SlideShare a Scribd company logo
1 of 23
Download to read offline
HITCON FreeTalk 歷年回顧
• 2017-10 CCleaner 軟體供應鏈 Supply Chain Attack
• 2017-04 國際金融資安新威脅:Lazarus 攻擊 SWIFT 孟加拉
• 2016-10 金融資安研討會:ATM 與 SWIFT 攻擊手法
• 2015-01 世紀大漏洞:索尼影業、南韓核電廠、英雄聯盟
• 2014-10 ShellShock Bash 事件, 手機 Xsser mRAT
• 2014-04 OpenSSL HeartBleed 事件, CVE-2014-1761 RTF
!
• 流行攻擊手法的演進
• 密碼存取 => 弱點爆破 => 網路蠕蟲 => 社交釣魚信 => 網頁掛馬 =>軟體供應鏈

(80” 年代) (90” 年代) (2000” 年代) (2010” 年代)

系統防護 => Firewall => AV => IDS/IPS => NGFW => Sandbox => EDR/UEBA?
Supply Chain Attack

軟體供應鏈 攻擊
GD at hitcon.org
針對性攻擊⼿法
釣⿂信件: 惡意⽂件 / 直接偷密碼!
⽔坑攻擊: 網站掛⾺ / 軟體供應鏈!
!
直接攻擊: 主機密碼 / 系統弱點
使⽤者瀏覽!
後⾨程式植⼊
將 config 放在雲端服務!
部落格 / 論壇 / github
真正的惡意程式控制端!
放在第⼆層的真正中繼站
後⾨程式回傳資料 外流資料
滲透內網其他電腦!
找尋⺫標資料
Watering hole attack 水坑攻擊
• 在獵物聚集的地方等待目標,選擇目標下手
!
• 網頁掛馬 SWC (Strategic Web Compromise)
• 掛在政府、智庫、論壇、社交、入口網站,目標族群常來訪
• Browser, JavaScript, VBScript, ActiveX, Java, Flash Player
• 進階版: EK (Exploit Kit), 惡意廣告 (Malvertisements)
!
• 軟體供應鏈 SCA (Supply Chain Attack)
• 文書、影音、系統、企業軟體,有自動更新機制者尤佳
• 攻擊大眾常用軟體公司的 download / update server
• 從受害者 IP 中選出真正目標,發動第二階段 targeted attack
2011-07 壓縮工具 ALZip
http://www.solidot.org/story?sid=26199
ALZip是壓縮程序,是ALTools的組件之一,在SK
Communications內部使用。攻擊者利用ALTools
Common Module Update Application中的安全漏洞獲
得ALZip更新服務器的訪問權限,植入指令將更新導向
下載木馬。
!
2010年9月24日註冊了惡意域名「alyac.org」,該域名
與韓國軟件開發商ESTsoft旗下域名alyac.com十分相近,
註冊者名叫 Guangming Wang
高度選擇性
• 2011-07-18 ALZip update server 被入侵
• 2011-07-25 SK Communication 自動更新
僅 SK 用戶 IP 下載才被導向加料版 ALZip
• 2011-07-26 入侵 CyWorld, Nate 資料庫
• 2011-07-28 後門放在城邦
www.cph.com.tw/act/nateon.exe
• 2011-08-04 ALZip 官方修補
• 簡體中文惡意程式 PlugX
https://www.commandfive.com/research.html
韓國最大社交網站被黑 3500萬用戶
資料泄露,台灣居然是駭客幫兇!?
• 韓國約有4900萬人,所以大概超過一半
的韓國人都 GG了
• 因為這次駭客的攻擊活動使用的
Malware 居然Host在某知名出版集團的
城邦網站下。
• 一直以來台灣都是駭客的 亞太營運中心

-- 奧義‧博德曼
http://blog.xecure-lab.com/2011/07/2500.html
!
2013-05 公文電子交換系統 eClient
• 政府外包廠商被入侵

換置惡意檔案到

檔案管理局 update server

有乖乖更新,都有中獎
• 七千多電腦受害

少數三級(嚴重)事件
• 遍及所有大小政府單位

包括中央機關、地方機關、市政公
所、醫院、中小學校等。
• 簡體中文惡意程式 

FireFly

https://www.ithome.com.tw/node/80581
2013-08 播放軟體 KMPlayer
• KMPlayer 執行後出現有新版本

3.7.0.87 更新訊息,連線至 update server
下載偽冒更新程式(KMP_3.7.0.87.exe)
• 有合法數位簽章 

且當時狀態有效

(非 KMP 原廠)
• 簡體中文惡意程式

PlugX
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018
2013-12 瀏覽器 FireFox 論壇 MozTW
• MozTW Forum PhpBB 弱點

