More Related Content
What's hot
What's hot (18)
Similar to 2017.11.22 OWASP Taiwan Week (Lucas Ko)
Similar to 2017.11.22 OWASP Taiwan Week (Lucas Ko) (20)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
- 1. 2017 OWASP Taiwan Week 滲透測試實戰分享 2017.11.22 財團法人資訊工業策進會 Lucas Ko lucasko@iii.org.tw , lucasko.tw@gmail.com
- 2. ● 畢業於國立臺灣科技大學 資訊工程研究所 ● 現任職於資策會資安所,擔任雲端威脅分析平台專案經理 ● 專長:系統開發、滲透測試、Docker、DevOps ● 證照:CEH、ECSA ● 經歷: ▶ 執行政府網路攻防演練、實地稽核 ▶ 銀行ATM滲透案 ▶ (ISC)² Security Congress APAC 2017 講師 Lucas Ko
- 3. 那些年我們執行的黑箱測試
- 4. ● 模擬真實駭客攻擊行為。 ▶ 資料蒐集、社交工程、 網路掃描、 弱點掃描、 Exploit ● 數個月內,超過1000個受測目標。 ▶ (1個網站視為1個受測目標) ● 滲透測試團隊 ● 人力安排。 ● 分工合作。 黑箱測試(Black-box Testing)
- 6. 執行大量滲透測試的困境
- 7. ● 目標太多,時間不夠 ● 工作分配不均 ● 攻擊情資無法即時分享 ● 攻擊流量較大,易被察覺 執行大量滲透測試的困境
- 8. 如何有效執行大量滲透測試
- 10. 團隊分工 Senior Testers Junior Testers Principal Testers ● 網路掃描、弱點掃描 ● 資料蒐集 ● 弱點驗證/滲透 ● 手動檢測 (自動化工具無法檢測的部分) ● Double Check 驗證失敗的弱點 ● 提權、橫向滲透
- 11. DAY NIGHT 執行時間
- 12. ● 預先註冊多組IP Address ▶ 申請專線、租用GCP、AWS ▶ 但避免使用Free VPN 、避免偽造IP: nmap -D RND:10 • 避免客戶對於未知IP產生疑慮 ● User-Agent String多樣性:Mobile、iPad 規避偵測
- 13. ● Nmap 常用防火牆/IDS規避技術: ▶ Fragment Packets (-f) ▶ ACK Scan (-sA) ▶ Window Scan (-sW) ▶ Decoys Scan (–D 192.168.1.1 192.168.1.2 ) ▶ 以白名單方式、避免Random方式 ▶ Delay (--scan_delay) ▶ Host Timeout Option (--host-timeout) 規避偵測
- 14. 情資分享-滲透測試平台 ● 善用滲透測試平台進行攻擊,可與團 隊成員掃描/滲透資訊。 ▶ Cobalt Strike (Armitage的商業版) • 以Metasploit為核心的的GUI滲透工具。 • 整合Nmap、 mimikatz、PowserShell 等工具。
- 15. 情資分享-弱點管理平台 ● 線上撰寫攻擊紀錄。 ● 便於資料彙整以及通報不同的系統負責人。 ● 即時的攻擊情資分享。
- 16. 1. 注入攻擊 2. 弱密碼 3. 敏感訊息暴露: ▶ 個人資料外洩、完整原始碼外洩 4. 跨站腳本攻擊: 5. 不安全的物件參考: ▶ 網站原始碼下載 6. 缺少功能級別的存取控制: ▶ 獲得管理員權限 7. 不當的安全組態設定 檢測結果 弱點排名
- 17. 1. 團隊分工: 2. 在有限的時間、人力下,一個參數/入口點並不會測試太複 雜攻擊手法(除非系統屬於核心系統)。 3. 情資分享的重要,避免重工。 ▶ 掃描結果、手法、已知弱點資訊:帳號、弱密碼 4. 弱點管理平台 ▶ 能有效檢視攻擊進度。 ▶ 快速搜尋已知弱點。 小結
- 18. 銀行/ATM 滲透測試
- 19. ● 2016年3月:孟加拉中央銀行被駭客盜領8,100萬美元 ● 2016年6月:駭客入侵烏克蘭銀行SWIFT系統,損失1,000萬美元 ● 2016年7月:第一銀行系統遭駭,ATM被盜領7000萬 ● 2016年8月:2016 BlackHat 駭客示範入侵ATM ● 2016年8月:泰國銀行系統遭駭,ATM被盜領1229萬泰銖 ● 2017年3月:俄羅斯銀行系統遭駭,駭客植入惡意程式,ATM被盜領80萬美元 ● 2017年10月:尼泊爾NIC亞洲銀行SWIFT系統遭駭 ● 2017年10 月:前蘇聯國家銀行系統遭駭,損失約4,000萬美元 ● 2017年10 月:遠東銀行系統遭駭,盜匯18億台幣 近年金融機構受害頻傳
