2019 iThome資安大會筆記

這篇主要是補上今年3月份參加iThome資安大會的一些筆記跟小小心得。今年的資安大會與往年一樣都在台北國際會議中心舉辦，不過由於我第一天有事情，因此今年只有參加到後面兩天，挺可惜的，不過後面兩天也蠻多精彩的演講(雖然大部分還是推銷產品居多)，以下就是我的一些小小筆記，如果想暸解更細部的話，目前簡報已經都釋出在官網上了，可以去參考～

議程: https://cyber.ithome.com.tw/agenda

3/20

Keynote 正面迎戰內部威脅，公司被害還是員工被駭?!

• 「研發部門是企業命脈，卻最難管理」，鎖太多權限可能導致開發人員沒辦法安裝套件或是一些撰寫的一些程式功能無法執行，但是開發人員有可能會藉由一些方式(如IDE)，使用看起來合法的操作來將企業資料攜出。
• 為了避免這樣，精品科技開發的產品能夠讓IT人員針對特定IDE去所權限，例如可以設定visual code所執行的CMD沒辦法用來上網或是沒辦法執行敏感指令(copy & paste)，正常情況下的CMD沒事，但是只要是從IDE叫出來的CMD就鎖權限。另外也可擋掉IDE上面的code在執行某些敏感的動作。
• 除了IDE以外，另外也可以限制如Office這種軟體，權限可以設定的很彈性，例如可以設定只能把文字從外部複製貼上到Word，但是不能從Word把資料複製出來等。
• 原理推測是透過在端點執行Agent直接去對Windows底層的API去做阻擋，因為不管什麼操作都還是要靠Windows 底層的API來完成，因此直接去鎖底層就可以達到這樣的管理。

Cyberlab 趨勢科技 Target ransom

• 實機課程，由於禁止將講義跟參考資料帶出，因此只能簡單概述實機內容。
• 現在勒鎖軟體已經不一定要使用一些非法的程式，許多駭客已經開始使用「正當合法軟體」來作加密的動作(如winrar)，這樣可以避免防毒的偵測。
• 一般企業中勒鎖病毒都以為只要把中的那台還原或是把資料從備份倒回來就好，但是這樣治標不治本，因為駭客還是存在公司裡，也許他是透過內網裡某台跳板機來攻擊目標，但往往IT人員都只會把焦點放在被攻擊的目標上，以為是那台被駭。要如何追查APT攻擊怎麼造成的對於IT人員來說是非常的困難，透過趨勢科技的APEX產品，就可以幫助IT人員方便的查找問題。
• 實機操作就是試著扮演駭客透過跳板機去打下AD Server，然後再試著扮演網管人員去追查攻擊流程。

學員扮演角色：駭客:

Step 1: 首先連到企業的一個網站

Step 2: 透過聯絡我們上傳照片功能，上傳Webshell到網站。

Step 3: 直接在網站上執行Webshell，新增一個使用者並提權為管理者，然後了解一下Web Server相關資訊(hostname、Web server version…)

Step 4: 發現Web Server是Windows Server IIS。

Step 5: 嘗試能不能遠端桌面，不能，可能是防火牆擋住或是沒開RDP功能。

Step 6: 透過Web shell關閉防火牆功能以及開啟RDP

Step 7: 在測試一次遠端桌面，成功進到Web Server。

Step 8: 接著要使用procdump跟駭客工具minikatz來取得Web Server上跑的服務的使用者帳密。

Step 9: 由於minikatz會被大部分防毒給擋掉，因此不能直接就把minikatz上傳到Web Server，因此這裡只上傳procdump。

Step 10: procdump是合法的軟體，就是把process dump出來，因此在Web Server上執行沒問題，我們直接將proces資訊dump吃來，然後把Output傳到駭客的電腦。

Step 11: 在駭客電腦執行minikatz分析process dump結果，成功發現kerberos帳號密碼以及服務IP(AD Server)。

Step 12: 測試看看能不能直接透過網路芳鄰輸入IP位置跟帳號密碼連到AD Server的admin$目錄，發現可以成功到admin$目錄。

Step 12: 將預寫好的勒鎖軟體上傳到Web Server，由於是透過winrar去加密程式，因此不怕防毒偵測。

Step 13: 在Web Server執行勒鎖軟體，加密AD Server admin$資料夾。

Step 14: 加密完成，AD Server服務已停止。

學員扮演角色：IT人員:

Step 1: 發現AD Server被加密，要開始查找問題是怎麼發生的。

Step 2: 連入趨勢科技的產品Apex Web GUI來查找問題。

Step 3: 首先先隨便在AD Server找一個被加密的檔案名稱，然後透過檔案名稱去搜尋。

Step 4: APEX找出這個檔案存在於哪一台主機(AD Server)，以及他的LOG，透過LOG可以看到他是被什麼Windows指令加密的(rar.exe -df <加密檔名> <原檔名稱> -p<加密的密碼>)還有是哪個使用者帳號執行的、從哪個檔案執行的以及執行時間，看到加密的密碼，網管人員可以松一口氣，表示至少可以還原檔案了。

Step 5: APEX上可以使用LOG產出Root Cause Analysis(RCA)圖，類似關聯圖。關聯圖上面顯示跟那段指令有相關的檔案:

PsExec.exe -> encrypt.exe -> cmd.exe -> rar.exe -> <被加密的檔案>

從關聯圖可以看出，有人透過PsExec程式來從別台主機遠端在AD Server上執行encrypt.exe作加密的動作。

Step 6: 接下來要找哪一台主機的log有encrypt.exe這個檔案的紀錄。一樣到APEX GUI透過檔名搜尋

Step 7: 突然搜到除了AD Server以外，還有一台WEB Server一樣有執行這個檔案的紀錄(這個是執行紀錄，就算檔案刪掉也沒用，刪掉的指令也一樣完全都會被記錄進來)，另外還發現是WEB Server奇怪的帳號(剛剛駭客用webshell新增的使用者，一樣駭客刪掉使用者也沒有用，因為一舉一動都被記錄下來)執行encrypt.exe的。

Step 8: 產出RCA圖，可以看到encrypt.exe的原檔名

Explorer.exe -> randsom.exe(原檔名) -> PsExec.exe -> encrypt.exe -> cmd.exe -> ...

可以看到Explorer.exe執行randsom.exe，因此可以推斷WEB Server就是源頭也就是跳板機。

Step 9: 回到APEX WEB GUI，以主機為單位，直接去叫出WEB Server上在這段期間執行所有的動作，因此駭客所做的每一步都直接顯示在頁面上(用webshell執行的所有動作)。

Step 10: 結束。

心得: APEX與前面keynote的原理一樣，一樣要在企業的所有機器裝Agent，這個Agent就是趨勢科技的防毒軟體，只是如果要採用agent收集功能，要加授權就可以，這個Agent一樣會去hook windows底層的API，所以每一步驟都完全被記錄下來，駭客要關掉Agent是非常困難的，Agent會用密碼加密，且可能會被設定為唯獨，因此可能不會受勒鎖軟體影響。這個agent會完全沒有隱私，但PC所有的一舉一動都會記錄下來，所以以前常聽到的駭客入侵後要清除足跡，在這種情況下幾乎是完全不管用的，因為就連『清除』這個動作也會被記錄起來。

Android 惡意程式動態解殼研究

• 一般來說Android開發者會對程式碼進行加殼，來防止反編譯。
• 加殼方法：
  • 混淆Code(缺點是標準API不能混淆)
  • Dex文件加密
  • Header修改
  • Dex data加密
  • Method動態加解密
  • VMP (Virtual Protect)
• 有些開發者會先把code加密，然後故意把不重要的檔案做混淆，讓反編譯的人以為混淆的檔案就是code，然後花心力在處理混淆，殊不知真正的code被加密放在別的地方。

資訊安全中的人工智能對抗

• 近年來大家很流行使用Machine Learning來training model去對資安攻擊做偵測，但是也衍伸了一種針對Machine Learning Model進行攻擊的「Adversarial Machine Learning」(AML)。
• AML是去欺騙Model，使用混淆或是污染的方式來攻擊弄壞Model。例如：Model可以分出狗跟貓，但假如說駭客做一個像貓又像狗的照片(自然界不存在，也就是非正常的Data)，然後餵給Model，Model可能就會造成誤判。另外一種方式是圖片是狗，但是某一個pixel故意放烤麵包機，以人的肉眼來看看不出來，但是Model在判別時，就會造成錯誤，可能會誤判。
• 除圖像的以外，垃圾郵件的偵測也可以使用AML，例如在垃圾郵件裡面故意塞一段正常文字，Model可能就會以為這是正常的郵件。或是郵件裡面的某些文字故意換成同義詞，這樣可能也可以繞過垃圾郵件判別。
• 絕大部分的Model都不太可能百分之百不被騙或是混淆，如果一個Model完全不會被混淆，那個Model也沒有AML的價值。
• AML攻擊手法可以分成兩種：
  • Evasion Attack: 製作特製的data來騙或繞過Model，又可分成黑箱跟白箱，黑箱是駭客不知道Model長怎樣，只能不斷透過Output去猜測，白箱是指駭客已經事先了解Model規則。
  • Poision Attack: 去破壞Model，例如有些chat bot採用online traing機制，一邊聊天一邊學，但只要一直餵給他特定的data，就可以讓Model壞掉，學奇怪的東西或是誤判。
• 防禦方式：
  • Evasion Attack: 駭客一定要有方法去試Model Output，因此只要偵測是否有人在短時間內大量測試或是人工簡單看一下是否有不尋常非自然得data，如果有就BAN掉。
  • Model retrain：一但發現Model分析資料不準，就馬上修正Model並重新training。retrain又可分成主動式跟被動式，主動式是企業內部red/blue team主動去攻擊Model，然後修正Model。被動是等被攻擊了，才Retrain。