台灣社群論壇上的下載連結被替換
• 惡意安裝檔 installer.cdn.mozil1a.org
• 三天有近七萬下載數量
• 簡體中文惡意程式

BotFrameWorkV2
!
• https://www.ptt.cc/bbs/Browsers/M.1386431194.A.33A.html
• https://bugzilla.mozilla.org/show_bug.cgi?id=947564
2014-09 日本文書軟體 Emeditor
• 官方網站被入侵,選擇受害者特定 IP

才拿到惡意程式,共超過一萬次下載
• EmEditor 說,受害者包括日本政府企業

LINE, 交通省, 法務省, JAXA 太空總署等
• 有數位簽章,而且當時有效 (非原廠)
• 簡體中文惡意程式 PlugX
http://researchcenter.paloaltonetworks.com/2014/08/attacks-east-asia-using-google-code-command-
control/
https://www.emeditor.com/general/possible-malware-attack-emedidtor-update-checker/
2014-12 英雄聯盟 LoL, FIFA 遊戲
• 台灣代理商網站被入侵

update server 也被換置

三款熱門遊戲被加料

可能影響數百萬玩家
• 有合法數位簽章(代理商簽的)
• 簡體中文惡意程式 PlugX
上次開過 HITCON FreeTalk
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-
found-in-official-releases-of-league-of-legends-path-of-exile
2015-09 開發工具 XCodeGhost
• 翻牆抓蘋果 XCode 速度太慢

牆內論壇上的 XCode 被加料
• 編譯出 4000+ 被加料 iOS App

包括知名軟件公司產品

WeChat, DiDi 打車, 12306訂票
• 推估影響 1.5 億用戶,

攻擊者發公告說這只是一個實驗
• Ken Thompson Hack 真實案例

a C compiler that inserts back-door code when
it compiles itself and that code appears
nowhere in the source code
https://www.ithome.com.tw/news/99234
2017-03 烏克蘭 M.E.Doc
• 在烏克蘭有 80% 市佔率
• 官方 update server 被入侵三次

2017-03, 05, 06 不同後門
• 勒索軟體 NotPetya 等

防毒公司認為不只是勒索

可以做任何後門行為
https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-
ukraine/
2017-07 網管工具 Xshell
• 韓國熱門的網管工具系列

Xshell, Xftp, Xlpd, Xmanager
• NetSarang 非常多大企業使用

Samsung, LG 等傳出災情
• 使用 DGA 演算法找 C2 位置
• 簡體中文的惡意程式
https://securelist.com/shadowpad-in-corporate-networks/81432/
https://blog.trendmicro.com.tw/?p=51859
2017-08 系統工具 CCleaner
http://blog.talosintelligence.com/2017/09/avast-distributes-malware
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
• 知名系統清理工具官網下載被加料
• 一個多月期間被兩百萬次下載

沒有任何防毒軟體偵測到
• 鎖定科技廠商,植入二階段後門

從 github, wordpress 下載後門指令
• 卡巴說後門與 APT17 片段 base64 相似
針對性攻擊 選擇受害者
• 攻擊者鎖定 Intel、Google、微軟、
Akamai、三星、Sony、VMware、HTC、
Linksys、D-Link、Cisco 近 20 家科技廠商
• Avast 原廠承認疏失,勇於面對現實

公布調查細節,台灣有中華電信受害
https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-ap
security-incident
傳統偵測技術失效
• 大家都以為自己誤判
• 數位簽章合法是原廠的
• 母公司是 Avast 防毒公司
• Host-based 特徵碼偵測時差太久
• 2017-08-15 CCleaner 網站換置
• 2017-09-14 開源 ClamAV 社群病毒碼
• 2017-09-18 公開後還不到十家偵測
• Network-based 難偵測加密
• 二階段 payload 放 https://github.com , https://wordpress.com
• 中繼站連線通訊行為,跟搜尋部落格完全相同
資安軟體本身也可能是資安漏洞?
• 透過防毒主機 update server 派送後門
• 2013 南韓 DarkSeoul 事件 AhnLab PMS
• NYTimes, Washington Post 昨天頭條
• 以色列政府入侵 Kaspersky 後發現

