LINE Taiwan Security Meetup – BECKS #6

大家好,我們是來自 LINE 台灣資安團隊的 Vic 與 Ethan。LINE 一直以來不遺餘力地提升資訊安全,除了以 DevSecOps 的概念為基礎,將資安 DNA 注入 LINE 產品與服務,更積極促進整體資安生態圈的成長。 而 Beer is beautiful, hacks is amazing, BECKS is gold. BECKS是Beer與Hacks兩個字所組成。 透過一系列的 BECKS.IO – Security Meetup 資安社群活動,為韓國、日本、台灣等地的優秀資安人才提供當面交流、建立良好連結的機會! 本次 BECKS.IO 小聚選於台北的 Avenue 舉辦,邀請台灣的講者們,在輕鬆開放的氛圍中,暢談不同企業與個人的資安思維及實務經驗,並展望相關技術的未來發展。

KKTIX 活動網頁: 活動網址

The Silence of Incident Responders in Taiwan The realities , the difficulties and the future – Jack Chou/ISSDU Senior Technical Consultant

本活動的第一位講者為 Jack Chou,Jack 為現任ISSDU 資深技術顧問,負責Incident Response、APT攻擊態樣分析、建置企業APT防護機制以及協助企業資安事件調查與處理。

首先,講者說明台灣常見的資安事件中攻擊者的來源與目的進行探討。接著,分享 IR (Incident Response,資安事件應變)與 SOC (Security Operation Center,資訊安全監控中心)的工作範疇。包括由Tier 1 的監控、通報、基本調查與處置,Tier 2 的監控規則維護調整 、進階調查與處置,而至Tier 3的進階事件分析、事故處理、數位鑑識與惡意程式調查分析。講者也憑藉自身於第一線處理資安事件的豐富經驗,針對目前台灣 IR 與 SOC 提出見解。由於職場文化與資安人員的缺乏,IR人員所具備的能力與工作時長已不僅限於上述的工作範疇與上班時間。

講者接著分享IR人員在追蹤攻擊者的攻擊痕跡時,所遭遇到的困難。第一個困難點在於資安事件調查的時間點通常不在事件發生當下而是在發現之後,為避免受攻擊的範圍擴大,IR人員會在通報之後第一時間投入調查。此時 IR人員可能遭遇非上班時間,與主機地點偏遠或是暫時無法遠端連入調查的情況,即是 – 時間、空間隔閡。第二個困難點在於攻擊痕跡之保存。資安事件發現的當下,企業若立即做出的應處若缺乏保護跡證的考量,可能會造成追蹤困難與跡證毀壞。講者也分享由攻擊者方進行常主動滅證的常見方式與手法。

而在資安事件中,如何從證據缺乏或是未知的情況去尋找攻擊者足跡是重要課題。講者根據自身經驗歸納出幾種可以嘗試的做法:

其一是尋找受害主機對外部主機根目錄的可疑連線(Executable requested from root directory of web server),藉此尋找C&C Server(Command and Control Server,命令與控制伺服器)的蹤跡。其二是由連線的metadata搜索C&C Server可能存在的domain,有些看似正常的網站如GitHub也可能是C&C Server的位置。其三是調查防毒軟體log,由防毒軟體內建的pattern發現可能的駭客工具。

未來展望的部分,Jack 期待台灣的IR人員與需協助的企業可以建立溝通管道,完善制度處理事件流程,並減少人為因素與溝通成本。期盼IR與SOC人員在台灣的未來能更發光發熱。

Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data – Joey Chen/Trend Micro Sr. Security Engineer

第二場的講座,是由趨勢科技的資深威脅研究員 Joey Chen,分享他們在近幾年內發現中國間諜組織 TICK 針對日本、韓國的政府單位、國防、航空與衛星等基礎建設產業的攻擊行為。

