Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
HITCON FreeTalk 歷年回顧
• 2017-10 CCleaner 軟體供應鏈 Supply Chain Attack
• 2017-04 國際金融資安新威脅:Lazarus 攻擊 SWIFT 孟加拉
• 2016-10 金融資安研...
Supply Chain Attack

軟體供應鏈 攻擊
GD at hitcon.org
針對性攻擊⼿法
釣⿂信件: 惡意⽂件 / 直接偷密碼!
⽔坑攻擊: 網站掛⾺ / 軟體供應鏈!
!
直接攻擊: 主機密碼 / 系統弱點
使⽤者瀏覽!
後⾨程式植⼊
將 config 放在雲端服務!
部落格 / 論壇 / github
真正的惡意...
Watering hole attack 水坑攻擊
• 在獵物聚集的地方等待目標,選擇目標下手
!
• 網頁掛馬 SWC (Strategic Web Compromise)
• 掛在政府、智庫、論壇、社交、入口網站,目標族群常來訪
• Bro...
2011-07 壓縮工具 ALZip
http://www.solidot.org/story?sid=26199
ALZip是壓縮程序,是ALTools的組件之一,在SK
Communications內部使用。攻擊者利用ALTools
Com...
高度選擇性
• 2011-07-18 ALZip update server 被入侵
• 2011-07-25 SK Communication 自動更新
僅 SK 用戶 IP 下載才被導向加料版 ALZip
• 2011-07-26 入侵 C...
韓國最大社交網站被黑 3500萬用戶
資料泄露,台灣居然是駭客幫兇!?
• 韓國約有4900萬人,所以大概超過一半
的韓國人都 GG了
• 因為這次駭客的攻擊活動使用的
Malware 居然Host在某知名出版集團的
城邦網站下。
• 一直以來...
2013-05 公文電子交換系統 eClient
• 政府外包廠商被入侵

換置惡意檔案到

檔案管理局 update server

有乖乖更新,都有中獎
• 七千多電腦受害

少數三級(嚴重)事件
• 遍及所有大小政府單位

包括中央機關、...
2013-08 播放軟體 KMPlayer
• KMPlayer 執行後出現有新版本

3.7.0.87 更新訊息,連線至 update server
下載偽冒更新程式(KMP_3.7.0.87.exe)
• 有合法數位簽章 

且當時狀態有效...
2013-12 瀏覽器 FireFox 論壇 MozTW
• MozTW Forum PhpBB 弱點

台灣社群論壇上的下載連結被替換
• 惡意安裝檔 installer.cdn.mozil1a.org
• 三天有近七萬下載數量
• 簡體中文...
2014-09 日本文書軟體 Emeditor
• 官方網站被入侵,選擇受害者特定 IP

才拿到惡意程式,共超過一萬次下載
• EmEditor 說,受害者包括日本政府企業

LINE, 交通省, 法務省, JAXA 太空總署等
• 有數位簽...
2014-12 英雄聯盟 LoL, FIFA 遊戲
• 台灣代理商網站被入侵

update server 也被換置

三款熱門遊戲被加料

可能影響數百萬玩家
• 有合法數位簽章(代理商簽的)
• 簡體中文惡意程式 PlugX
上次開過 HI...
2015-09 開發工具 XCodeGhost
• 翻牆抓蘋果 XCode 速度太慢

牆內論壇上的 XCode 被加料
• 編譯出 4000+ 被加料 iOS App

包括知名軟件公司產品

WeChat, DiDi 打車, 12306訂票...
2017-03 烏克蘭 M.E.Doc
• 在烏克蘭有 80% 市佔率
• 官方 update server 被入侵三次

2017-03, 05, 06 不同後門
• 勒索軟體 NotPetya 等

防毒公司認為不只是勒索

可以做任何後門...
2017-07 網管工具 Xshell
• 韓國熱門的網管工具系列

Xshell, Xftp, Xlpd, Xmanager
• NetSarang 非常多大企業使用

Samsung, LG 等傳出災情
• 使用 DGA 演算法找 C2 位...
2017-08 系統工具 CCleaner
http://blog.talosintelligence.com/2017/09/avast-distributes-malware
http://blog.talosintelligence.co...
針對性攻擊 選擇受害者
• 攻擊者鎖定 Intel、Google、微軟、
Akamai、三星、Sony、VMware、HTC、
Linksys、D-Link、Cisco 近 20 家科技廠商
• Avast 原廠承認疏失,勇於面對現實

