Speaker Topic - PDF 免费下载

當內部網路不再安全? 分析 APT 駭客的企業內網活動 Justin Wu / 資深技術顧問趨勢科技 www.cloudsec.com/tw #CLOUDSEC

A. 企業環境的改變 B. 駭客的多重創意攻擊方式 C. 內網擴散安全策略 D. 真實客戶案例分享

企業環境的改變

防火牆後的世界已非往昔隨身硬碟 icloud 雲端硬碟 VPN Google Driver Internet Mobile 隨身網路 FREE WIFI Dropbox Intranet 4

APT 攻擊階段區分 1 觸發軟體弱點 2 3 安裝後門程式 4 建立中繼站連線夾帶惡意附件的社交工程信件 5 內網攻擊與擴散攻擊階段控制階段活動與擴散階段 5

多數被 APT 攻擊的客戶根據趨勢科技 IR 團隊調查事件, 超過 79% 的調查客戶在被發現時已進入內網擴散階段 18% 3% 79% 內網擴散控制攻擊 6

駭客的多重創意攻擊方式

第一式 : 正面突擊 DMZ 資料交換主機一般 OA 網資料交換主機內網 8

第二式 : 攻其不備 ( 社交工程信件 ) 9

第三式 : 引蛇出洞 ( 水坑攻擊手法 ) 持續發現台灣網站被入侵導向國外漏洞攻擊套件伺服器受害網站多為内容管理系统 WordPress, Joomla, Drupal 10 月 1 日部落格 (?) 10 月 15 日學會 (Joomla) 11 月 6 日基金會 (?) 11 月 19 日大眾運輸 (Joomla) 11 月 30 日房地產 (Joomla) 12 月 3 日部落格 (WordPress) 12 月 9 日學校 (Drupal) 12 月 16 日購物網站 (?) 中小企業 (Joomla) 12 月 21 日民宿 (Joomla) 家俱業 (WordPress) 12 月 25 日學校 (Joomla) 駕訓班 (Joomla) 12 月 28 日中小企業 (Joomla) 1 月 6 日學校 (Joomla) 1 月 11 日中小企業 (Joomla) 1 月 20 日中小企業 (?) 1 月 27 日研究單位 (WordPress) 1 月 29 日中小企業 (Joomla) 2015 年 10 月 2015 年 11 月 2015 年 12 月 2016 年 1 月 10

更精密的攻擊手法可定義的攻擊對象 \ 條件幫助駭客精準定位攻擊對象 Ex : 僅攻擊透過搜尋引擎導引過來的受害者 11

第四式 : 火燒連環 Internet 專線 \VPN A 公司 B 公司 12

內網擴散安全策略

監控與分析內網行為與可疑檔案網頁伺服器 Internet 網路封包分析系統沙盒分析系統 HTTPS 解密器 APT 郵件防護系統 Servers AD 伺服器檔案伺服器郵件伺服器鏡向流量物件傳送與回饋 NBs PCs #CLOUDSEC

HTTPS 解密器 Internet 拆解加密網路的可疑行為 HTTPS 解密器 Core Switch End User https://aptcommand.com 支援 HTTPS, HTTP/2, FTPS, POP3S, IMAPS, SMTPS 解密及鏡像功能可辨識及阻擋以下類型加密流量 : With certificate specified in user-defined server certificate blacklist With expired certificate With revoked certificate 支援 SSL 3.0, TLS 1.0, TLS 1.1, and TLS 1.2 支援 StartTLS 指令 for SMTP, POP, and IMAP 阻檔不安全的 SSL 2.0 連線 15

DDI 網路行為分析系統 Internet 深層檢測所有經由網路的攻擊行為 Mirror Core Switch End User 16 xxx.xxx.xxx.xx Mirror apt-command.com 分析包含網頁, 電子郵件, 超過 80 以上的協定與應用程式可依客戶需求分析內網到外網內網到內網與重點主機網路流量進行整體分析內建沙箱可與趨勢外部沙箱 (DDA) 協同運作客戶可依需求自訂黑名單可依據沙箱分析結果進行二次偵測監控網路包含非 PC 類型內建多重掃描引擎 ATSE VSAPI NCIE Network Virus Web Reputation Sandbox Feedback APT Detection