俄羅斯政府入侵 Kaspersky 並利用防毒軟體功能偷取

美利堅政府入侵別國用的 NSA TAO 後門工具
• 防毒公司長期用「不會跳警告的病毒碼」,配合雲端回報機制,了解可疑檔案的
in-the-wild 狀況,調整偵測率以避免誤判。
• 自動上傳可疑樣本功能,原本是為了方便病毒實驗室採樣分析,例如果偷偷寫一
個含有情蒐關鍵字的 silent signature,用來幹壞事偷私密檔案。
• 美國政府全面禁用 Kaspersky, BestBuy 下架退費
https://www.washingtonpost.com/world/national-security/israel-hacked-kaspersky-then-tipped-the-nsa-
that-its-tools-had-been-breached/2017/10/10/d48ce774-aa95-11e7-850e-2bdd1236be5d_story.html
企業必須要有「遲早會中獎」心理準備!
• 供應鏈廠商被打進去是沒救的
• 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽)
• 廠商要顧好自己的 Source Code Repository
• 廠商要顧好自己軟體的 CI/QA 測試,安全漏洞
• 廠商要顧好自己的數位簽章主機
!
• 沒有人不曾感冒
• 感冒不是風險,無法儘快恢復才是
• 平時強身健體,就能比別人更快康復
• 你花多少時間可清查,有安裝 CCleaner 的 PC 清單?
• 你花多少時間可清查,有連線中繼站的端點數量?
資安事件處理方法 必須化被動為主動
Digital Forensics → Incident Response → Proactive
Incident Handling
Disk Forensics
Network Forensics
1997
1999
2001
2003
2016
National CERT
Memory Forensics
2005
Threat Hunting
2013
20112007
Remote Forensics EDR
SIEM, SOC, MSSP
Private CSIRT Stuxnet / APT
2010
2015
OrchestrationThreat Intelligence
理想的 CSIRT 資源配置
Hunting & Response
Detection
Prevention
目前多數公司預算分配
Hunting &

Response
Detection
Prevention
理想的主動防禦公司

More Related Content

What's hot

Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-nckujack51706
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28Shang Wei Li
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)WASecurity
 
Malware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptMalware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptJulia Yu-Chin Cheng
 
Discovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxDiscovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxAlan Lee
 
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護議題二:Web應用程式安全防護
議題二:Web應用程式安全防護Nicolas su
 
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議Net Tuesday Taiwan
 
從 HITCON 駭客戰隊 挑戰美國CGC天網機器人探討自動攻防技術發展 (Autonomous Hacking and Patching)
從 HITCON 駭客戰隊挑戰美國CGC天網機器人探討自動攻防技術發展(Autonomous Hacking and Patching)從 HITCON 駭客戰隊挑戰美國CGC天網機器人探討自動攻防技術發展(Autonomous Hacking and Patching)
從 HITCON 駭客戰隊 挑戰美國CGC天網機器人探討自動攻防技術發展 (Autonomous Hacking and Patching)Alan Lee
 
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽  卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 briian
 
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版Bruce Chen
 
Splunk資安智慧分析平台
Splunk資安智慧分析平台Splunk資安智慧分析平台
Splunk資安智慧分析平台Ching-Lin Tao
 
用戶端攻擊與防禦
用戶端攻擊與防禦用戶端攻擊與防禦
用戶端攻擊與防禦Taien Wang
 
伺服器端攻擊與防禦III
伺服器端攻擊與防禦III伺服器端攻擊與防禦III
伺服器端攻擊與防禦IIITaien Wang
 
工业网络安全风险可视化探讨
工业网络安全风险可视化探讨工业网络安全风险可视化探讨
工业网络安全风险可视化探讨Onward Security
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全Net Tuesday Taiwan
 
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)Julia Yu-Chin Cheng
 

What's hot (19)

Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-ncku
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
 
Forensics 101
Forensics 101Forensics 101
Forensics 101
 
Malware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptMalware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
 
Discovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptxDiscovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptx
 
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
 
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
 
從 HITCON 駭客戰隊 挑戰美國CGC天網機器人探討自動攻防技術發展 (Autonomous Hacking and Patching)
從 HITCON 駭客戰隊挑戰美國CGC天網機器人探討自動攻防技術發展(Autonomous Hacking and Patching)從 HITCON 駭客戰隊挑戰美國CGC天網機器人探討自動攻防技術發展(Autonomous Hacking and Patching)
從 HITCON 駭客戰隊 挑戰美國CGC天網機器人探討自動攻防技術發展 (Autonomous Hacking and Patching)
 
