Speaker Topic

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "Speaker Topic"

Transcription

1 當內部網路不再安全? 分析 APT 駭客的企業內網活動 Justin Wu / 資深技術顧問 趨勢科技 #CLOUDSEC

2 A. 企業環境的改變 B. 駭客的多重創意攻擊方式 C. 內網擴散安全策略 D. 真實客戶案例分享

3 企業環境的改變

4 防火牆後的世界已非往昔 隨身硬碟 icloud 雲端硬碟 VPN Google Driver Internet Mobile 隨身網路 FREE WIFI Dropbox Intranet 4

5 APT 攻擊階段區分 1 觸發軟體弱點 2 3 安裝後門程式 4 建立中繼站連線 夾帶惡意附件的社交工程信件 5 內網攻擊與擴散 攻擊階段控制階段活動與擴散階段 5

6 多數被 APT 攻擊的客戶 根據趨勢科技 IR 團隊調查事件, 超過 79% 的調查客戶在被發現時已進入內網擴散階段 18% 3% 79% 內網擴散控制攻擊 6

7 駭客的多重創意攻擊方式

8 第一式 : 正面突擊 DMZ 資料交換主機 一般 OA 網 資料交換主機 內網 8

9 第二式 : 攻其不備 ( 社交工程信件 ) 9

10 第三式 : 引蛇出洞 ( 水坑攻擊手法 ) 持續發現台灣網站被入侵 導向國外漏洞攻擊套件伺服器 受害網站多為内容管理系统 WordPress, Joomla, Drupal 10 月 1 日 部落格 (?) 10 月 15 日 學會 (Joomla) 11 月 6 日 基金會 (?) 11 月 19 日 大眾運輸 (Joomla) 11 月 30 日 房地產 (Joomla) 12 月 3 日 部落格 (WordPress) 12 月 9 日 學校 (Drupal) 12 月 16 日 購物網站 (?) 中小企業 (Joomla) 12 月 21 日 民宿 (Joomla) 家俱業 (WordPress) 12 月 25 日 學校 (Joomla) 駕訓班 (Joomla) 12 月 28 日 中小企業 (Joomla) 1 月 6 日 學校 (Joomla) 1 月 11 日 中小企業 (Joomla) 1 月 20 日 中小企業 (?) 1 月 27 日 研究單位 (WordPress) 1 月 29 日 中小企業 (Joomla) 2015 年 10 月 2015 年 11 月 2015 年 12 月 2016 年 1 月 10

11 更精密的攻擊手法 可定義的攻擊對象 \ 條件 幫助駭客精準定位攻擊對象 Ex : 僅攻擊透過搜尋引擎導引過來的受害者 11

12 第四式 : 火燒連環 Internet 專線 \VPN A 公司 B 公司 12

13 內網擴散安全策略

14 監控與分析內網行為與可疑檔案 網頁伺服器 Internet 網路封包分析系統 沙盒分析系統 HTTPS 解密器 APT 郵件防護系統 Servers AD 伺服器 檔案伺服器 郵件伺服器 鏡向流量物件傳送與回饋 NBs PCs #CLOUDSEC

15 HTTPS 解密器 Internet 拆解加密網路的可疑行為 HTTPS 解密器 Core Switch End User https://aptcommand.com 支援 HTTPS, HTTP/2, FTPS, POP3S, IMAPS, SMTPS 解密 及鏡像功能 可辨識及阻擋以下類型加密流量 : With certificate specified in user-defined server certificate blacklist With expired certificate With revoked certificate 支援 SSL 3.0, TLS 1.0, TLS 1.1, and TLS 1.2 支援 StartTLS 指令 for SMTP, POP, and IMAP 阻檔不安全的 SSL 2.0 連線 15

16 DDI 網路行為分析系統 Internet 深層檢測所有經由網路的攻擊行為 Mirror Core Switch End User 16 xxx.xxx.xxx.xx Mirror apt-command.com 分析包含網頁, 電子郵件, 超過 80 以上的協定與應用程式 可依客戶需求分析內網到外網 內網到內網與重點主機網路流量進行整體分析 內建沙箱 可與趨勢外部沙箱 (DDA) 協同運作 客戶可依需求自訂黑名單 可依據沙箱分析結果進行二次偵測 監控網路包含非 PC 類型 內建多重掃描引擎 ATSE VSAPI NCIE Network Virus Web Reputation Sandbox Feedback APT Detection

