Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短

Plus De Contenu Connexe

Plus par HITCON GIRLS

CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短

  1. 1. Windows Malware Hot 5 HITCON GIRLS 短短 CYBERSEC 2020 臺灣資安大會
  2. 2. 議程簡介 我會介紹 5 個 2020 年備受關注的 Windows 惡意程式和它們的近況,也 會介紹 2019 年較常使用的 techniques,是平易近人的議程唷 目標受眾 對今年 Windows 惡意程式的更新有興趣、有點資安意識的你們,如果聽 過 ATT&CK、知道惡意程式的種類更好 這個議程會講什麼? 2
  3. 3. 3
  4. 4. Disclaimer 榜單為個人看一些 vendor blog、Twitter、report 歸納出來的 全部都是個人觀感 純屬娛樂性質 不要太較真 不代表 HITCON GIRLS 立場 4
  5. 5. 短短 (Yi Chin) 曾在資安公司的分析 Team 實習一年 想要去印度理工學院當交換學生卻碰 上疫情... 於是就留在家閉關修煉了!HITCON GIRLS 讀書會成員 5
  6. 6. 今年因為新冠肺炎... 6
  7. 7. 除了資安大會延期 7
  8. 8. 沒有交換學生 8
  9. 9. 不能去國外讀研 9
  10. 10. 沒有畢旅 10
  11. 11. 11
  12. 12. 那我們開始吧! 12
  13. 13. Dridex 5 13
  14. 14. 今年 3 月激增! Ransomware 的好朋友 ● 2020 年 3 月 有幾波惡意郵件攻擊行動夾帶惡意 Excel 檔 案,利用 Macro 下載 Dridex 後,還可能繼續下載針對性 Ransomware,例如 BitPaymer、DoppelPaymer ● 近期因為 Covid-19,大家特別仰賴物流運送生活物資 ,Dridex 的釣魚主題多為 FedEx、UPS 的帳單 14
  15. 15. 今年 3 月激增! Ransomware 的好朋友 ● 2020 年 3 月 有幾波惡意郵件攻擊行動夾帶惡意 Excel 檔 案,利用 macro 下載 Dridex 後,還可能繼續幫你下載針 對性 Ransomware,例如 BitPaymer、DoppelPaymer ● 近期因為 Covid-19,大家特別仰賴物流運送生活物資 ,Dridex 的釣魚主題多為 FedEx、UPS 的帳單(invoice) 15
  16. 16. Dridex ● 第一隻野生 Dridex 出現在 2011 年,它是 Banking Trojan,會盜轉受害者網路帳戶的金錢 ● BaaS (Botnet as a service),常由多個 Botnet 組成 ● 常利用釣魚郵件誘使使用者下載惡意 Microsoft Office 文 件,再透過啟用 Macro 下載 Dridex 16
  17. 17. Dridex ● 第一隻野生 Dridex 出現在 2011 年,它是 Banking Trojan,會盜轉受害者網路帳戶的金錢 ● BaaS (Botnet as a service),常由多個 Botnet 組成 ● 常利用釣魚郵件誘使使用者下載惡意 Microsoft Office 文 件,再透過啟用 Macro 下載 Dridex 17
  18. 18. Dridex asscoiated gang - Evil Corp 18
  19. 19. Sodinokibi 4 19
  20. 20. 這是 2019 跨年發生的事情... 20
  21. 21. 英國 Travelex 用自身經驗來提醒大家 有 patch 快上的重要性 21
  22. 22. 2019 跨年 Travelex 大失血事件 ● 2019 跨年時,英國外匯交易公司 Travelex 被 Sodinokibi 感染,駭客要求 600 萬美元才會返還客戶資料。 ● 原因是有弱點的 Pulse Secure VPN servers 沒有 patch (CVE-2019-11510),這個弱點在 2019 年 4 月已經出 patch。 ● 整個服務癱瘓了幾個禮拜,最後還是付了 230 萬美元了 事 22
  23. 23. Sodinokibi (REvil) ● Sodinokibi 是 2020 上半年最囂張的勒索軟體之首 ● 擅長利用釣魚信件 、已知安全漏洞 (i.e. Oracle WebLogic Server 的 CVE-2019-2725)入侵 23
  24. 24. Sodinokibi (REvil) ● Sodinokibi 是 2020 上半年最囂張的勒索軟體之首 ● 擅長利用釣魚信件 、已知安全漏洞 (i.e. Oracle WebLogic Server 的 CVE-2019-2725)入侵 24
  25. 25. Sodinokibi (REvil) v2.2 熱騰騰! ● 2020 年 5 月,Sodinokibi 進化了,使用 Windows Restart Manager 來關掉 lock 住檔案的 process 或 service,就可 以加密本來已經被 lock 住的檔案 25
  26. 26. Agent Tesla 3 26
  27. 27. Stalker 的最愛:偷看訊息的 Agent Tesla ● 2014 年開始活躍的 .NET based Spyware / RAT / Key logger,會螢幕截圖、偷看瀏覽器紀錄、擷取剪貼簿內容等 ,可說是 stalker 的好幫手 ● 各大通路熱烈販售中 ● 最近用 Covid-19 為主題散播釣魚郵件,例如:URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST/RESULT UPDATE. 27