公布調...
傳統偵測技術失效
• 大家都以為自己誤判
• 數位簽章合法是原廠的
• 母公司是 Avast 防毒公司
• Host-based 特徵碼偵測時差太久
• 2017-08-15 CCleaner 網站換置
• 2017-09-14 開源 Clam...
資安軟體本身也可能是資安漏洞?
• 透過防毒主機 update server 派送後門
• 2013 南韓 DarkSeoul 事件 AhnLab PMS
• NYTimes, Washington Post 昨天頭條
• 以色列政府入侵 Ka...
企業必須要有「遲早會中獎」心理準備!
• 供應鏈廠商被打進去是沒救的
• 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽)
• 廠商要顧好自己的 Source Code Repository
• 廠商要顧好自己軟體的 CI/QA 測試...
資安事件處理方法 必須化被動為主動
Digital Forensics → Incident Response → Proactive
Incident Handling
Disk Forensics
Network Forensics
199...
理想的 CSIRT 資源配置
Hunting & Response
Detection
Prevention
目前多數公司預算分配
Hunting &

Response
Detection
Prevention
理想的主動防禦公司
【HITCON FreeTalk】Supply Chain Attack
You’ve finished this document.
Download and read it offline.
Upcoming SlideShare
Elasticsearch 簡介
Next
Upcoming SlideShare
Elasticsearch 簡介
Next
Download to read offline and view in fullscreen.

Share

【HITCON FreeTalk】Supply Chain Attack

Download to read offline

HITCON 2017 FreeTalk - 從 CCleaner 後門事件看企業如何因應 supply-chain APT attack
Speaker: GD