17 DDI 內建多重引擎與行為規則 VSAPI Engine ATSE Engine THREAT ENGINES Network Web NCIE Virus Reputation Engine Engine Service Sandbox Feedback APT Detection 已知病毒 掃描 靜態引擎變種 & 加殼惡意程式偵測 異常連線殭屍網路 C&C 中繼站回報 網路蠕蟲 病毒掃描 網頁信譽 評等 沙箱分析 自我回饋 機制 敵我識別 碼偵測 17

18 DDI 回溯式掃描 偵測已知與尚未得知的惡意連線行為 記錄客戶對外連線行為 可依據新線索進行回溯追查曾經的連線 網頁信譽評等查詢 Akamai logs - URL, domain, server IP, source IP 將記錄存放雲端 惡意連線情資更新 SPN Store Akamai logs from this GUID for a long time Scan Akamai log when new C&C found 回溯掃描與通知 Show advanced reports on Retro Scan Portal 18

19 DDI 整合既有防護 19

20 DDA 程式沙盒分析系統 Core Switch Internet IWSVA DDA 回饋情資 C&C IP SHA1 一個開放沙盒分析系統並可利用其輔助趨勢產品或是其他協力廠商產品, 以阻擋日益嚴重的目標式攻擊 偵測與分析惡意程式 深入的分析與完整的報表 開放式的 API 產出 IOC 條件並可供其他產品使用 回饋式情資更新 可相容於既有的資安環境並保護內部安全免於遭受目標式攻擊 End User 20

21 真實客戶案例分享

22 真實案例分享 2016/03 警示 XX 客戶 ( 以下簡稱 A 公司 ), 內部監控 DDI 出現內網擴散攻擊行為 駭客利用帳號 Administrator 由 SERV-2 傳送惡意程式至內部三台伺服器 Internet HOSTNAME-SERV-2 22 A 公司

23 真實案例分享 派員至現場調查, 判定 SERV-2 攻擊來源是 EP1, 該主機為 Linux 作業系統 A 公司自行清查發現 EP2 異常登入 EP1 Internet SERV-2 異常登入 23 A 公司 EP1 Linux EP2

24 真實案例分享 4/1 與 4/13 分別調派員至 A 公司與 B 公司調查, 發現 EP1 入侵來源為 EP2, 而 EP2 又遭位於 B 公司網路內的 Linux 主機 入侵, 該主機負責傳送財務報表資料給 A 公司 HOSTNAME-SERV Internet 異常登入 A 公司 EP1 Linux EP2 B 公司 24

25 真實案例分享 調查結果發現駭客在 Windows 作業系統伺服器植入客製化後門程式, 指定連線至內部中繼站至 EP1, 再由 EP1 將連線封包轉至 EP2, EP2 將連線封包轉至 HOSTNAME-SERV Internet 異常登入 A 公司 EP1 Linux EP2 B 公司 25

26 真實案例分享 以傳統的資安思維, 必然佈署重兵在對外匝道, 以其面對駭客的攻擊行為, 但此案例中 A 公司與 B 公司由於有業務上的往來, 以專線連接的網段連 A 公司 IT 都不知道其存在, 可見資安思維必須大幅調整以因應現行攻擊 HOSTNAME-SERV Internet 異常登入 A 公司 EP1 Linux EP2 B 公司 26

27 本案件中多種工具程式被檢測 檔案名稱發現主機偵測名稱說明 axx.exe SERV-2 HKTL_SMBADDUSR 帳號建立工具 cxx.tmp SERV-2 N/A SNMP Scan tool hxx.tmp SERV-2 HKTL_BANDOORA IPC Scanning Tool pxx.tmp SERV-2 HKTL_PORTSCAN PortScan tool sxx.tmp SERV-2 N/A Cisco Router CopyConf txx.tmp SERV-2 N/A TFTP tool rrxx.tt SERV-2 N/A xcmd remore tool uaqkvhxx.dll SERV-2 N/A Super Tunnel updatexx.dll SERV-2 TROJ_TALERT.SMZT C&C: ntmssvxx.dll SERV-2 BKDR_SALENI.ZTDC C&C: :5454 vsxx.exe SERV-2 N/A rar 壓縮工具 27

