Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

8

Share

Download to read offline

【HITCON FreeTalk】Supply Chain Attack

Download to read offline

HITCON 2017 FreeTalk - 從 CCleaner 後門事件看企業如何因應 supply-chain APT attack
Speaker: GD

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

【HITCON FreeTalk】Supply Chain Attack

  1. 1. HITCON FreeTalk 歷年回顧 • 2017-10 CCleaner 軟體供應鏈 Supply Chain Attack • 2017-04 國際金融資安新威脅:Lazarus 攻擊 SWIFT 孟加拉 • 2016-10 金融資安研討會:ATM 與 SWIFT 攻擊手法 • 2015-01 世紀大漏洞:索尼影業、南韓核電廠、英雄聯盟 • 2014-10 ShellShock Bash 事件, 手機 Xsser mRAT • 2014-04 OpenSSL HeartBleed 事件, CVE-2014-1761 RTF ! • 流行攻擊手法的演進 • 密碼存取 => 弱點爆破 => 網路蠕蟲 => 社交釣魚信 => 網頁掛馬 =>軟體供應鏈
 (80” 年代) (90” 年代) (2000” 年代) (2010” 年代)
 系統防護 => Firewall => AV => IDS/IPS => NGFW => Sandbox => EDR/UEBA?
  2. 2. Supply Chain Attack
 軟體供應鏈 攻擊 GD at hitcon.org
  3. 3. 針對性攻擊⼿法 釣⿂信件: 惡意⽂件 / 直接偷密碼! ⽔坑攻擊: 網站掛⾺ / 軟體供應鏈! ! 直接攻擊: 主機密碼 / 系統弱點 使⽤者瀏覽! 後⾨程式植⼊ 將 config 放在雲端服務! 部落格 / 論壇 / github 真正的惡意程式控制端! 放在第⼆層的真正中繼站 後⾨程式回傳資料 外流資料 滲透內網其他電腦! 找尋⺫標資料
  4. 4. Watering hole attack 水坑攻擊 • 在獵物聚集的地方等待目標,選擇目標下手 ! • 網頁掛馬 SWC (Strategic Web Compromise) • 掛在政府、智庫、論壇、社交、入口網站,目標族群常來訪 • Browser, JavaScript, VBScript, ActiveX, Java, Flash Player • 進階版: EK (Exploit Kit), 惡意廣告 (Malvertisements) ! • 軟體供應鏈 SCA (Supply Chain Attack) • 文書、影音、系統、企業軟體,有自動更新機制者尤佳 • 攻擊大眾常用軟體公司的 download / update server • 從受害者 IP 中選出真正目標,發動第二階段 targeted attack
  5. 5. 2011-07 壓縮工具 ALZip http://www.solidot.org/story?sid=26199 ALZip是壓縮程序,是ALTools的組件之一,在SK Communications內部使用。攻擊者利用ALTools Common Module Update Application中的安全漏洞獲 得ALZip更新服務器的訪問權限,植入指令將更新導向 下載木馬。 ! 2010年9月24日註冊了惡意域名「alyac.org」,該域名 與韓國軟件開發商ESTsoft旗下域名alyac.com十分相近, 註冊者名叫 Guangming Wang
  6. 6. 高度選擇性 • 2011-07-18 ALZip update server 被入侵 • 2011-07-25 SK Communication 自動更新 僅 SK 用戶 IP 下載才被導向加料版 ALZip • 2011-07-26 入侵 CyWorld, Nate 資料庫 • 2011-07-28 後門放在城邦 www.cph.com.tw/act/nateon.exe • 2011-08-04 ALZip 官方修補 • 簡體中文惡意程式 PlugX https://www.commandfive.com/research.html
  7. 7. 韓國最大社交網站被黑 3500萬用戶 資料泄露,台灣居然是駭客幫兇!? • 韓國約有4900萬人,所以大概超過一半 的韓國人都 GG了 • 因為這次駭客的攻擊活動使用的 Malware 居然Host在某知名出版集團的 城邦網站下。 • 一直以來台灣都是駭客的 亞太營運中心
 -- 奧義‧博德曼 http://blog.xecure-lab.com/2011/07/2500.html !
  8. 8. 2013-05 公文電子交換系統 eClient • 政府外包廠商被入侵
 換置惡意檔案到
 檔案管理局 update server
 有乖乖更新,都有中獎 • 七千多電腦受害
 少數三級(嚴重)事件 • 遍及所有大小政府單位
