動 ex. - tiger-healthcare.ch - tiger-healthcare.com 也有相關詐騙去欺騙投資人 也有觀察到可能飯店保全實體入侵？？？ 以上的事件在當時的年代是資訊資安的熱潮 所以我們用大爆炸來做這個比喻 就像牛頓一樣偉大 我認為資安跟宇宙非常相似 我們把資安領域怎麼開始的進行研究 緊急事件、攻擊事件、重大事件、特定攻擊、特殊攻擊等等面向 會一直出現 20 年前還是巨集 資料儲存、密鑰、等等會需要很多的技術 想要好好在資安圈混一口飯 是很難的 - - - 而且存這些 LOG 是必要的 我們要從日誌中學習 (或歷史中學習) --- Costin G.Raiu @craiu --- 我們可以進階更發展資安宇宙的暗能量～～～～～