  28. 28. 擷取密碼寄到 自己信箱 MD5:6ef18708f51ace44e6b6c2fe7a3668ce 28
  29. 29. Agent Tesla 使用偷 Wi-Fi 密碼模組 ● 2020 年 4 月,Malwarebytes 發現 Agent Tesla 會蒐集受 害者的 Wi-Fi profile,應該也是為了散播,類似 Emotet 29source:https://blog.malwarebytes.com/threat-analysis/2020/04/new-agenttesla-variant-steals-wifi-credentials/
  30. 30. Trickbot 2 30
  31. 31. Trickbot ● 2016 年發現的模組化 Banking Trojan,會將受害者導向假 的銀行頁面以竊取身份驗證資訊,時常換目標銀行,常常 更新獲得新功能,也盜取過加密貨幣 ● 通常透過釣魚郵件散佈惡意 Microsoft Office 檔案,使用 Macro 來下載 Trickbot,也會利用 Eternal Blue 漏洞來散 播 31
  32. 32. ● 2020 年 2 月底,Malware Traffic 發現 Trickbot 以 DLL 形 式散播 Trickbot 以 DLL 形式散播 32
  33. 33. Trickbot 針對 Win 10 1. 2020 年 1 月底,MORPHISEC 發報告說 Trickbot 會根據 不同的 Windows Distribution,採取不同的 UAC bypass 方式 33
  34. 34. Trickbot 針對 Win 10 ● 2020 年 1 月底,MORPHISEC 發報告說 Trickbot 會根據 不同的 OS,採取不同的 UAC bypass 方式 34
  35. 35. Trickbot 針對 Win 10 2. 2020 年 2 月底,MORPHISEC 也發現 Trickbot 下載器 OSTAP 的 activeX 控制項使用了 Win 10 的 MsRdpClient10NotSafeForScript class 進行遠端控制 35
  36. 36. Trickbot 針對 Win 10 2. 2020 年 2 月底,MORPHISEC 也發現 Trickbot 下載器 OSTAP 的 activeX 控制項使用了 Win 10 最新的 MsRdpClient10NotSafeForScript class 進行遠端控制 36
  37. 37. Trickbot 針對 Win 10 2. 2020 年 2 月底,MORPHISEC 也發現 Trickbot 下載器 OSTAP 的 activeX 控制項使用了 Win 10 最新的 MsRdpClient10NotSafeForScript class 進行遠端控制 37source:https://blog.morphisec.com/trickbot-delivery-method-gets-a-new-upgrade-focusing-on-windows
  38. 38. Trickbot 會檢查螢幕解析度 38
  39. 39. Emotet 1 39
  40. 40. Emotet ● 2014 年發現擁有客製化模組的 Banking Trojan,現在常用 來散播其他惡意程式 ● 維持 Persistence、防止被偵測分析的技巧高明 ● 常常以釣魚郵件散播 ● 有垃圾郵件模組 40
  41. 41. Emotet 進化:透過 Wi-Fi 來散播 ● 2020 年 2 月,Emotet 被發現會蒐集附近 Wi-Fi 的 SSID、 信號強度、加密方式等,然後嘗試登入 ● 成功後,會列舉連到這個 Wi-Fi 的設備,再嘗試去猜測並 連接其他設備來散播 Emotet 41
  42. 42. Emotet 進化:透過 Wi-Fi 來散播 42source:https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
  43. 43. 43
  44. 44. 沉寂 5 個月,Emotet Qbot Duo ● 2020 年 7 月底,一波 Emotet 安裝 Qbot 的攻擊行動 44
  45. 45. 簡單介紹 TTPs 45
  46. 46. TTPs? ● Tactics - why? ● Techniques - how? ● Procedures - a sequence of actions Pyramid of Pain 46
  47. 47. Mitre ATT&CK 47
  48. 48. 聽起來有點抽象 48
  49. 49. 49
  50. 50. 12 Tactics ● TA0001 Initial Access ● TA0002 Execution ● TA0003 Persistence ● TA0004 Privilege Escalation ● TA0005 Defense Evasion ● TA0006 Credential Access ● TA0007 Discovery ● TA0008 Lateral Movement ● TA0009 Collection ● TA0011 Command and Control ● TA0010 Exfiltration ● TA0040 Impact 50