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽  卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
 
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版
 
Splunk資安智慧分析平台
Splunk資安智慧分析平台Splunk資安智慧分析平台
Splunk資安智慧分析平台
 
用戶端攻擊與防禦
用戶端攻擊與防禦用戶端攻擊與防禦
用戶端攻擊與防禦
 
伺服器端攻擊與防禦III
伺服器端攻擊與防禦III伺服器端攻擊與防禦III
伺服器端攻擊與防禦III
 
資安健檢因應配套
資安健檢因應配套資安健檢因應配套
資安健檢因應配套
 
工业网络安全风险可视化探讨
工业网络安全风险可视化探讨工业网络安全风险可视化探讨
工业网络安全风险可视化探讨
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
 
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
 
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
 

Similar to 【HITCON FreeTalk】Supply Chain Attack

Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfssuserdfa916
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中T客邦
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
Security threatsandtrends michaelsentonas
Security threatsandtrends michaelsentonasSecurity threatsandtrends michaelsentonas
Security threatsandtrends michaelsentonasITband
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮NSFOCUS
 
Firefox的安全性
Firefox的安全性Firefox的安全性
Firefox的安全性Liu Xing
 
分会场一攻击趋势与攻击手法的剖析
分会场一攻击趋势与攻击手法的剖析分会场一攻击趋势与攻击手法的剖析
分会场一攻击趋势与攻击手法的剖析ITband
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取openblue
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取OFMKT
 
千万级并发在线推送系统架构解析 | 个信互动 叶新江
千万级并发在线推送系统架构解析 | 个信互动 叶新江千万级并发在线推送系统架构解析 | 个信互动 叶新江
千万级并发在线推送系统架构解析 | 个信互动 叶新江imShining @DevCamp
 
Twitter Wanghongyang Backup Security 20090402 0713
Twitter Wanghongyang Backup Security 20090402 0713Twitter Wanghongyang Backup Security 20090402 0713
Twitter Wanghongyang Backup Security 20090402 0713Hongyang Wang
 
HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會Chris Lin
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud
 
絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final
絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final
絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座FinalCAVEDU Education
 
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘ChungSC_tw
 
Mobile 開發常見資安議題
Mobile  開發常見資安議題Mobile  開發常見資安議題
Mobile 開發常見資安議題JunAn Lai
 
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking Systemlog0
 
如何因應連網商機下的資安風險
如何因應連網商機下的資安風險如何因應連網商機下的資安風險
如何因應連網商機下的資安風險Onward Security
 
6.ctf经验分享
6.ctf经验分享6.ctf经验分享
6.ctf经验分享Hsiao Tim
 

Similar to 【HITCON FreeTalk】Supply Chain Attack (20)

Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
 
Security threatsandtrends michaelsentonas
Security threatsandtrends michaelsentonasSecurity threatsandtrends michaelsentonas
Security threatsandtrends michaelsentonas
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
 
Firefox的安全性
Firefox的安全性Firefox的安全性
Firefox的安全性
 
分会场一攻击趋势与攻击手法的剖析
分会场一攻击趋势与攻击手法的剖析分会场一攻击趋势与攻击手法的剖析
分会场一攻击趋势与攻击手法的剖析
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
 
08
0808
08
 
千万级并发在线推送系统架构解析 | 个信互动 叶新江
千万级并发在线推送系统架构解析 | 个信互动 叶新江千万级并发在线推送系统架构解析 | 个信互动 叶新江
千万级并发在线推送系统架构解析 | 个信互动 叶新江
 
Twitter Wanghongyang Backup Security 20090402 0713
Twitter Wanghongyang Backup Security 20090402 0713Twitter Wanghongyang Backup Security 20090402 0713
Twitter Wanghongyang Backup Security 20090402 0713
 
HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
 
絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final
絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final
絕地武士心靈控制家用雲端智慧型物聯網光劍搭載無線路由器光劍底座Final
 
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
郭憲誌/迎戰駭客攻擊,打造企業資安堡壘
 
Mobile 開發常見資安議題
Mobile  開發常見資安議題Mobile  開發常見資安議題
Mobile 開發常見資安議題
 
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking System
 
如何因應連網商機下的資安風險
如何因應連網商機下的資安風險如何因應連網商機下的資安風險
如何因應連網商機下的資安風險
 
6.ctf经验分享
6.ctf经验分享6.ctf经验分享
6.ctf经验分享
 

More from Hacks in Taiwan (HITCON)

HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】Hacks in Taiwan (HITCON)
 
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】Hacks in Taiwan (HITCON)
 
HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享
HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享
HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享Hacks in Taiwan (HITCON)
 
HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記
 HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記  HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記
HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記 Hacks in Taiwan (HITCON)
 
HITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You Think
HITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You ThinkHITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You Think
HITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You ThinkHacks in Taiwan (HITCON)
 
【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】
【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】
【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】Hacks in Taiwan (HITCON)
 
【HITCON FreeTalk 2021 - From fakespy to Guerilla: Understanding Android malw...
【HITCON FreeTalk 2021 -  From fakespy to Guerilla: Understanding Android malw...【HITCON FreeTalk 2021 -  From fakespy to Guerilla: Understanding Android malw...
【HITCON FreeTalk 2021 - From fakespy to Guerilla: Understanding Android malw...Hacks in Taiwan (HITCON)
 
【HITCON FreeTalk 2021 - SolarWinds 供應鏈攻擊事件分析】
【HITCON FreeTalk 2021 -  SolarWinds 供應鏈攻擊事件分析】【HITCON FreeTalk 2021 -  SolarWinds 供應鏈攻擊事件分析】
【HITCON FreeTalk 2021 - SolarWinds 供應鏈攻擊事件分析】Hacks in Taiwan (HITCON)
 
【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】
【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】
【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】Hacks in Taiwan (HITCON)
 
【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】
【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】
【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】Hacks in Taiwan (HITCON)
 
【HITCON FreeTalk】HITCON 2017 下半年活動介紹
【HITCON FreeTalk】HITCON 2017 下半年活動介紹【HITCON FreeTalk】HITCON 2017 下半年活動介紹
【HITCON FreeTalk】HITCON 2017 下半年活動介紹Hacks in Taiwan (HITCON)
 
【HITCON Hackathon 2017】 TrendMicro Datasets
【HITCON Hackathon 2017】 TrendMicro Datasets【HITCON Hackathon 2017】 TrendMicro Datasets
【HITCON Hackathon 2017】 TrendMicro DatasetsHacks in Taiwan (HITCON)
 
HITCON TALK 技術解析 SWIFT Network 攻擊
HITCON TALK 技術解析 SWIFT Network 攻擊 HITCON TALK 技術解析 SWIFT Network 攻擊
HITCON TALK 技術解析 SWIFT Network 攻擊 Hacks in Taiwan (HITCON)
 
HITCON TALK 台灣駭客協會年度活動簡介
HITCON TALK 台灣駭客協會年度活動簡介HITCON TALK 台灣駭客協會年度活動簡介
HITCON TALK 台灣駭客協會年度活動簡介Hacks in Taiwan (HITCON)
 
Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果
Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果
Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果Hacks in Taiwan (HITCON)
 

More from Hacks in Taiwan (HITCON) (20)

HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題二:Cyber War - 網路戰與地緣政治】
 
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
 
HITCON CISO Summit 2023 - Closing
HITCON CISO Summit 2023 - ClosingHITCON CISO Summit 2023 - Closing
HITCON CISO Summit 2023 - Closing
 
HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享
HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享
HITCON FreeTalk 2022 - 自己的SOC自己管-- SOC建置的心路歷程分享
 
HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記
 HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記  HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記
HITCON FreeTalk 2022 - Zero Trust Architecture 讀書筆記
 
HITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You Think
HITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You ThinkHITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You Think
HITCON FreeTalk 2022 - Defeat 0day is not as Difficult as You Think
 
【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】
【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】
【HITCON FreeTalk 2022 - 我把在網頁框架發現的密碼學漏洞變成 CTF 題了】
 
【HITCON FreeTalk 2021 - From fakespy to Guerilla: Understanding Android malw...
【HITCON FreeTalk 2021 -  From fakespy to Guerilla: Understanding Android malw...【HITCON FreeTalk 2021 -  From fakespy to Guerilla: Understanding Android malw...
【HITCON FreeTalk 2021 - From fakespy to Guerilla: Understanding Android malw...
 