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

【HITCON FreeTalk】Supply Chain Attack

  1. 1. HITCON FreeTalk 歷年回顧 • 2017-10 CCleaner 軟體供應鏈 Supply Chain Attack • 2017-04 國際金融資安新威脅:Lazarus 攻擊 SWIFT 孟加拉 • 2016-10 金融資安研討會:ATM 與 SWIFT 攻擊手法 • 2015-01 世紀大漏洞:索尼影業、南韓核電廠、英雄聯盟 • 2014-10 ShellShock Bash 事件, 手機 Xsser mRAT • 2014-04 OpenSSL HeartBleed 事件, CVE-2014-1761 RTF ! • 流行攻擊手法的演進 • 密碼存取 => 弱點爆破 => 網路蠕蟲 => 社交釣魚信 => 網頁掛馬 =>軟體供應鏈
 (80” 年代) (90” 年代) (2000” 年代) (2010” 年代)
 系統防護 => Firewall => AV => IDS/IPS => NGFW => Sandbox => EDR/UEBA?
  2. 2. Supply Chain Attack
 軟體供應鏈 攻擊 GD at hitcon.org
  3. 3. 針對性攻擊⼿法 釣⿂信件: 惡意⽂件 / 直接偷密碼! ⽔坑攻擊: 網站掛⾺ / 軟體供應鏈! ! 直接攻擊: 主機密碼 / 系統弱點 使⽤者瀏覽! 後⾨程式植⼊ 將 config 放在雲端服務! 部落格 / 論壇 / github 真正的惡意程式控制端! 放在第⼆層的真正中繼站 後⾨程式回傳資料 外流資料 滲透內網其他電腦! 找尋⺫標資料
  4. 4. Watering hole attack 水坑攻擊 • 在獵物聚集的地方等待目標,選擇目標下手 ! • 網頁掛馬 SWC (Strategic Web Compromise) • 掛在政府、智庫、論壇、社交、入口網站,目標族群常來訪 • Browser, JavaScript, VBScript, ActiveX, Java, Flash Player • 進階版: EK (Exploit Kit), 惡意廣告 (Malvertisements) ! • 軟體供應鏈 SCA (Supply Chain Attack) • 文書、影音、系統、企業軟體,有自動更新機制者尤佳 • 攻擊大眾常用軟體公司的 download / update server • 從受害者 IP 中選出真正目標,發動第二階段 targeted attack
  5. 5. 2011-07 壓縮工具 ALZip http://www.solidot.org/story?sid=26199 ALZip是壓縮程序,是ALTools的組件之一,在SK Communications內部使用。攻擊者利用ALTools Common Module Update Application中的安全漏洞獲 得ALZip更新服務器的訪問權限,植入指令將更新導向 下載木馬。 ! 2010年9月24日註冊了惡意域名「alyac.org」,該域名 與韓國軟件開發商ESTsoft旗下域名alyac.com十分相近, 註冊者名叫 Guangming Wang
  6. 6. 高度選擇性 • 2011-07-18 ALZip update server 被入侵 • 2011-07-25 SK Communication 自動更新 僅 SK 用戶 IP 下載才被導向加料版 ALZip • 2011-07-26 入侵 CyWorld, Nate 資料庫 • 2011-07-28 後門放在城邦 www.cph.com.tw/act/nateon.exe • 2011-08-04 ALZip 官方修補 • 簡體中文惡意程式 PlugX https://www.commandfive.com/research.html
  7. 7. 韓國最大社交網站被黑 3500萬用戶 資料泄露,台灣居然是駭客幫兇!? • 韓國約有4900萬人,所以大概超過一半 的韓國人都 GG了 • 因為這次駭客的攻擊活動使用的 Malware 居然Host在某知名出版集團的 城邦網站下。 • 一直以來台灣都是駭客的 亞太營運中心
 -- 奧義‧博德曼 http://blog.xecure-lab.com/2011/07/2500.html !
  8. 8. 2013-05 公文電子交換系統 eClient • 政府外包廠商被入侵
 換置惡意檔案到
 檔案管理局 update server
 有乖乖更新,都有中獎 • 七千多電腦受害
 少數三級(嚴重)事件 • 遍及所有大小政府單位
 包括中央機關、地方機關、市政公 所、醫院、中小學校等。 • 簡體中文惡意程式 
 FireFly
 https://www.ithome.com.tw/node/80581
  9. 9. 2013-08 播放軟體 KMPlayer • KMPlayer 執行後出現有新版本
 3.7.0.87 更新訊息,連線至 update server 下載偽冒更新程式(KMP_3.7.0.87.exe) • 有合法數位簽章 
 且當時狀態有效
 (非 KMP 原廠) • 簡體中文惡意程式
 PlugX https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018
  10. 10. 2013-12 瀏覽器 FireFox 論壇 MozTW • MozTW Forum PhpBB 弱點
 台灣社群論壇上的下載連結被替換 • 惡意安裝檔 installer.cdn.mozil1a.org • 三天有近七萬下載數量 • 簡體中文惡意程式
 BotFrameWorkV2 ! • https://www.ptt.cc/bbs/Browsers/M.1386431194.A.33A.html • https://bugzilla.mozilla.org/show_bug.cgi?id=947564
  11. 11. 2014-09 日本文書軟體 Emeditor • 官方網站被入侵,選擇受害者特定 IP
 才拿到惡意程式,共超過一萬次下載 • EmEditor 說,受害者包括日本政府企業
 LINE, 交通省, 法務省, JAXA 太空總署等 • 有數位簽章,而且當時有效 (非原廠) • 簡體中文惡意程式 PlugX http://researchcenter.paloaltonetworks.com/2014/08/attacks-east-asia-using-google-code-command- control/ https://www.emeditor.com/general/possible-malware-attack-emedidtor-update-checker/
  12. 12. 2014-12 英雄聯盟 LoL, FIFA 遊戲 • 台灣代理商網站被入侵
 update server 也被換置
 三款熱門遊戲被加料
 可能影響數百萬玩家 • 有合法數位簽章(代理商簽的) • 簡體中文惡意程式 PlugX 上次開過 HITCON FreeTalk http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware- found-in-official-releases-of-league-of-legends-path-of-exile
  13. 13. 2015-09 開發工具 XCodeGhost • 翻牆抓蘋果 XCode 速度太慢