  51. 51. Collection - T1185 Man in the Browser ● Agent Tesla has the ability to use form-grabbing to extract data from web data forms. ● TrickBot uses web injects and browser redirection to trick the user into providing their login credentials on a fake or modified web page. ● Dridex can perform browser attacks via web injects to steal information such as credentials, certificates, and cookies. 51
  52. 52. Sub-techniques 52
  53. 53. .001 Credentials In Files ● TrickBot can obtain passwords stored in files from several applications such as Outlook, Filezilla, and WinSCP. ● Emotet has been observed leveraging a module that retrieves passwords stored on a system for the current logged-on user. Credential Access - T1552 Unsecured Credentials 53
  54. 54. Credential Access - T1552 Unsecured Credentials .002 Credentials in Registry ● TrickBot has retrieved PuTTY credentials by querying the SoftwareSimonTathamPuttySessions registry key. 54
  55. 55. Top 5 ATT&CK Techniques in Action for 2019 1. T1063: Security Software Discovery 2. T1027: Obfuscated Files or Information 3. T1055: Process Injection 4. T1082: System Information Discovery 5. T1057: Process Discovery Defense Evasion Dominant in Top MITRE ATT&CK Tactics of 2019 55
  56. 56. 來個總結 56
  57. 57. 1. 釣魚散播不變真理 2. a 下載 b,例如 Emotet 載 Trickbot 3. 惡意程式都很積極,更新再更新 總結 57
  58. 58. 58
  59. 59. Sodinokibi ● Ransomware Payments Up 33% As Maze and Sodinokibi Proliferate in Q1 2020 ● Changes in REvil ransomware version 2.2 Dridex ● March 2020’s Most Wanted Malware: Dridex Banking Trojan Ranks On Top Malware List For First Time Emotet ● Emotet Evolves With New Wi-Fi Spreader Reference 59
  60. 60. Trickbot ● TRICKBOT DELIVERY METHOD GETS A NEW UPGRADE FOCUSING ON WINDOWS 10 ● Trickbot Malspam Leveraging Black Lives Matter as Lure ● TRICKBOT TROJAN LEVERAGING A NEW WINDOWS 10 UAC BYPASS ● TrickBot malware now checks screen resolution to evade analysis Agent Tesla ● New AgentTesla variant steals WiFi credentials Reference 60
  61. 61. Reference Top Techniques of 2019 ● Defense Evasion Dominant in Top MITRE ATT&CK Tactics of 2019 Report ● Cyber Attack Trends: 2020 Mid-Year Report by Check Point 61
  62. 62. Resources Top 10 Malware Jan to June by CIS ● https://www.cisecurity.org/blog/top-10-malware-january-2020/ ● https://www.cisecurity.org/blog/top-10-malware-february-2020/ ● https://www.cisecurity.org/blog/top-10-malware-march-2020/ ● https://www.cisecurity.org/blog/top-10-malware-april-2020/ ● https://www.cisecurity.org/blog/top-10-malware-may-2020/ ● https://www.cisecurity.org/blog/top-10-malware-june-2020/ Others ● M-trends 2020 by FireEye 62
  63. 63. 議程到此結束, 希望能帶給大家一些幫助 <3 Feel free to contact me : yichinduan@gmail.com 63

×