HITCON 2017 FreeTalk - 從 CCleaner 後門事件看企業如何因應 supply-chain APT attack Speaker: GD

1. HITCON FreeTalk 歷年回顧
• 2017-10 CCleaner 軟體供應鏈 Supply Chain Attack
• 2017-04 國際金融資安新威脅：Lazarus 攻擊 SWIFT 孟加拉
• 2016-10 金融資安研討會：ATM 與 SWIFT 攻擊手法
• 2015-01 世紀大漏洞：索尼影業、南韓核電廠、英雄聯盟
• 2014-10 ShellShock Bash 事件, 手機 Xsser mRAT
• 2014-04 OpenSSL HeartBleed 事件, CVE-2014-1761 RTF
!
• 流行攻擊手法的演進
• 密碼存取 => 弱點爆破 => 網路蠕蟲 => 社交釣魚信 => 網頁掛馬 =>軟體供應鏈
(80” 年代) (90” 年代) (2000” 年代) (2010” 年代)
系統防護 => Firewall => AV => IDS/IPS => NGFW => Sandbox => EDR/UEBA?

2. Supply Chain Attack
軟體供應鏈 攻擊
GD at hitcon.org

3. 針對性攻擊⼿法
釣⿂信件: 惡意⽂件 / 直接偷密碼!
⽔坑攻擊: 網站掛⾺ / 軟體供應鏈!
!
直接攻擊: 主機密碼 / 系統弱點
使⽤者瀏覽!
後⾨程式植⼊
將 config 放在雲端服務!
部落格 / 論壇 / github
真正的惡意程式控制端!
放在第⼆層的真正中繼站
後⾨程式回傳資料 外流資料
滲透內網其他電腦!
找尋⺫標資料

5. Watering hole attack 水坑攻擊
• 在獵物聚集的地方等待目標，選擇目標下手
!
• 網頁掛馬 SWC (Strategic Web Compromise)
• 掛在政府、智庫、論壇、社交、入口網站，目標族群常來訪
• Browser, JavaScript, VBScript, ActiveX, Java, Flash Player
• 進階版: EK (Exploit Kit), 惡意廣告 (Malvertisements)
!
• 軟體供應鏈 SCA (Supply Chain Attack)
• 文書、影音、系統、企業軟體，有自動更新機制者尤佳
• 攻擊大眾常用軟體公司的 download / update server
• 從受害者 IP 中選出真正目標，發動第二階段 targeted attack

6. 2011-07 壓縮工具 ALZip
http://www.solidot.org/story?sid=26199
ALZip是壓縮程序，是ALTools的組件之一，在SK
Communications內部使用。攻擊者利用ALTools
Common Module Update Application中的安全漏洞獲
得ALZip更新服務器的訪問權限，植入指令將更新導向
下載木馬。
!
2010年9月24日註冊了惡意域名「alyac.org」，該域名
與韓國軟件開發商ESTsoft旗下域名alyac.com十分相近，
註冊者名叫 Guangming Wang

7. 高度選擇性
• 2011-07-18 ALZip update server 被入侵
• 2011-07-25 SK Communication 自動更新
僅 SK 用戶 IP 下載才被導向加料版 ALZip
• 2011-07-26 入侵 CyWorld, Nate 資料庫
• 2011-07-28 後門放在城邦
www.cph.com.tw/act/nateon.exe
• 2011-08-04 ALZip 官方修補
• 簡體中文惡意程式 PlugX
https://www.commandfive.com/research.html

8. 韓國最大社交網站被黑 3500萬用戶
資料泄露，台灣居然是駭客幫兇!?
• 韓國約有4900萬人，所以大概超過一半
的韓國人都 GG了
• 因為這次駭客的攻擊活動使用的
Malware 居然Host在某知名出版集團的
城邦網站下。
• 一直以來台灣都是駭客的 亞太營運中心
-- 奧義‧博德曼
http://blog.xecure-lab.com/2011/07/2500.html
!

9. 2013-05 公文電子交換系統 eClient
• 政府外包廠商被入侵
換置惡意檔案到
檔案管理局 update server
有乖乖更新，都有中獎
• 七千多電腦受害
少數三級(嚴重)事件
• 遍及所有大小政府單位
包括中央機關、地方機關、市政公
所、醫院、中小學校等。
• 簡體中文惡意程式
FireFly
https://www.ithome.com.tw/node/80581

10. 2013-08 播放軟體 KMPlayer
• KMPlayer 執行後出現有新版本
3.7.0.87 更新訊息，連線至 update server
下載偽冒更新程式(KMP_3.7.0.87.exe)
• 有合法數位簽章
且當時狀態有效
(非 KMP 原廠)
• 簡體中文惡意程式
PlugX
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

11. 2013-12 瀏覽器 FireFox 論壇 MozTW
• MozTW Forum PhpBB 弱點
台灣社群論壇上的下載連結被替換
• 惡意安裝檔 installer.cdn.mozil1a.org
• 三天有近七萬下載數量
• 簡體中文惡意程式
BotFrameWorkV2
!
• https://www.ptt.cc/bbs/Browsers/M.1386431194.A.33A.html
• https://bugzilla.mozilla.org/show_bug.cgi?id=947564

12. 2014-09 日本文書軟體 Emeditor
• 官方網站被入侵，選擇受害者特定 IP
才拿到惡意程式，共超過一萬次下載
• EmEditor 說，受害者包括日本政府企業
LINE, 交通省, 法務省, JAXA 太空總署等
• 有數位簽章，而且當時有效 (非原廠)
• 簡體中文惡意程式 PlugX
http://researchcenter.paloaltonetworks.com/2014/08/attacks-east-asia-using-google-code-command-
control/
https://www.emeditor.com/general/possible-malware-attack-emedidtor-update-checker/