- 20. ● 加密勒索軟體導致SWIFT系統當機 ▶ Bitsran.exe程式用於反向式木馬、加密系統檔、內網擴散。 ▶ 將自己寫入HKLM機碼中(登入時run) ▶ 建立遠端連線並進行加密檔案,取代檔名為_ ▶ 檢查後門與加密行為,確保重開機也會被執行 勒索軟體攻擊SWIFT系統 資料來源:資安產業行動計畫網站ACW, 「遠東銀遭駭 資安所分析惡意程式還原駭客手法」
- 21. ● 此勒索軟體已經將帳號以及密碼都預設在程式中 ○ FEIBSPUSER14,密碼為 ******vgy7 ○ FEIBscomadmin,密碼為 ********adM ● 掃描內網IP,並試圖針對內網的電腦進行擴散 ○ IP已寫死在程式裡面(Hard-Code) ● 系統已經被植入了後門。而在觸發後,許多的外部IP向受駭電腦進行連線與控 制。 勒索軟體攻擊SWIFT系統 資料來源:資安產業行動計畫網站ACW, 「遠東銀遭駭 資安所分析惡意程式還原駭客手法」
- 22. 受測目標
- 23. ● 防毒主機 ● 狀態監控主機 ● 白名單主機 ● ATM ● ATM派版主機 ● ATM交易明細紀錄主機 受測目標 ATM 自動櫃員機 ● 網路銀行 ● 保險系統 ● 金融卡業務系統 ● 信用卡業務系統 ● 其他 銀行業務
- 24. ● 金管會要求攻擊類型: ● 開啟遠端服務 ● 植入非授權程式 ● 執行非授權程式 ● 修改機敏資料 ● 換置畫面 ● 竊取檔案資料 攻擊手法類型
- 25. 檢測案例
- 31. ● 較不建議使用黑名單過濾可疑符號(如: ’<’, ‘”’, ‘/’, … ),, 容易被繞過 ● 使用白名單過濾只讓特定符號通過(如:[0-9], [a-zA-Z], _), 較建議 ● 使用HTML Entities,將特殊符號轉換成HTML的編碼。 案例:跨站腳本攻擊 2/2
- 32. ● 公司英文簡稱即為密碼 案例:RDP 弱密碼 1/2
- 33. ● 建議措施: ▶ 不使用預設帳號密碼 ▶ 密碼不得與帳號名稱一樣 ▶ 密碼不得使用可預測規則:公司英文名稱、員工編號、 公司電話等 ▶ 不使用公司名稱的中文注音拼音 ▶ 不使用常見密碼 12345678、1qaz@WSX、1qaz2wsx 案例:RDP 弱密碼 2/2
- 34. ● ATM派版系統內存在暫存檔案 ● 帳號與密碼相同,成功連限制目標主機 ● 成功連線至目標主機,獲取交易明細 案例:ATM主機 弱密碼 1/2
- 35. ▶ 銀行外部系統存在MSSQL弱密碼漏洞 ▶ 搭配CLR漏洞,獲取系統主機權限 ▶ module: exploit/windows/mssql/mssql_clr_payload ▶ Hashdump 密碼,可持續用於橫向滲透 案例:MSSQL弱密碼+CLR漏洞
- 37. ▶ McAfee Agent 5.0.0產品含有漏洞 ▶ CVE-2015-7237 ▶ Patch公布於2015/9 ▶ Path Traversal (CWE-21) ▶ Insecure Direct Object References (CWE-932) ▶ McAfee Agent patch fixes a vulnerability in its remote log viewing functionality: ▶ https://kc.mcafee.com/corporate/index?page=content&id=SB10130 案例:McAfee 路徑瀏覽漏洞 1/2
- 38. ● 透過防毒軟體漏洞,成功檢視ATM派版系統原始碼 ▶ 弱點位置: /DisplayLogFile?log_file_name=McScript.log&product_id=EPOAGENT3000&t=1481575550936 ▶ 攻擊語法: /DisplayLogFile?log_file_name=../../../../etc/passwd&product_id=EPOAGENT3000&t=1481575550 936 案例:McAfee 路徑瀏覽漏洞 2/2
- 39. ▶ OfficeScan 伺服器存在越權漏洞 ▶ cve-2017-5481 ▶ SECURITY BULLETIN: Trend Micro OfficeScan (11, XG) Multiple Vulnerabilities ▶ https://success.trendmicro.com/solution /1117204-security-bulletin-trend-micro- officescan-11-xg-multiple-vulnerabilities 案例: OfficeScan 越權漏洞
- 41. ● 針對上述頁面,使用Burp Suite將封包進行攔截 案例: OfficeScan 越權漏洞
- 43. ▶ 不過度依賴防火牆。 ▶ 普遍存在弱密碼問題。 ▶ 限制檔案類型,避免Webshell漏洞。 ▶ 帳號權限控管不當,存在不當的安全存取控制弱點。 ▶ 帳號權限最小化。 ▶ 商用防毒軟體應更新至最新。 總結
- 44. Thank you 2017.11.22 財團法人資訊工業策進會 Lucas Ko lucasko@iii.org.tw , lucasko.tw@gmail.com