大家好,我是 LINE Tech Evangelisgt – Evan Lin。LINE 一直以來不遺餘力地提升資訊安全,除了以 DevSecOps 的概念為基礎,將資安 DNA 注入 LINE 產品與服務,更積極促進整體資安生態圈的成長。 而 Beer is beautiful, hacks is amazing, BECKS is gold. BECKS是Beer與Hacks兩個字所組成。 透過一系列的 BECKS.IO – Security Meetup 資安社群活動,為韓國、日本、台灣等地的優秀資安人才提供當面交流、建立良好連結的機會! 本次 BECKS.IO 小聚選於台北的 Avenue 舉辦,邀請台灣的講者們,在輕鬆開放的氛圍中,暢談不同企業與個人的資安思維及實務經驗,並展望相關技術的未來發展。

KKTIX 活動網頁: 活動網址

The Silence of Incident Responders in Taiwan The realities , the difficulties and the future - Jack Chou/ISSDU Senior Technical Consultant

這邊提供一些搜尋到的基本常識:(相關資料都是資安小白筆者搜尋的)

IR (Incident Responders):

受到威脅的時候,需要透過 SOC 來制定相關第一階段的應對機制與方法。

SOC (Security Operation Center) :

資安運作中心,由政府聘僱的一個組織來確保政府單位資訊安全,避免資安相關威脅與攻擊。

SOC 監控共同提供契約,其中分為三個 services level:

  • 低流量: EPS: 900, IR: 3次
  • 中流量: EPS: 2300 IR: 7次
  • 高流量: EPS 4900 IR: 15次

SOC 要做的事情:

  • 跟客戶開會(0800 點名)
  • 樣本分析
  • 客戶高度期望

骨感的現實

雖然 IR 的理想很美好,講者也分享了現實在台灣的 IR 內容大概有分哪一些類型。 甚至還有: 動態銷售型 IR,勸架型 IR, 張老師型 IR,安撫型 IR 與情資型 IR 等等類型。 也就是說,雖然 IR 在目標上感覺需要做出相當多的分析與應對,但是許多時候根據場景的不同。 IR 在不同的情況下會會有不同方面的處理方式。

那要如何找到未知的攻擊(?) SOC & IR

搜尋 CVE 上資料 攻擊三家以上。通常會可以當作“有預謀的大規模攻擊?” 。

###未來 Future:

某一個現實狀況: 政府單位收到資安通報 –> 接到通知台東出現問題 -> 是否需要到現場 -> 地點太遠無法第一時間到達 -> 遠短設定相關環境 –> 開始了解問題 –> 後來可以在很快速的時間內反應,並起做出處置。

根據這個案例可以知道,「遠端的 IR」 將是未來的一個趨勢。

參考文章:

  • 關於 SOC 的說明 https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-soc.html
  • IR 工作説明: https://www.cybersecurityjobs.net/incident-responder-jobs/
  • https://www.hackerupro.co.il/soc-operation-and-incident-response/

Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data - Joey Chen/Trend Micro Sr. Security Engineer

講者是威脅研究員,本篇內容是報告一份駭客組織的研究白皮書: ENDTRADE PIC 研究白皮書

什麼叫做 ENDTRADE

像是間諜任務,許多的相關任務其實圍繞著一個主要的目標。

  • 有一個明確的目標 (舉例:日本國防資料)

  • 需要有不同階段的攻擊(預備的準備活動)

  • 先攻擊相關合作廠商,藉以獲取相關資訊。 (先打大陸廠商,因為日本的代工廠在大陸)

  • 主要研究組織: TICK

  • 對於專門攻擊專門做研究報告的公司

  • 透過這些研究報告公司來攻擊目標(因為研究報告公司的信箱的信件比較沒有防備心)

  • 透過這個方式來攻擊化工與公家包案承包單位

  • 2018 年找了相當多的漏洞,並且也開發了相關的惡意程式與相關的駭客工具。

    • 甚至把後門程式放進防毒軟體的資料夾中。
  • 防毒軟體不會找自己資料夾(或是自己)

策略型的作用

  • 放惡意程式放在明顯(容易被點選地方)
  • 一開始入侵目標常使用的網站
  • 讓惡意程式去常用網站去下載真正的惡意程式碼

相關開發工具:

  • Downloader
  • Dropper
  • 並且還有整合完整的工具,讓攻擊動作可以相當順暢且容易。

攻擊型態:

  • (2019 上半年)

    • 將惡意程式放在照片裡面,透過其他方式還原為執行檔。透過合法網站來下載惡意程式,讓掃毒軟體無法偵測得到。
    • 放惡意程式裝成 pdf –> 放後門 –> 連線到合法網站 –> 下載惡意程式。
  • (2019 下半年)

  • 假裝是 PDF 的執行檔 –> 連線到合法網站 –> 透過 PHP 控制本地端檔案

持續研發的開發團隊

  • 新型下載器的特色:

    • 只能在上班時間運行
    • 會砍掉防毒軟體
    • 攻擊特地範圍的使用者(日文與簡中)
  • 入侵後回傳資料會透過 AES 跟 base-64 改變過才回傳,確認是否需要繼續攻擊。

入侵內網後做的事情

  • 截圖小工具
  • Load VB Script 小工具

結論 (takeaway)

  • 每個任務會花費一兩年來攻擊
  • 開發多樣性的惡意程式
  • 並且不斷的檢查與保護惡意程式
  • 也會偷取相關資訊,確認目標是需要繼續動作的。

相關的 Q&A

Q: 如果有惡意程式放在防毒軟體資料夾,貴單位有任何防範

A: 在資料夾如果要執行前,都會做相關的檢驗。確保沒有被惡意程式修改過。

相關資料

  • https://documents.trendmicro.com/assets/pdf/Operation-ENDTRADE-Tick-Multi-Stage-Backdoors-for-Attacking-Industries-and-Stealing-Classified-Data.pdf ENDTRADE PIC 研究白皮書。

活動小結

今晚的聚會邀請到國內外資安專家,不藏私分享資安策略和經驗,幫助與會者在短短數小時內,從不同角度領略實現資安的各種可能。BECKS 是由 Beer 與 Hacks 兩個字所組成,透過本次小聚,我們再度凝聚資安社群,讓資安專家分享最新研究,並讓各領域的資安研究員進行面對面討論,除了幫助更多人了解 LINE 的安全設計,更希望透過交流,讓多元的資安思維得以迸發出精彩的火花!

立即 follow「BECKS」活動訊息,就能收到第一手 Meetup 活動最新消息的推播通知。▼

「BECKS」活動專頁:https://becks.io

關於「LINE開發社群計畫」

LINE今年年初在台灣啟動「LINE開發社群計畫」,將長期投入人力與資源在台灣舉辦對內對外、線上線下的開發者社群聚會、徵才日、開發者大會等,已經舉辦30場以上的活動。歡迎讀者們能夠持續回來察看最新的狀況。詳情請看:

徵才訊息

《LINE 強力徵才中!》與我們一起 Close the Distance 串聯智慧新世界 » 詳細職缺訊息


Buy Me A Coffee

Evan

Attitude is everything