HoneyCon 2014 Ted
HoneyCon 2014Ted
Introduction
• The Honeynet Project成⽴立於 1999年,是⼀一個集合國際間資安研發能量的⾮非營利性組織,以技術導向領先的國際安全研究機構,專⾨門調查最新的攻擊和開發開源的安全⼯工具,以提⾼高網際網路的安全。
• ⺫⽬目前全世界有超過46個分會,集合資安領域之能量,發展資訊安全⼯工具、惡意程式分析以及最新的資訊安全威脅研究,希望提供各國企業以及政府機構需要的資訊安全⼯工具,透過技術與經驗的分享,掌握最新的攻擊和威脅,並投⼊入資訊安全教育⼯工作,以提昇資訊安全認知,The Honeynet Chapter發揮了打擊惡意程式以及駭客攻擊的重要⾓角⾊色。
Honeypot(蜜罐)• 獨⽴立的網路
• 陷阱
• 掃描與蒐集攻擊⾏行為
• 不能被攻擊者察覺
• 容易建置
• 減緩攻擊的⼀一種⽅方式
• high-interaction honeypots
• low-interaction honeypots
Honeynet(誘捕網路)
• 由許多 honeypot 建置⽽而成
• 針對攻擊的網路流量以及惡意散播的程式進⾏行收集與分析
• 進⾏行攻擊⾏行為與特徵的⽐比對加上資訊分析
• 了解攻擊⾏行為的模式以建⽴立防禦機制
Topic• 臺灣資訊安全威脅介紹
• 進階威脅防護(Advanced Threat Protection)
• Discovery the Attack Clues by Visualization Tools
• Malware的威脅防禦與軌跡追蹤
• 是⼿手機還是⾏行動⼊入侵裝置?
• A bash honeypot for mass deployment
• 巨量攻擊浪潮下的新DNS防護策略
• Spam and Honeypot
• Botnet 101
臺灣資訊安全威脅介紹• ATM 提款機叫出 XP ⼯工作列
• 網路 ATM
• APT 攻擊
• 加殼轉成 rar 再加密碼
• ico 偽裝病毒
• 智慧家電 / 智慧聯網時代,萬物皆可駭
• 俄羅斯駭客服務
• DDoS
• DNS amplification attack
進階威脅防護(Advanced Threat Protection)
• hack tool 的普及
• cloud update + sandbox
• 組合式病毒
Malware的威脅防禦與軌跡追蹤
• 持續分析
• 觀察攻擊
• 分析攻擊⾏行為
• 追蹤問題檔案與來源
• 清除威脅
• 建⿊黑名單
ARP 攻擊• IP + MAC + data
• ARP table(IP + MAC)Internet
Computer A Attacker
Computer B 原本 封包[IP(C) + MAC(C)]
ARP 欺騙 封包[IP(C) + MAC(A)]Computer C
中間⼈人攻擊(Man-in-the-middle attack, MITM)
進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
• 針對特定組織所作的複雜且多⽅方位的網路攻擊
• 鎖定特定⺫⽬目標
• 假冒信件
• 低調且緩慢
• 客製化惡意元件
• 安裝遠端控制⼯工具
• 傳送情資
是⼿手機還是⾏行動⼊入侵裝置?
• QR code injection
• OWASP Top 10
• dropbox is a safety virus storage
• device = new virusStorage()
• url + SQL injection
• QR code + 亂數產⽣生器
是⼿手機還是⾏行動⼊入侵裝置?
• mobile ARP
• ssl strip
• mobile device DDoS
• android(root) -> attack -> iOS
• iOS(JB) -> attack -> android
A bash honeypot for mass deployment
• bash shell build honeypot
• live CD deployment
• use easy
• shell script 模擬 response
• deny hack common
• 提供簡單的 username password 引去 honeypot
• 換 shell, apt-get, wget
巨量攻擊浪潮下的新DNS防護策略
• DDoS and DNS
• dig ns <url>
• DNS Amplification Attacks
• dig ANY <domain>@<DNS>
• monitoring query rate
• detected pick alert
• anycast
• response policy zone
Botnet 101• 駭客⾏行動主義(hacktivism)
• 2012 up
• APT
• DDoS
• DNS
• 300G -> 20 computers
• digital attack map
Refer• HoneyCon 2014
• 深⼊入淺出Honeynet技術
• Honeypot (computing) - Wiki
• DNS 放⼤大攻擊(DNS Amplification Attacks)
• Zone Transfer CVE-1999-0532 - 古⽼老的 DNS 資安議題
• 中間⼈人攻擊
• ARP欺騙
• 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)