DDI 內建多重引擎與行為規則 VSAPI Engine ATSE Engine THREAT ENGINES Network Web NCIE Virus Reputation Engine Engine Service Sandbox Feedback APT Detection 已知病毒掃描靜態引擎變種 & 加殼惡意程式偵測異常連線殭屍網路 C&C 中繼站回報網路蠕蟲病毒掃描網頁信譽評等沙箱分析自我回饋機制敵我識別碼偵測 17

DDI 回溯式掃描偵測已知與尚未得知的惡意連線行為記錄客戶對外連線行為可依據新線索進行回溯追查曾經的連線網頁信譽評等查詢 Akamai logs - URL, domain, server IP, source IP 將記錄存放雲端惡意連線情資更新 SPN Store Akamai logs from this GUID for a long time Scan Akamai log when new C&C found 回溯掃描與通知 Show advanced reports on Retro Scan Portal 18

DDI 整合既有防護 19

DDA 程式沙盒分析系統 Core Switch Internet IWSVA DDA 回饋情資 C&C IP SHA1 一個開放沙盒分析系統並可利用其輔助趨勢產品或是其他協力廠商產品, 以阻擋日益嚴重的目標式攻擊偵測與分析惡意程式深入的分析與完整的報表開放式的 API 產出 IOC 條件並可供其他產品使用回饋式情資更新可相容於既有的資安環境並保護內部安全免於遭受目標式攻擊 End User 20

真實客戶案例分享

真實案例分享 2016/03 警示 XX 客戶 ( 以下簡稱 A 公司 ), 內部監控 DDI 出現內網擴散攻擊行為駭客利用帳號 Administrator 由 SERV-2 傳送惡意程式至內部三台伺服器 Internet HOSTNAME-SERV-2 22 A 公司

真實案例分享派員至現場調查, 判定 SERV-2 攻擊來源是 EP1, 該主機為 Linux 作業系統 A 公司自行清查發現 EP2 異常登入 EP1 Internet SERV-2 異常登入 23 A 公司 EP1 Linux EP2

真實案例分享 4/1 與 4/13 分別調派員至 A 公司與 B 公司調查, 發現 EP1 入侵來源為 EP2, 而 EP2 又遭位於 B 公司網路內的 Linux 主機 192.168.168.112 入侵, 該主機負責傳送財務報表資料給 A 公司 HOSTNAME-SERV-2 192.168.168.112 Internet 異常登入 A 公司 EP1 Linux EP2 B 公司 24

真實案例分享調查結果發現駭客在 Windows 作業系統伺服器植入客製化後門程式, 指定連線至內部中繼站至 EP1, 再由 EP1 將連線封包轉至 EP2, EP2 將連線封包轉至 192.168.168.112 HOSTNAME-SERV-2 192.168.168.112 Internet 異常登入 A 公司 EP1 Linux EP2 B 公司 25

真實案例分享以傳統的資安思維, 必然佈署重兵在對外匝道, 以其面對駭客的攻擊行為, 但此案例中 A 公司與 B 公司由於有業務上的往來, 以專線連接的網段連 A 公司 IT 都不知道其存在, 可見資安思維必須大幅調整以因應現行攻擊 HOSTNAME-SERV-2 192.168.168.112 Internet 異常登入 A 公司 EP1 Linux EP2 B 公司 26

本案件中多種工具程式被檢測檔案名稱發現主機偵測名稱說明 axx.exe SERV-2 HKTL_SMBADDUSR 帳號建立工具 cxx.tmp SERV-2 N/A SNMP Scan tool hxx.tmp SERV-2 HKTL_BANDOORA IPC Scanning Tool pxx.tmp SERV-2 HKTL_PORTSCAN PortScan tool sxx.tmp SERV-2 N/A Cisco Router CopyConf txx.tmp SERV-2 N/A TFTP tool rrxx.tt SERV-2 N/A xcmd remore tool uaqkvhxx.dll SERV-2 N/A Super Tunnel updatexx.dll SERV-2 TROJ_TALERT.SMZT C&C:10.10.2.102 ntmssvxx.dll SERV-2 BKDR_SALENI.ZTDC C&C:10.10.72.9:5454 vsxx.exe SERV-2 N/A rar 壓縮工具 27