此次由趨勢科技為之命名 “Operation ENDTRADE” 代號的攻擊行動,是因 TICK 組織挑選的目標並不易入侵,因此朝向有與目標合作的廠商進行攻擊。

而攻擊對象除針對與目標有合作往來的中國代工廠商竊取資料外,也包含專門產製市場調查報告的公司,一旦入侵後,會再藉由這些公司的信箱將報告或資料寄夾帶惡意程式寄出,甚至把檔案放在合作廠商與目標的共享資料夾中,以誘騙目標點擊,進而入侵真正的目標,以取得政府、國防的機密資料。


根據趨勢科技的追蹤觀察,TICK 組織在 2018 年就已曾使用 Exploit 工具、設計日文的誘騙檔案、也自行開發後門程式、下載器、內網滲透工具等,因此可發現 TICK 組織的分工相當完整。

其中使用到的技術,除了能將惡意程式放到防毒軟體的資料夾內,甚至再藉由防毒軟體的權限去執行惡意程式,藉此確保惡意程式不會被刪除。

下載器也特別處理過,例如一開始會先連到正常但已被 TICK 入侵的網站去下載真正的惡意程式,以避免被防火牆阻擋,而該正常網站會直接寫死目標硬碟的 serial number,確保連過來的裝置是在自己的目標範圍內,若不是則直接丟棄該裝置的連接請求。

在 2018 – 2019 年之間,TICK 攻擊型態起了階段性的變化:

1.偷取市調公司報告夾帶利用 CVE2018-0802 或 CVE2018-0798 的惡意程式誘騙點擊 → 跑下載器抓含有惡意程式的照片檔案跑執行 → 連到 C&C Server (Command and Control Server,命令與控制伺服器)

2.透過寄送惡意程式並採 RLO(Right-to-Left Override,反轉字元) 方式偽裝成 pdf 檔案誘騙點擊 → 跑下載器抓偽裝成防毒軟體的惡意程式,並放入與原防毒軟體相同路徑的資料夾內 → 自動執行後連正常網站的 C&C Server

3.透過寄送惡意程式並採 RLO 方式偽裝成 pdf 檔案誘騙點擊 →跑下載器抓偽裝成防毒軟體的惡意程式→只在目標員工的工作時間內才會執行連正常網站的 C&C Server

4.透過寄送惡意程式並採 RLO 方式偽裝成 pdf 檔案誘騙點擊 →跑抓硬碟資料、CPU ID跟 C&C Server 驗證→ 確認身份後上傳受害者情資料 C&C Server 上→ 驗證過後下載照片,從照片中解開後門的 loader→後門 loader drop 執行檔,執行檔透過 dll injection 將 shell code 注入到 svchost → 後門在 svchost 執行後回連到 C&C Server


詳細分析完 TICK 所使用的工具與技術後,講者總結此次 “Operation ENDTRADE” 是為期兩年的階段性攻擊行動,並非針對目標組織單一打擊,而是藉由入侵合作廠商來一步步入侵目標,以竊取關鍵情資。

活動小結

今晚的聚會邀請到國內外資安專家,不藏私分享資安策略和經驗,幫助與會者在短短數小時內,從不同角度領略實現資安的各種可能。BECKS 是由 Beer 與 Hacks 兩個字所組成,透過本次小聚,我們再度凝聚資安社群,讓資安專家分享最新研究,並讓各領域的資安研究員進行面對面討論,除了幫助更多人了解 LINE 的安全設計,更希望透過交流,讓多元的資安思維得以迸發出精彩的火花!

立即 follow「BECKS」活動訊息,就能收到第一手 Meetup 活動最新消息的推播通知。▼

「BECKS」活動專頁:https://becks.io

關於「LINE開發社群計畫」

LINE今年年初在台灣啟動「LINE開發社群計畫」,將長期投入人力與資源在台灣舉辦對內對外、線上線下的開發者社群聚會、徵才日、開發者大會等,已經舉辦30場以上的活動。歡迎讀者們能夠持續回來察看最新的狀況。詳情請看:

徵才訊息

《LINE 強力徵才中!》與我們一起 Close the Distance 串聯智慧新世界 » 詳細職缺訊息

Related Post