【HITCON FreeTalk 2021 - SolarWinds 供應鏈攻擊事件分析】
【HITCON FreeTalk 2021 -  SolarWinds 供應鏈攻擊事件分析】【HITCON FreeTalk 2021 -  SolarWinds 供應鏈攻擊事件分析】
【HITCON FreeTalk 2021 - SolarWinds 供應鏈攻擊事件分析】
 
【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】
【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】
【HITCON FreeTalk 2018 - Spectre & Meltdown 漏洞的修補策略與 risk mitigation】
 
【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】
【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】
【HITCON FreeTalk 2018 - 從晶片設計角度看硬體安全】
 
【HITCON FreeTalk】HITCON 2017 下半年活動介紹
【HITCON FreeTalk】HITCON 2017 下半年活動介紹【HITCON FreeTalk】HITCON 2017 下半年活動介紹
【HITCON FreeTalk】HITCON 2017 下半年活動介紹
 
【HITCON Hackathon 2017】 TrendMicro Datasets
【HITCON Hackathon 2017】 TrendMicro Datasets【HITCON Hackathon 2017】 TrendMicro Datasets
【HITCON Hackathon 2017】 TrendMicro Datasets
 
HITCON TALK 技術解析 SWIFT Network 攻擊
HITCON TALK 技術解析 SWIFT Network 攻擊 HITCON TALK 技術解析 SWIFT Network 攻擊
HITCON TALK 技術解析 SWIFT Network 攻擊
 
HITCON TALK ATM 金融攻擊事件解析
HITCON TALK ATM 金融攻擊事件解析HITCON TALK ATM 金融攻擊事件解析
HITCON TALK ATM 金融攻擊事件解析
 
HITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSecHITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSec
 
HITCON TALK 台灣駭客協會年度活動簡介
HITCON TALK 台灣駭客協會年度活動簡介HITCON TALK 台灣駭客協會年度活動簡介
HITCON TALK 台灣駭客協會年度活動簡介
 
HITCON CTF 導覽
HITCON CTF 導覽HITCON CTF 導覽
HITCON CTF 導覽
 
Ctf hello,world!
Ctf hello,world! Ctf hello,world!
Ctf hello,world!
 
Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果
Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果
Hacker as a maker 如何利用 mtk 7688 設計出超炫的 ctf 決賽戰場燈控效果
 