 牆內論壇上的 XCode 被加料 • 編譯出 4000+ 被加料 iOS App
 包括知名軟件公司產品
 WeChat, DiDi 打車, 12306訂票 • 推估影響 1.5 億用戶,
 攻擊者發公告說這只是一個實驗 • Ken Thompson Hack 真實案例
 a C compiler that inserts back-door code when it compiles itself and that code appears nowhere in the source code https://www.ithome.com.tw/news/99234
  14. 14. 2017-03 烏克蘭 M.E.Doc • 在烏克蘭有 80% 市佔率 • 官方 update server 被入侵三次
 2017-03, 05, 06 不同後門 • 勒索軟體 NotPetya 等
 防毒公司認為不只是勒索
 可以做任何後門行為 https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against- ukraine/
  15. 15. 2017-07 網管工具 Xshell • 韓國熱門的網管工具系列
 Xshell, Xftp, Xlpd, Xmanager • NetSarang 非常多大企業使用
 Samsung, LG 等傳出災情 • 使用 DGA 演算法找 C2 位置 • 簡體中文的惡意程式 https://securelist.com/shadowpad-in-corporate-networks/81432/ https://blog.trendmicro.com.tw/?p=51859
  16. 16. 2017-08 系統工具 CCleaner http://blog.talosintelligence.com/2017/09/avast-distributes-malware http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html • 知名系統清理工具官網下載被加料 • 一個多月期間被兩百萬次下載
 沒有任何防毒軟體偵測到 • 鎖定科技廠商,植入二階段後門
 從 github, wordpress 下載後門指令 • 卡巴說後門與 APT17 片段 base64 相似
  17. 17. 針對性攻擊 選擇受害者 • 攻擊者鎖定 Intel、Google、微軟、 Akamai、三星、Sony、VMware、HTC、 Linksys、D-Link、Cisco 近 20 家科技廠商 • Avast 原廠承認疏失,勇於面對現實
 公布調查細節,台灣有中華電信受害 https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-ap security-incident
  18. 18. 傳統偵測技術失效 • 大家都以為自己誤判 • 數位簽章合法是原廠的 • 母公司是 Avast 防毒公司 • Host-based 特徵碼偵測時差太久 • 2017-08-15 CCleaner 網站換置 • 2017-09-14 開源 ClamAV 社群病毒碼 • 2017-09-18 公開後還不到十家偵測 • Network-based 難偵測加密 • 二階段 payload 放 https://github.com , https://wordpress.com • 中繼站連線通訊行為,跟搜尋部落格完全相同
  19. 19. 資安軟體本身也可能是資安漏洞? • 透過防毒主機 update server 派送後門 • 2013 南韓 DarkSeoul 事件 AhnLab PMS • NYTimes, Washington Post 昨天頭條 • 以色列政府入侵 Kaspersky 後發現
 俄羅斯政府入侵 Kaspersky 並利用防毒軟體功能偷取
 美利堅政府入侵別國用的 NSA TAO 後門工具 • 防毒公司長期用「不會跳警告的病毒碼」,配合雲端回報機制,了解可疑檔案的 in-the-wild 狀況,調整偵測率以避免誤判。 • 自動上傳可疑樣本功能,原本是為了方便病毒實驗室採樣分析,例如果偷偷寫一 個含有情蒐關鍵字的 silent signature,用來幹壞事偷私密檔案。 • 美國政府全面禁用 Kaspersky, BestBuy 下架退費 https://www.washingtonpost.com/world/national-security/israel-hacked-kaspersky-then-tipped-the-nsa- that-its-tools-had-been-breached/2017/10/10/d48ce774-aa95-11e7-850e-2bdd1236be5d_story.html
  20. 20. 企業必須要有「遲早會中獎」心理準備! • 供應鏈廠商被打進去是沒救的 • 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽) • 廠商要顧好自己的 Source Code Repository • 廠商要顧好自己軟體的 CI/QA 測試,安全漏洞 • 廠商要顧好自己的數位簽章主機 ! • 沒有人不曾感冒 • 感冒不是風險,無法儘快恢復才是 • 平時強身健體,就能比別人更快康復 • 你花多少時間可清查,有安裝 CCleaner 的 PC 清單? • 你花多少時間可清查,有連線中繼站的端點數量?
  21. 21. 資安事件處理方法 必須化被動為主動 Digital Forensics → Incident Response → Proactive Incident Handling Disk Forensics Network Forensics 1997 1999 2001 2003 2016 National CERT Memory Forensics 2005 Threat Hunting 2013 20112007 Remote Forensics EDR SIEM, SOC, MSSP Private CSIRT Stuxnet / APT 2010 2015 OrchestrationThreat Intelligence
  22. 22. 理想的 CSIRT 資源配置 Hunting & Response Detection Prevention 目前多數公司預算分配 Hunting &
 Response Detection Prevention 理想的主動防禦公司
  • KKChen2

    Mar. 28, 2019
  • younker

    Mar. 27, 2019
  • now9956

    Mar. 25, 2018
  • ssuser22a6a5

    Jan. 26, 2018
  • ChiaLungHsieh

    Dec. 27, 2017
  • CarterZhou1

    Dec. 1, 2017
  • ajdfajdfl

    Oct. 26, 2017
  • ssuser2637d2

    Oct. 25, 2017

HITCON 2017 FreeTalk - 從 CCleaner 後門事件看企業如何因應 supply-chain APT attack Speaker: GD

Views

Total views

7,516

On Slideshare

0

From embeds

0

Number of embeds

5,968

Actions

Downloads

67

Shares

0

Comments

0

Likes

8

×