本案件中多種工具程式被檢測檔案名稱發現主機偵測名稱說明 lllsxx.exe 192.168.0.110 HKTL_BLOCKEVENTLG 關閉 Event Log nscanxx.exe 192.168.0.110 HKTL_BRUTEFORCE 網路資源暴力破解 nscanyxx.exe 192.168.0.110 HKTL_BRUTEFORCE 網路資源暴力破解 p2pxx.exe 192.168.0.110 HKTL_PortToPor 流量轉送程式 uaqprvxx.dll 192.168.0.110 HKTL_BPROX.DAM 流量轉送程式 prxx.exe 192.168.0.110 HKTL_NETPER Port scanner wastsvcxx.dll 192.168.0.110 BKDR_SALENI.ZTDD C&C:10.10.254.102:443 saxx.exe 192.168.0.110 TROJ_DROPPER.ZFE sniffer ~1xx.tmp DDI 偵測 BKDR_SALENI.ZTDC C&C:10.10.72.9:5454 fcsxxep.exe DDI 偵測 N/A xcmd remote tool waxxfssig EP1 N/A 跳板程式, 將 local TCP port 5454 轉至 XXXX2 的 TCP port 5443 28

假設把 SHA1 拿來比對現有資料本次事件調查蒐集後門程式趨勢科技 OfficeScan 偵測名稱為 BKDR_SALENI.* 經趨勢科技大數據雲端平台統計, 眾多政府機關構與高科技產業指標企業均發現相同惡意程式 29

One More Thing About PS Service

PS Service (B) 感染範圍分析服務 Deep Security 重要主機監控 (A) 重要主機監控服務 24*7 雲端監控服務主動通知客戶所監控之主機異常異動並提供建議措施定期提供分析報表以供資安部門作為強化 APT 防護流程的參考指標 24*7 雲端監控服務主動通知客戶 APT 威脅並提供建議措施定期提供分析報表以供資安部門作為強化 APT 防護流程的參考指標含內部網路的感染範圍分析含內部網路的帳號登錄分析感染範圍分析 DDI 清除程序建議服務 (C) 清除程序建議服務針對感染範圍分析服務提供受感染的用戶端機器清除建議與步驟提供客製化清除工具 31

趨勢科技為何要提供 PS Service 為數眾多的偵測紀錄!! 單位或是機關沒有專職專人能檢視事件紀錄即便有專人, 但是否有能力研判 LOG 並分析事件單筆事件無法交叉關聯無法得知事件全貌單位或公司缺乏能整合網路與端點事件的大數據平台即使導入 SIEM 等系統亦卻乏經驗研判線頭進而分析客戶無法負擔龐大建置費用, 且 APT 事件並非時時刻刻發生 APT PS 服務提供專業人員, 並節省企業投資 LOG 平台與專家費用主動通知, 提供建議並能依據客戶需求提供解決方案長期主動觀察, 更能理解客戶正常行為模式, 降低誤判 32

APT PS VS. SOC 監控事件點服務項目交叉分析能力 APT PS 以 DDI DS 以及 Windows 資安事件為監控來源, 可檢視外網攻擊內網擴散以及被控制的暗樁電腦等可疑行為包含事件通知事件調查與協助暗樁電腦處置可依照線頭進行紀錄分析, 採用大數據平台進行交叉比對與關聯式分析 SOC 大多監控防火牆 IPS 以及防毒等事件, 需仰賴設備本身偵測能力, 但因多數設備無法檢視內部網路行為, 而容易產生盲點多數為通知與告警惡意程式處置提供處置工具或人員視各家 SOC 而定成員趨勢科技事件調查 (IR) 部門資安工程師視各家 SOC 事件平台與 Sensor 而定 33

Speaker s Name Organization Contacts

有獎徵答駭客功能手法有那四招? 正 X 突擊攻其 X 備引蛇出 X X 燒連環趨勢科技提供新一代的 APT PS 服務全名為? APT Premium Service 35