【HITCON FreeTalk】Supply Chain Attack

  • 1. HITCON FreeTalk 歷年回顧 • 2017-10 CCleaner 軟體供應鏈 Supply Chain Attack • 2017-04 國際金融資安新威脅:Lazarus 攻擊 SWIFT 孟加拉 • 2016-10 金融資安研討會:ATM 與 SWIFT 攻擊手法 • 2015-01 世紀大漏洞:索尼影業、南韓核電廠、英雄聯盟 • 2014-10 ShellShock Bash 事件, 手機 Xsser mRAT • 2014-04 OpenSSL HeartBleed 事件, CVE-2014-1761 RTF ! • 流行攻擊手法的演進 • 密碼存取 => 弱點爆破 => 網路蠕蟲 => 社交釣魚信 => 網頁掛馬 =>軟體供應鏈
 (80” 年代) (90” 年代) (2000” 年代) (2010” 年代)
 系統防護 => Firewall => AV => IDS/IPS => NGFW => Sandbox => EDR/UEBA?
  • 2. Supply Chain Attack
 軟體供應鏈 攻擊 GD at hitcon.org
  • 3. 針對性攻擊⼿法 釣⿂信件: 惡意⽂件 / 直接偷密碼! ⽔坑攻擊: 網站掛⾺ / 軟體供應鏈! ! 直接攻擊: 主機密碼 / 系統弱點 使⽤者瀏覽! 後⾨程式植⼊ 將 config 放在雲端服務! 部落格 / 論壇 / github 真正的惡意程式控制端! 放在第⼆層的真正中繼站 後⾨程式回傳資料 外流資料 滲透內網其他電腦! 找尋⺫標資料
  • 4.
  • 5. Watering hole attack 水坑攻擊 • 在獵物聚集的地方等待目標,選擇目標下手 ! • 網頁掛馬 SWC (Strategic Web Compromise) • 掛在政府、智庫、論壇、社交、入口網站,目標族群常來訪 • Browser, JavaScript, VBScript, ActiveX, Java, Flash Player • 進階版: EK (Exploit Kit), 惡意廣告 (Malvertisements) ! • 軟體供應鏈 SCA (Supply Chain Attack) • 文書、影音、系統、企業軟體,有自動更新機制者尤佳 • 攻擊大眾常用軟體公司的 download / update server • 從受害者 IP 中選出真正目標,發動第二階段 targeted attack
  • 6. 2011-07 壓縮工具 ALZip http://www.solidot.org/story?sid=26199 ALZip是壓縮程序,是ALTools的組件之一,在SK Communications內部使用。攻擊者利用ALTools Common Module Update Application中的安全漏洞獲 得ALZip更新服務器的訪問權限,植入指令將更新導向 下載木馬。 ! 2010年9月24日註冊了惡意域名「alyac.org」,該域名 與韓國軟件開發商ESTsoft旗下域名alyac.com十分相近, 註冊者名叫 Guangming Wang
  • 7. 高度選擇性 • 2011-07-18 ALZip update server 被入侵 • 2011-07-25 SK Communication 自動更新 僅 SK 用戶 IP 下載才被導向加料版 ALZip • 2011-07-26 入侵 CyWorld, Nate 資料庫 • 2011-07-28 後門放在城邦 www.cph.com.tw/act/nateon.exe • 2011-08-04 ALZip 官方修補 • 簡體中文惡意程式 PlugX https://www.commandfive.com/research.html
  • 8. 韓國最大社交網站被黑 3500萬用戶 資料泄露,台灣居然是駭客幫兇!? • 韓國約有4900萬人,所以大概超過一半 的韓國人都 GG了 • 因為這次駭客的攻擊活動使用的 Malware 居然Host在某知名出版集團的 城邦網站下。 • 一直以來台灣都是駭客的 亞太營運中心
 -- 奧義‧博德曼 http://blog.xecure-lab.com/2011/07/2500.html !
  • 9. 2013-05 公文電子交換系統 eClient • 政府外包廠商被入侵
 換置惡意檔案到
 檔案管理局 update server
 有乖乖更新,都有中獎 • 七千多電腦受害
 少數三級(嚴重)事件 • 遍及所有大小政府單位
 包括中央機關、地方機關、市政公 所、醫院、中小學校等。 • 簡體中文惡意程式 
 FireFly
 https://www.ithome.com.tw/node/80581
  • 10. 2013-08 播放軟體 KMPlayer • KMPlayer 執行後出現有新版本
 3.7.0.87 更新訊息,連線至 update server 下載偽冒更新程式(KMP_3.7.0.87.exe) • 有合法數位簽章 
 且當時狀態有效
 (非 KMP 原廠) • 簡體中文惡意程式
 PlugX https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018
  • 11. 2013-12 瀏覽器 FireFox 論壇 MozTW • MozTW Forum PhpBB 弱點
 台灣社群論壇上的下載連結被替換 • 惡意安裝檔 installer.cdn.mozil1a.org • 三天有近七萬下載數量 • 簡體中文惡意程式
 BotFrameWorkV2 ! • https://www.ptt.cc/bbs/Browsers/M.1386431194.A.33A.html • https://bugzilla.mozilla.org/show_bug.cgi?id=947564
  • 12. 2014-09 日本文書軟體 Emeditor • 官方網站被入侵,選擇受害者特定 IP
 才拿到惡意程式,共超過一萬次下載 • EmEditor 說,受害者包括日本政府企業
 LINE, 交通省, 法務省, JAXA 太空總署等 • 有數位簽章,而且當時有效 (非原廠) • 簡體中文惡意程式 PlugX http://researchcenter.paloaltonetworks.com/2014/08/attacks-east-asia-using-google-code-command- control/ https://www.emeditor.com/general/possible-malware-attack-emedidtor-update-checker/
  • 13. 2014-12 英雄聯盟 LoL, FIFA 遊戲 • 台灣代理商網站被入侵
 update server 也被換置
 三款熱門遊戲被加料