駭客如何利用公開工具在內部網路中暢行無阻

iThome報導 - https://www.ithome.com.tw/news/129486?fbclid=IwAR2rBpZx6r-fWXgmsTupgUrzkWsOiCunvCleq5oyfONtz6zyd3aQ1Zr1Abg

• 紅隊演練 vs 滲透測試
  • 紅隊演練：駭客思維出發、全面且廣泛、目的是竊取企業資料
  • 滲透測試：在特定範圍、針對特定目標、目的是挖掘系統漏洞
• 攻擊鍊:

  目標偵查 -> 武器研製 -> 發動攻擊 -> 維持控制 -> 內網滲透 -> 偷取資料
  

• 目標偵查: Recon-Ng工具
• 武器研製: Metasploit(產生惡意巨集文件)
• 維持控制：安裝後門
• 內網滲透： BloodHound(能夠將AD Server網域內的元件以圖性化顯示並且提供攻擊路徑)、Responder(針對LLMNR或NBT-NS,MDNS謝進行poisoning attack)
• 偷取資料：dnscat2(DNS Tunnel)、icmpsh(ICMP Tunnel)。
• 防禦方對策
  • 研究公開工具，將其特徵加入資安產品
  • 禁止不安全的巨集或是不常見的腳本運行(hta,vbs…)。
  • 使用公開工具掃網路環境開啟服務並關閉未使用的功能。
  • 檢視不安全的ACL配置
  • 檢視DNS伺服器的解析方式

3/21

KEYNOTE【Live Demo】工業控制 Testbed 與資安攻防研究

• 近幾年工業製造的資安問題也慢慢開始被重視。
• 講者現場Demo一個模擬火車環境，駭客入侵鐵道管理系統，然後將火車引導到斷軌的地方。
• 攻擊手法為：

  滲透至內網-> 中間人攻擊 -> 封包側錄或解析 -> 串改封包或是發放假封包給控制端
  

• 台灣工控設備有10546個暴露於網際網路(具有真實調查資料)，且大部分都是走HTTP協定，非常不安全，暴露的產業有能源業、大專院校、政府機關、停車場業者、鋼鐵製造業、飯店大夏管理等。
• 工業控制網路防護自我健康檢查
  1. 資產盤點：
     • 是否已辨識關鍵基礎設施？
     • 是否進行風險管理與評估？
     • 使否檢視網段劃分與工業控制網路邊界？
     • 是否檢視網路架構設計邏輯？
  2. ICS系統帳號管理：
     • 是否制定帳號鎖定、管理政策？
     • 是否查找、刪除任何預設的特權帳號及密碼？
     • 是否要求使用強密碼和多因素身份驗證？
     • 是否限制特權帳號數量？尤其第三方供應商
     • 是否要求OT場域人員定期更換密碼
  3. OT網路隔離性(ioslate)檢視
     • 是否可以直接由網際網路存取ICS？
     • 是否可以直接由IT網路存取ICS?
     • 是否有嚴謹之傘端存取管理政策？
     • 防火牆是否已隔離所有需保護的ICS網路和設備。

KEYNOTE善用駭客思維：如何聯合白帽駭客共同加強資安防禦能量

• 紅隊演練不應該事先告知，且紅隊會一直學習新的攻擊技術，增強攻擊能力，這樣可以考驗藍隊的應對處理機制。
• 企業產品安全保護方式(按照順序)：
  1. Code & architecture review: 針對工程師或是員工上風險評估以及資訊安全概念的相關課程。工程師內部針對code去做review，看有沒有安全風險。
  2. 動＆靜態程式測試
  3. 紅隊演練：企業內部團隊找漏洞。
  4. 開啟Bug Bounty：讓全世界的白帽駭客一起來找漏洞。
• 紅隊演練的好處：
  • 能夠讓企業了解產品的弱點及漏洞面向。
  • 能夠讓藍隊增強企業安全的防守。
  • 允許管理層衡量安全解決方案的投資。
  • 能夠增加攻擊的成本，讓駭客攻擊更加困難。