 包括中央機關、地方機關、市政公 所、醫院、中小學校等。 • 簡體中文惡意程式 
 FireFly
 https://www.ithome.com.tw/node/80581
  9. 9. 2013-08 播放軟體 KMPlayer • KMPlayer 執行後出現有新版本
 3.7.0.87 更新訊息,連線至 update server 下載偽冒更新程式(KMP_3.7.0.87.exe) • 有合法數位簽章 
 且當時狀態有效
 (非 KMP 原廠) • 簡體中文惡意程式
 PlugX https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018
  10. 10. 2013-12 瀏覽器 FireFox 論壇 MozTW • MozTW Forum PhpBB 弱點
 台灣社群論壇上的下載連結被替換 • 惡意安裝檔 installer.cdn.mozil1a.org • 三天有近七萬下載數量 • 簡體中文惡意程式
 BotFrameWorkV2 ! • https://www.ptt.cc/bbs/Browsers/M.1386431194.A.33A.html • https://bugzilla.mozilla.org/show_bug.cgi?id=947564
  11. 11. 2014-09 日本文書軟體 Emeditor • 官方網站被入侵,選擇受害者特定 IP
 才拿到惡意程式,共超過一萬次下載 • EmEditor 說,受害者包括日本政府企業
 LINE, 交通省, 法務省, JAXA 太空總署等 • 有數位簽章,而且當時有效 (非原廠) • 簡體中文惡意程式 PlugX http://researchcenter.paloaltonetworks.com/2014/08/attacks-east-asia-using-google-code-command- control/ https://www.emeditor.com/general/possible-malware-attack-emedidtor-update-checker/
  12. 12. 2014-12 英雄聯盟 LoL, FIFA 遊戲 • 台灣代理商網站被入侵
 update server 也被換置
 三款熱門遊戲被加料
 可能影響數百萬玩家 • 有合法數位簽章(代理商簽的) • 簡體中文惡意程式 PlugX 上次開過 HITCON FreeTalk http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware- found-in-official-releases-of-league-of-legends-path-of-exile
  13. 13. 2015-09 開發工具 XCodeGhost • 翻牆抓蘋果 XCode 速度太慢
 牆內論壇上的 XCode 被加料 • 編譯出 4000+ 被加料 iOS App
 包括知名軟件公司產品
 WeChat, DiDi 打車, 12306訂票 • 推估影響 1.5 億用戶,
 攻擊者發公告說這只是一個實驗 • Ken Thompson Hack 真實案例
 a C compiler that inserts back-door code when it compiles itself and that code appears nowhere in the source code https://www.ithome.com.tw/news/99234
  14. 14. 2017-03 烏克蘭 M.E.Doc • 在烏克蘭有 80% 市佔率 • 官方 update server 被入侵三次
 2017-03, 05, 06 不同後門 • 勒索軟體 NotPetya 等
 防毒公司認為不只是勒索
 可以做任何後門行為 https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against- ukraine/
  15. 15. 2017-07 網管工具 Xshell • 韓國熱門的網管工具系列
 Xshell, Xftp, Xlpd, Xmanager • NetSarang 非常多大企業使用
 Samsung, LG 等傳出災情 • 使用 DGA 演算法找 C2 位置 • 簡體中文的惡意程式 https://securelist.com/shadowpad-in-corporate-networks/81432/ https://blog.trendmicro.com.tw/?p=51859
  16. 16. 2017-08 系統工具 CCleaner http://blog.talosintelligence.com/2017/09/avast-distributes-malware http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html • 知名系統清理工具官網下載被加料 • 一個多月期間被兩百萬次下載
 沒有任何防毒軟體偵測到 • 鎖定科技廠商,植入二階段後門
 從 github, wordpress 下載後門指令 • 卡巴說後門與 APT17 片段 base64 相似
