Contenu connexe
Similaire à Splunk資安智慧分析平台 (20)
Splunk資安智慧分析平台
- 4. 4
APT的防禦策略
• 保密防諜,人人有責 – 資安意識訓練 (Awareness
Training)
– Human Firewall ?!
– 人永遠是弱點
– 治本的好方法
– 緩不濟急
– 越是APT目標的人越需要
– 越是個咖越困難
要一個人學會不開啟APT檔案,是非常不人道的事情。
- by 某資安專家
- 41. 41
Honeynet 成員的分析工具
• 將所有 Honeypots,
Honeyclients, 以及分析工
具透過 HPFeeds protocol
集中到 Splunk 上
• 利用 Splunk 的 Javascript
SDK 與 d3.js lib 客製開發
一個資料呈現與分析介面
Acapulco – Building Clustered Parallel Coordinates Graphs from
HPFeeds data
- 44. 44
攻擊足跡收集的工具
階段 足跡 收集的工具
植入特製後門程式 • Run key
• Dropped files
• Suspicious process
Autoruns.exe
MFTdump.exe
PSList.exe
偷取帳號與密碼 • Hook API
• Password dump API
• NetBIOS cache dump API
Strings.exe
打包重要資料 • PDF/Word/Excel Lass access
time
MFTDump.exe
網路探勘 • Net flows
• Browser caches
Firewall Log
IECacheView
入侵其他主機 • Event log
• Remote Job
• Suspicious accounts /shares
Psloglist.exe
PsLoggedon.exe
Net user/share
- 57. 57
發現可用來快篩的特徵
• 產生*ex.dll之惡意元件。
Search: sourcetype = MFTDump FileName=*ex.dll
• 反轉字元的scr檔案。
Search: sourcetype=MFTdump Filename=*?*.scr
• Listen在UDP 123及1025。
Search: sourcetype = netstat AND “:123” AND “:1025”
• 具Key logger功能,檔案寫入c:Document &
SettingsAll Usersnetlog
Search: sourcetype=strings AND“netlog”AND [end]