13. 2014-12 英雄聯盟 LoL, FIFA 遊戲
• 台灣代理商網站被入侵
update server 也被換置
三款熱門遊戲被加料
可能影響數百萬玩家
• 有合法數位簽章(代理商簽的)
• 簡體中文惡意程式 PlugX
上次開過 HITCON FreeTalk
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-
found-in-official-releases-of-league-of-legends-path-of-exile

14. 2015-09 開發工具 XCodeGhost
• 翻牆抓蘋果 XCode 速度太慢
牆內論壇上的 XCode 被加料
• 編譯出 4000+ 被加料 iOS App
包括知名軟件公司產品
WeChat, DiDi 打車, 12306訂票
• 推估影響 1.5 億用戶，
攻擊者發公告說這只是一個實驗
• Ken Thompson Hack 真實案例
a C compiler that inserts back-door code when
it compiles itself and that code appears
nowhere in the source code
https://www.ithome.com.tw/news/99234

15. 2017-03 烏克蘭 M.E.Doc
• 在烏克蘭有 80% 市佔率
• 官方 update server 被入侵三次
2017-03, 05, 06 不同後門
• 勒索軟體 NotPetya 等
防毒公司認為不只是勒索
可以做任何後門行為
https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-
ukraine/

16. 2017-07 網管工具 Xshell
• 韓國熱門的網管工具系列
Xshell, Xftp, Xlpd, Xmanager
• NetSarang 非常多大企業使用
Samsung, LG 等傳出災情
• 使用 DGA 演算法找 C2 位置
• 簡體中文的惡意程式
https://securelist.com/shadowpad-in-corporate-networks/81432/
https://blog.trendmicro.com.tw/?p=51859

17. 2017-08 系統工具 CCleaner
http://blog.talosintelligence.com/2017/09/avast-distributes-malware
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
• 知名系統清理工具官網下載被加料
• 一個多月期間被兩百萬次下載
沒有任何防毒軟體偵測到
• 鎖定科技廠商，植入二階段後門
從 github, wordpress 下載後門指令
• 卡巴說後門與 APT17 片段 base64 相似

18. 針對性攻擊 選擇受害者
• 攻擊者鎖定 Intel、Google、微軟、
Akamai、三星、Sony、VMware、HTC、
Linksys、D-Link、Cisco 近 20 家科技廠商
• Avast 原廠承認疏失，勇於面對現實
公布調查細節，台灣有中華電信受害
https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-ap
security-incident

19. 傳統偵測技術失效
• 大家都以為自己誤判
• 數位簽章合法是原廠的
• 母公司是 Avast 防毒公司
• Host-based 特徵碼偵測時差太久
• 2017-08-15 CCleaner 網站換置
• 2017-09-14 開源 ClamAV 社群病毒碼
• 2017-09-18 公開後還不到十家偵測
• Network-based 難偵測加密
• 二階段 payload 放 https://github.com , https://wordpress.com
• 中繼站連線通訊行為，跟搜尋部落格完全相同

20. 資安軟體本身也可能是資安漏洞?
• 透過防毒主機 update server 派送後門
• 2013 南韓 DarkSeoul 事件 AhnLab PMS
• NYTimes, Washington Post 昨天頭條
• 以色列政府入侵 Kaspersky 後發現
俄羅斯政府入侵 Kaspersky 並利用防毒軟體功能偷取
美利堅政府入侵別國用的 NSA TAO 後門工具
• 防毒公司長期用「不會跳警告的病毒碼」，配合雲端回報機制，了解可疑檔案的
in-the-wild 狀況，調整偵測率以避免誤判。
• 自動上傳可疑樣本功能，原本是為了方便病毒實驗室採樣分析，例如果偷偷寫一
個含有情蒐關鍵字的 silent signature，用來幹壞事偷私密檔案。
• 美國政府全面禁用 Kaspersky, BestBuy 下架退費
https://www.washingtonpost.com/world/national-security/israel-hacked-kaspersky-then-tipped-the-nsa-
that-its-tools-had-been-breached/2017/10/10/d48ce774-aa95-11e7-850e-2bdd1236be5d_story.html

21. 企業必須要有「遲早會中獎」心理準備！
• 供應鏈廠商被打進去是沒救的
• 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽)
• 廠商要顧好自己的 Source Code Repository
• 廠商要顧好自己軟體的 CI/QA 測試，安全漏洞
• 廠商要顧好自己的數位簽章主機
!
• 沒有人不曾感冒
• 感冒不是風險，無法儘快恢復才是
• 平時強身健體，就能比別人更快康復
• 你花多少時間可清查，有安裝 CCleaner 的 PC 清單？
• 你花多少時間可清查，有連線中繼站的端點數量？

22. 資安事件處理方法 必須化被動為主動
Digital Forensics → Incident Response → Proactive
Incident Handling
Disk Forensics
Network Forensics
1997
1999
2001
2003
2016
National CERT
Memory Forensics
2005
Threat Hunting
2013
20112007
Remote Forensics EDR
SIEM, SOC, MSSP
Private CSIRT Stuxnet / APT
2010
2015
OrchestrationThreat Intelligence

23. 理想的 CSIRT 資源配置
Hunting & Response
Detection
Prevention
目前多數公司預算分配
Hunting &
Response
Detection
Prevention
理想的主動防禦公司