大家好,我是 LINE Tech Evangelisgt – Evan Lin。LINE 一直以來不遺餘力地提升資訊安全,除了以 DevSecOps 的概念為基礎,將資安 DNA 注入 LINE 產品與服務,更積極促進整體資安生態圈的成長。 而 Beer is beautiful, hacks is amazing, BECKS is gold. BECKS是Beer與Hacks兩個字所組成。 透過一系列的 BECKS.IO – Security Meetup 資安社群活動,為韓國、日本、台灣等地的優秀資安人才提供當面交流、建立良好連結的機會! 本次 BECKS.IO 小聚選於台北的 Avenue 舉辦,邀請台灣的講者們,在輕鬆開放的氛圍中,暢談不同企業與個人的資安思維及實務經驗,並展望相關技術的未來發展。
KKTIX 活動網頁: 活動網址
The Silence of Incident Responders in Taiwan The realities , the difficulties and the future - Jack Chou/ISSDU Senior Technical Consultant
這邊提供一些搜尋到的基本常識:(相關資料都是資安小白筆者搜尋的)
IR (Incident Responders):
受到威脅的時候,需要透過 SOC 來制定相關第一階段的應對機制與方法。
SOC (Security Operation Center) :
資安運作中心,由政府聘僱的一個組織來確保政府單位資訊安全,避免資安相關威脅與攻擊。
SOC 監控共同提供契約,其中分為三個 services level:
- 低流量: EPS: 900, IR: 3次
- 中流量: EPS: 2300 IR: 7次
- 高流量: EPS 4900 IR: 15次
SOC 要做的事情:
- 跟客戶開會(0800 點名)
- 樣本分析
- 客戶高度期望
骨感的現實
雖然 IR 的理想很美好,講者也分享了現實在台灣的 IR 內容大概有分哪一些類型。 甚至還有: 動態銷售型 IR,勸架型 IR, 張老師型 IR,安撫型 IR 與情資型 IR 等等類型。 也就是說,雖然 IR 在目標上感覺需要做出相當多的分析與應對,但是許多時候根據場景的不同。 IR 在不同的情況下會會有不同方面的處理方式。
那要如何找到未知的攻擊(?) SOC & IR
搜尋 CVE 上資料 且 攻擊三家以上。通常會可以當作“有預謀的大規模攻擊?” 。
###未來 Future:
某一個現實狀況: 政府單位收到資安通報 –> 接到通知台東出現問題 -> 是否需要到現場 -> 地點太遠無法第一時間到達 -> 遠短設定相關環境 –> 開始了解問題 –> 後來可以在很快速的時間內反應,並起做出處置。
根據這個案例可以知道,「遠端的 IR」 將是未來的一個趨勢。
參考文章:
- 關於 SOC 的說明 https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-soc.html
- IR 工作説明: https://www.cybersecurityjobs.net/incident-responder-jobs/
- https://www.hackerupro.co.il/soc-operation-and-incident-response/
Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data - Joey Chen/Trend Micro Sr. Security Engineer
講者是威脅研究員,本篇內容是報告一份駭客組織的研究白皮書: ENDTRADE PIC 研究白皮書
什麼叫做 ENDTRADE
像是間諜任務,許多的相關任務其實圍繞著一個主要的目標。
-
有一個明確的目標 (舉例:日本國防資料)
-
需要有不同階段的攻擊(預備的準備活動)
-
先攻擊相關合作廠商,藉以獲取相關資訊。 (先打大陸廠商,因為日本的代工廠在大陸)
-
主要研究組織: TICK
-
對於專門攻擊專門做研究報告的公司
-
透過這些研究報告公司來攻擊目標(因為研究報告公司的信箱的信件比較沒有防備心)
-
透過這個方式來攻擊化工與公家包案承包單位
-
2018 年找了相當多的漏洞,並且也開發了相關的惡意程式與相關的駭客工具。
- 甚至把後門程式放進防毒軟體的資料夾中。
-
防毒軟體不會找自己資料夾(或是自己)
策略型的作用
- 放惡意程式放在明顯(容易被點選地方)
- 一開始入侵目標常使用的網站
- 讓惡意程式去常用網站去下載真正的惡意程式碼
相關開發工具:
- Downloader
- Dropper
- 並且還有整合完整的工具,讓攻擊動作可以相當順暢且容易。
攻擊型態:
-
(2019 上半年)
- 將惡意程式放在照片裡面,透過其他方式還原為執行檔。透過合法網站來下載惡意程式,讓掃毒軟體無法偵測得到。
- 放惡意程式裝成 pdf –> 放後門 –> 連線到合法網站 –> 下載惡意程式。
-
(2019 下半年)
-
假裝是 PDF 的執行檔 –> 連線到合法網站 –> 透過 PHP 控制本地端檔案
持續研發的開發團隊
-
新型下載器的特色:
- 只能在上班時間運行
- 會砍掉防毒軟體
- 攻擊特地範圍的使用者(日文與簡中)
-
入侵後回傳資料會透過 AES 跟 base-64 改變過才回傳,確認是否需要繼續攻擊。
入侵內網後做的事情
- 截圖小工具
- Load VB Script 小工具
結論 (takeaway)
- 每個任務會花費一兩年來攻擊
- 開發多樣性的惡意程式
- 並且不斷的檢查與保護惡意程式
- 也會偷取相關資訊,確認目標是需要繼續動作的。
相關的 Q&A
Q: 如果有惡意程式放在防毒軟體資料夾,貴單位有任何防範
A: 在資料夾如果要執行前,都會做相關的檢驗。確保沒有被惡意程式修改過。
相關資料
- https://documents.trendmicro.com/assets/pdf/Operation-ENDTRADE-Tick-Multi-Stage-Backdoors-for-Attacking-Industries-and-Stealing-Classified-Data.pdf ENDTRADE PIC 研究白皮書。
活動小結
今晚的聚會邀請到國內外資安專家,不藏私分享資安策略和經驗,幫助與會者在短短數小時內,從不同角度領略實現資安的各種可能。BECKS 是由 Beer 與 Hacks 兩個字所組成,透過本次小聚,我們再度凝聚資安社群,讓資安專家分享最新研究,並讓各領域的資安研究員進行面對面討論,除了幫助更多人了解 LINE 的安全設計,更希望透過交流,讓多元的資安思維得以迸發出精彩的火花!
立即 follow「BECKS」活動訊息,就能收到第一手 Meetup 活動最新消息的推播通知。▼
「BECKS」活動專頁:https://becks.io
關於「LINE開發社群計畫」
LINE今年年初在台灣啟動「LINE開發社群計畫」,將長期投入人力與資源在台灣舉辦對內對外、線上線下的開發者社群聚會、徵才日、開發者大會等,已經舉辦30場以上的活動。歡迎讀者們能夠持續回來察看最新的狀況。詳情請看:
- 2019 年LINE 開發社群計畫活動時程表
- LINE Taiwan Developer Relations 2019 回顧與 2019 開發社群計畫報告
- 2020 年LINE 開發社群計畫活動時程表
徵才訊息
《LINE 強力徵才中!》與我們一起 Close the Distance 串聯智慧新世界 » 詳細職缺訊息