  17. 17. 針對性攻擊 選擇受害者 • 攻擊者鎖定 Intel、Google、微軟、 Akamai、三星、Sony、VMware、HTC、 Linksys、D-Link、Cisco 近 20 家科技廠商 • Avast 原廠承認疏失,勇於面對現實
 公布調查細節,台灣有中華電信受害 https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-ap security-incident
  18. 18. 傳統偵測技術失效 • 大家都以為自己誤判 • 數位簽章合法是原廠的 • 母公司是 Avast 防毒公司 • Host-based 特徵碼偵測時差太久 • 2017-08-15 CCleaner 網站換置 • 2017-09-14 開源 ClamAV 社群病毒碼 • 2017-09-18 公開後還不到十家偵測 • Network-based 難偵測加密 • 二階段 payload 放 https://github.com , https://wordpress.com • 中繼站連線通訊行為,跟搜尋部落格完全相同
  19. 19. 資安軟體本身也可能是資安漏洞? • 透過防毒主機 update server 派送後門 • 2013 南韓 DarkSeoul 事件 AhnLab PMS • NYTimes, Washington Post 昨天頭條 • 以色列政府入侵 Kaspersky 後發現
 俄羅斯政府入侵 Kaspersky 並利用防毒軟體功能偷取
 美利堅政府入侵別國用的 NSA TAO 後門工具 • 防毒公司長期用「不會跳警告的病毒碼」,配合雲端回報機制,了解可疑檔案的 in-the-wild 狀況,調整偵測率以避免誤判。 • 自動上傳可疑樣本功能,原本是為了方便病毒實驗室採樣分析,例如果偷偷寫一 個含有情蒐關鍵字的 silent signature,用來幹壞事偷私密檔案。 • 美國政府全面禁用 Kaspersky, BestBuy 下架退費 https://www.washingtonpost.com/world/national-security/israel-hacked-kaspersky-then-tipped-the-nsa- that-its-tools-had-been-breached/2017/10/10/d48ce774-aa95-11e7-850e-2bdd1236be5d_story.html
  20. 20. 企業必須要有「遲早會中獎」心理準備! • 供應鏈廠商被打進去是沒救的 • 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽) • 廠商要顧好自己的 Source Code Repository • 廠商要顧好自己軟體的 CI/QA 測試,安全漏洞 • 廠商要顧好自己的數位簽章主機 ! • 沒有人不曾感冒 • 感冒不是風險,無法儘快恢復才是 • 平時強身健體,就能比別人更快康復 • 你花多少時間可清查,有安裝 CCleaner 的 PC 清單? • 你花多少時間可清查,有連線中繼站的端點數量?
  21. 21. 資安事件處理方法 必須化被動為主動 Digital Forensics → Incident Response → Proactive Incident Handling Disk Forensics Network Forensics 1997 1999 2001 2003 2016 National CERT Memory Forensics 2005 Threat Hunting 2013 20112007 Remote Forensics EDR SIEM, SOC, MSSP Private CSIRT Stuxnet / APT 2010 2015 OrchestrationThreat Intelligence
  22. 22. 理想的 CSIRT 資源配置 Hunting & Response Detection Prevention 目前多數公司預算分配 Hunting &
 Response Detection Prevention 理想的主動防禦公司
  • KKChen2

    Mar. 28, 2019
  • younker

    Mar. 27, 2019
  • now9956

    Mar. 25, 2018
  • ssuser22a6a5

    Jan. 26, 2018
  • ChiaLungHsieh

    Dec. 27, 2017
  • CarterZhou1

    Dec. 1, 2017
  • ajdfajdfl

    Oct. 26, 2017
  • ssuser2637d2

    Oct. 25, 2017

HITCON 2017 FreeTalk - 從 CCleaner 後門事件看企業如何因應 supply-chain APT attack Speaker: GD

Views

Total views

7,505

On Slideshare

0

From embeds

0

Number of embeds

5,963

Actions

Downloads

67

Shares

0

Comments

0

Likes

8

×