資安脫口秀

• 甲方不應該看哪家廠商設備數字或成績漂亮就選擇他，應該是根據自身需要來選擇，可以整理近幾年公司遇到的資安事件，然後再跟乙方做討論，這樣才能選擇到公司可用的解決方案。

突破困境：資安開源工具之應用分享

• 簡報 - https://www.slideshare.net/jasoncheng7115/20190321-137504140?fbclid=IwAR26IO1-XOw_0xPIX2jPZB859H2B9XC8Xt35WxO0EZVvx9yEW6ZL7TTYST8

開源工具	解決方案
Proxmox	開源伺服器虛擬化管理平台
LibreNMS	開源裝置與服務狀態監視
Open-audIT	開源IT資產管理系統
Graylog	開源事件記錄管理與分析
FreeNAS	開源儲存伺服器系統
Duplicati	開源資料備份系統
PacketFence	開源網路存取控制系統
WSO2 IoT	開源行動裝置管理(MDM BYOD管理)
OpenVAS	開源弱點檢測管理平台
MobSF	開源APP安全測試平台
SonarQube	開源程式碼檢測平台
Proxmox MG	開源郵件閘道伺服器

• 開源套件選擇要點
  • 版本更新: 可以查看更新日期
  • 活躍程度：可以知道這個專案到底有沒有在維護
  • 商業支援：是否有付費版跟開源版，通常有付費版撐腰的比較好。
  • 留意授權問題(GPL,BSD, Apache…)
• Open Hub - 開源專案安全檢測與授權建議

解密 HTTPS 雲端服務的美麗與哀愁: 側錄 / 備份 / 防毒 / 稽核

• TLS提供了實質性的好處，但是卻也增加了分析流量的困難。
• 部分國家是禁止對HTTPS做解密，因為會有隱私權問題。
• 通常金融業是不能對HTTPS做解密，因為資料過度敏感。
• 有些軟體例如Line或是Messenger，沒辦法做解密，因為這些程式只要發現憑證被改就會被擋掉。

心得: 大部分的HTTPS解密都是透過proxy來做到，client端裝agent來換掉憑證，然後proxy端做解密的動作，接著再由proxy去跟Web Server去做連線，這樣就可以取得HTTPS的內容。

廠商(只有部分)

郵件過濾及郵件安全：

• Proofpoint

郵件伺服器及郵件安全

• Openfind

特權帳號監控管理

• Cyberark

HTTPS流量管理監控(解密HTTPS)

• L7Ntwork
• F5

雲端安全

• Tufin
• F-Secure

透過DNS來防護

• Cisco Umbrella

端點檔案加密(為重要檔案加密)

• 中華電信SecurBox

DDoS防護

• 威睿科技 GenieATM(透過設備將流量導到F5那些去做清洗，他們只做導向的動作而已)
• Arbor
• Akamai

Log管理

• ALog

整合型安全風險管理平台

• tenable
• IBM Security

Birdman新創公司

• CYCARRIER

其餘學習

1. 以往對付DDoS，廠商都是直接放一台自家設備在Gateway，當攻擊發生時設備將流量導向到Cloud Scrubbing Center去做清洗，但是這樣子對Client端還是有很大得負擔，因此發現今年許多處理DDoS的廠商，在Redirect的部分改用了BGP forwarding或是DNS Forwarding，直接在源頭就將流量導向到Scrubbing Center，這樣就不會增加Client的負擔。
2. 市面上大部分的IP Cam都是換湯不換藥，外殼是自己設計，但是晶片可能就採用大陸晶片，這種認證通常都很脆弱，只要使用一些現有的APP就可以掃到IP cam然後免認證登入，因此在買IP cam的時候，最好選擇有通過『 IP Camera 場域實驗室』認證的IP Cam。
3. 電影裡騙過管理者IP CAM畫面現實是做得到的，只要透過arp spoofing先去欺騙IP CAM管理器，這樣管理器就會以為駭客的電腦才是IP CAM，然後駭客再送假訊號(畫面正常的影片)給管理器，這樣管理器那邊就會一直看到是正常的畫面。

文章內容的轉載、重製、發佈，請註明出處: https://blog.phshih.com/