28 本案件中多種工具程式被檢測 檔案名稱發現主機偵測名稱說明 lllsxx.exe HKTL_BLOCKEVENTLG 關閉 Event Log nscanxx.exe HKTL_BRUTEFORCE 網路資源暴力破解 nscanyxx.exe HKTL_BRUTEFORCE 網路資源暴力破解 p2pxx.exe HKTL_PortToPor 流量轉送程式 uaqprvxx.dll HKTL_BPROX.DAM 流量轉送程式 prxx.exe HKTL_NETPER Port scanner wastsvcxx.dll BKDR_SALENI.ZTDD C&C: :443 saxx.exe TROJ_DROPPER.ZFE sniffer ~1xx.tmp DDI 偵測 BKDR_SALENI.ZTDC C&C: :5454 fcsxxep.exe DDI 偵測 N/A xcmd remote tool waxxfssig EP1 N/A 跳板程式, 將 local TCP port 5454 轉至 XXXX2 的 TCP port

29 假設把 SHA1 拿來比對現有資料 本次事件調查蒐集後門程式趨勢科技 OfficeScan 偵測名稱為 BKDR_SALENI.* 經趨勢科技大數據雲端平台統計, 眾多政府機關構與高科技產業指標企業均發現相同惡意程式 29

30 One More Thing About PS Service

31 PS Service (B) 感染範圍分析服務 Deep Security 重要主 機監控 (A) 重要主機監控服務 24*7 雲端監控服務 主動通知客戶所監控之主機異常異動並提供建議措施 定期提供分析報表以供資安部門作為強化 APT 防護流程的參考指標 24*7 雲端監控服務 主動通知客戶 APT 威脅並提供建議措施 定期提供分析報表以供資安部門作為強化 APT 防護流程的參考指標 含內部網路的感染範圍分析 含內部網路的帳號登錄分析 感染範 圍分析 DDI 清除程序 建議服務 (C) 清除程序建議服務 針對 感染範圍分析服務 提供受感染的用戶端機器清除建議與步驟 提供客製化清除工具 31

32 趨勢科技為何要提供 PS Service 為數眾多的偵測紀錄!! 單位或是機關沒有專職專人能檢視事件紀錄 即便有專人, 但是否有能力研判 LOG 並分析事件 單筆事件無法交叉關聯 無法得知事件全貌 單位或公司缺乏能整合網路與端點事件的大數據平台 即使導入 SIEM 等系統亦卻乏經驗研判線頭進而分析 客戶無法負擔龐大建置費用, 且 APT 事件並非時時刻刻發生 APT PS 服務提供專業人員, 並節省企業投資 LOG 平台與專家費用 主動通知, 提供建議並能依據客戶需求提供解決方案 長期主動觀察, 更能理解客戶正常行為模式, 降低誤判 32

33 APT PS VS. SOC 監控事件點 服務項目 交叉分析能力 APT PS 以 DDI DS 以及 Windows 資安事件為監控來源, 可檢視外網攻擊 內網擴散以及被控制的暗樁電腦等可疑行為 包含事件通知 事件調查與協助暗樁電腦處置 可依照線頭進行紀錄分析, 採用大數據平台進行交叉比對與關聯式分析 SOC 大多監控防火牆 IPS 以及防毒等事件, 需仰賴設備本身偵測能力, 但因多數設備無法檢視內部網路行為, 而容易產生盲點 多數為通知與告警 惡意程式處置提供處置工具或人員視各家 SOC 而定 成員趨勢科技事件調查 (IR) 部門資安工程師 視各家 SOC 事件平台與 Sensor 而定 33

34 Speaker s Name Organization Contacts

35 有獎徵答 駭客功能手法有那四招? 正 X 突擊 攻其 X 備 引蛇出 X X 燒連環 趨勢科技提供新一代的 APT PS 服務全名為? APT Premium Service 35