 可能影響數百萬玩家 • 有合法數位簽章(代理商簽的) • 簡體中文惡意程式 PlugX 上次開過 HITCON FreeTalk http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware- found-in-official-releases-of-league-of-legends-path-of-exile
  • 14. 2015-09 開發工具 XCodeGhost • 翻牆抓蘋果 XCode 速度太慢
 牆內論壇上的 XCode 被加料 • 編譯出 4000+ 被加料 iOS App
 包括知名軟件公司產品
 WeChat, DiDi 打車, 12306訂票 • 推估影響 1.5 億用戶,
 攻擊者發公告說這只是一個實驗 • Ken Thompson Hack 真實案例
 a C compiler that inserts back-door code when it compiles itself and that code appears nowhere in the source code https://www.ithome.com.tw/news/99234
  • 15. 2017-03 烏克蘭 M.E.Doc • 在烏克蘭有 80% 市佔率 • 官方 update server 被入侵三次
 2017-03, 05, 06 不同後門 • 勒索軟體 NotPetya 等
 防毒公司認為不只是勒索
 可以做任何後門行為 https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against- ukraine/
  • 16. 2017-07 網管工具 Xshell • 韓國熱門的網管工具系列
 Xshell, Xftp, Xlpd, Xmanager • NetSarang 非常多大企業使用
 Samsung, LG 等傳出災情 • 使用 DGA 演算法找 C2 位置 • 簡體中文的惡意程式 https://securelist.com/shadowpad-in-corporate-networks/81432/ https://blog.trendmicro.com.tw/?p=51859
  • 17. 2017-08 系統工具 CCleaner http://blog.talosintelligence.com/2017/09/avast-distributes-malware http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html • 知名系統清理工具官網下載被加料 • 一個多月期間被兩百萬次下載
 沒有任何防毒軟體偵測到 • 鎖定科技廠商,植入二階段後門
 從 github, wordpress 下載後門指令 • 卡巴說後門與 APT17 片段 base64 相似
  • 18. 針對性攻擊 選擇受害者 • 攻擊者鎖定 Intel、Google、微軟、 Akamai、三星、Sony、VMware、HTC、 Linksys、D-Link、Cisco 近 20 家科技廠商 • Avast 原廠承認疏失,勇於面對現實
 公布調查細節,台灣有中華電信受害 https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-ap security-incident
  • 19. 傳統偵測技術失效 • 大家都以為自己誤判 • 數位簽章合法是原廠的 • 母公司是 Avast 防毒公司 • Host-based 特徵碼偵測時差太久 • 2017-08-15 CCleaner 網站換置 • 2017-09-14 開源 ClamAV 社群病毒碼 • 2017-09-18 公開後還不到十家偵測 • Network-based 難偵測加密 • 二階段 payload 放 https://github.com , https://wordpress.com • 中繼站連線通訊行為,跟搜尋部落格完全相同
  • 20. 資安軟體本身也可能是資安漏洞? • 透過防毒主機 update server 派送後門 • 2013 南韓 DarkSeoul 事件 AhnLab PMS • NYTimes, Washington Post 昨天頭條 • 以色列政府入侵 Kaspersky 後發現
 俄羅斯政府入侵 Kaspersky 並利用防毒軟體功能偷取
 美利堅政府入侵別國用的 NSA TAO 後門工具 • 防毒公司長期用「不會跳警告的病毒碼」,配合雲端回報機制,了解可疑檔案的 in-the-wild 狀況,調整偵測率以避免誤判。 • 自動上傳可疑樣本功能,原本是為了方便病毒實驗室採樣分析,例如果偷偷寫一 個含有情蒐關鍵字的 silent signature,用來幹壞事偷私密檔案。 • 美國政府全面禁用 Kaspersky, BestBuy 下架退費 https://www.washingtonpost.com/world/national-security/israel-hacked-kaspersky-then-tipped-the-nsa- that-its-tools-had-been-breached/2017/10/10/d48ce774-aa95-11e7-850e-2bdd1236be5d_story.html
  • 21. 企業必須要有「遲早會中獎」心理準備! • 供應鏈廠商被打進去是沒救的 • 廠商要把軟體或更新包加數位簽章 (CCleaner 有簽) • 廠商要顧好自己的 Source Code Repository • 廠商要顧好自己軟體的 CI/QA 測試,安全漏洞 • 廠商要顧好自己的數位簽章主機 ! • 沒有人不曾感冒 • 感冒不是風險,無法儘快恢復才是 • 平時強身健體,就能比別人更快康復 • 你花多少時間可清查,有安裝 CCleaner 的 PC 清單? • 你花多少時間可清查,有連線中繼站的端點數量?
  • 22. 資安事件處理方法 必須化被動為主動 Digital Forensics → Incident Response → Proactive Incident Handling Disk Forensics Network Forensics 1997 1999 2001 2003 2016 National CERT Memory Forensics 2005 Threat Hunting 2013 20112007 Remote Forensics EDR SIEM, SOC, MSSP Private CSIRT Stuxnet / APT 2010 2015 OrchestrationThreat Intelligence
  • 23. 理想的 CSIRT 資源配置 Hunting & Response Detection Prevention 目前多數公司預算分配 Hunting &
 Response Detection Prevention 理想的主動防禦公司