Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短

2020 臺灣資安大會 (CYBERSEC 2020) 08/12

  • Be the first to comment

CYBERSEC 2020 臺灣資安大會 windows malware hot 5 - 短短

  1. 1. Windows Malware Hot 5 HITCON GIRLS 短短 CYBERSEC 2020 臺灣資安大會
  2. 2. 議程簡介 我會介紹 5 個 2020 年備受關注的 Windows 惡意程式和它們的近況,也 會介紹 2019 年較常使用的 techniques,是平易近人的議程唷 目標受眾 對今年 Windows 惡意程式的更新有興趣、有點資安意識的你們,如果聽 過 ATT&CK、知道惡意程式的種類更好 這個議程會講什麼? 2
  3. 3. 3
  4. 4. Disclaimer 榜單為個人看一些 vendor blog、Twitter、report 歸納出來的 全部都是個人觀感 純屬娛樂性質 不要太較真 不代表 HITCON GIRLS 立場 4
  5. 5. 短短 (Yi Chin) 曾在資安公司的分析 Team 實習一年 想要去印度理工學院當交換學生卻碰 上疫情... 於是就留在家閉關修煉了!HITCON GIRLS 讀書會成員 5
  6. 6. 今年因為新冠肺炎... 6
  7. 7. 除了資安大會延期 7
  8. 8. 沒有交換學生 8
  9. 9. 不能去國外讀研 9
  10. 10. 沒有畢旅 10
  11. 11. 11
  12. 12. 那我們開始吧! 12
  13. 13. Dridex 5 13
  14. 14. 今年 3 月激增! Ransomware 的好朋友 ● 2020 年 3 月 有幾波惡意郵件攻擊行動夾帶惡意 Excel 檔 案,利用 Macro 下載 Dridex 後,還可能繼續下載針對性 Ransomware,例如 BitPaymer、DoppelPaymer ● 近期因為 Covid-19,大家特別仰賴物流運送生活物資 ,Dridex 的釣魚主題多為 FedEx、UPS 的帳單 14
  15. 15. 今年 3 月激增! Ransomware 的好朋友 ● 2020 年 3 月 有幾波惡意郵件攻擊行動夾帶惡意 Excel 檔 案,利用 macro 下載 Dridex 後,還可能繼續幫你下載針 對性 Ransomware,例如 BitPaymer、DoppelPaymer ● 近期因為 Covid-19,大家特別仰賴物流運送生活物資 ,Dridex 的釣魚主題多為 FedEx、UPS 的帳單(invoice) 15
  16. 16. Dridex ● 第一隻野生 Dridex 出現在 2011 年,它是 Banking Trojan,會盜轉受害者網路帳戶的金錢 ● BaaS (Botnet as a service),常由多個 Botnet 組成 ● 常利用釣魚郵件誘使使用者下載惡意 Microsoft Office 文 件,再透過啟用 Macro 下載 Dridex 16
  17. 17. Dridex ● 第一隻野生 Dridex 出現在 2011 年,它是 Banking Trojan,會盜轉受害者網路帳戶的金錢 ● BaaS (Botnet as a service),常由多個 Botnet 組成 ● 常利用釣魚郵件誘使使用者下載惡意 Microsoft Office 文 件,再透過啟用 Macro 下載 Dridex 17
  18. 18. Dridex asscoiated gang - Evil Corp 18
  19. 19. Sodinokibi 4 19
  20. 20. 這是 2019 跨年發生的事情... 20
  21. 21. 英國 Travelex 用自身經驗來提醒大家 有 patch 快上的重要性 21
  22. 22. 2019 跨年 Travelex 大失血事件 ● 2019 跨年時,英國外匯交易公司 Travelex 被 Sodinokibi 感染,駭客要求 600 萬美元才會返還客戶資料。 ● 原因是有弱點的 Pulse Secure VPN servers 沒有 patch (CVE-2019-11510),這個弱點在 2019 年 4 月已經出 patch。 ● 整個服務癱瘓了幾個禮拜,最後還是付了 230 萬美元了 事 22
  23. 23. Sodinokibi (REvil) ● Sodinokibi 是 2020 上半年最囂張的勒索軟體之首 ● 擅長利用釣魚信件 、已知安全漏洞 (i.e. Oracle WebLogic Server 的 CVE-2019-2725)入侵 23
  24. 24. Sodinokibi (REvil) ● Sodinokibi 是 2020 上半年最囂張的勒索軟體之首 ● 擅長利用釣魚信件 、已知安全漏洞 (i.e. Oracle WebLogic Server 的 CVE-2019-2725)入侵 24
  25. 25. Sodinokibi (REvil) v2.2 熱騰騰! ● 2020 年 5 月,Sodinokibi 進化了,使用 Windows Restart Manager 來關掉 lock 住檔案的 process 或 service,就可 以加密本來已經被 lock 住的檔案 25
  26. 26. Agent Tesla 3 26
  27. 27. Stalker 的最愛:偷看訊息的 Agent Tesla ● 2014 年開始活躍的 .NET based Spyware / RAT / Key logger,會螢幕截圖、偷看瀏覽器紀錄、擷取剪貼簿內容等 ,可說是 stalker 的好幫手 ● 各大通路熱烈販售中 ● 最近用 Covid-19 為主題散播釣魚郵件,例如:URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST/RESULT UPDATE. 27
  28. 28. 擷取密碼寄到 自己信箱 MD5:6ef18708f51ace44e6b6c2fe7a3668ce 28
  29. 29. Agent Tesla 使用偷 Wi-Fi 密碼模組 ● 2020 年 4 月,Malwarebytes 發現 Agent Tesla 會蒐集受 害者的 Wi-Fi profile,應該也是為了散播,類似 Emotet 29source:https://blog.malwarebytes.com/threat-analysis/2020/04/new-agenttesla-variant-steals-wifi-credentials/
  30. 30. Trickbot 2 30
  31. 31. Trickbot ● 2016 年發現的模組化 Banking Trojan,會將受害者導向假 的銀行頁面以竊取身份驗證資訊,時常換目標銀行,常常 更新獲得新功能,也盜取過加密貨幣 ● 通常透過釣魚郵件散佈惡意 Microsoft Office 檔案,使用 Macro 來下載 Trickbot,也會利用 Eternal Blue 漏洞來散 播 31
  32. 32. ● 2020 年 2 月底,Malware Traffic 發現 Trickbot 以 DLL 形 式散播 Trickbot 以 DLL 形式散播 32
  33. 33. Trickbot 針對 Win 10 1. 2020 年 1 月底,MORPHISEC 發報告說 Trickbot 會根據 不同的 Windows Distribution,採取不同的 UAC bypass 方式 33
  34. 34. Trickbot 針對 Win 10 ● 2020 年 1 月底,MORPHISEC 發報告說 Trickbot 會根據 不同的 OS,採取不同的 UAC bypass 方式 34
  35. 35. Trickbot 針對 Win 10 2. 2020 年 2 月底,MORPHISEC 也發現 Trickbot 下載器 OSTAP 的 activeX 控制項使用了 Win 10 的 MsRdpClient10NotSafeForScript class 進行遠端控制 35
  36. 36. Trickbot 針對 Win 10 2. 2020 年 2 月底,MORPHISEC 也發現 Trickbot 下載器 OSTAP 的 activeX 控制項使用了 Win 10 最新的 MsRdpClient10NotSafeForScript class 進行遠端控制 36
  37. 37. Trickbot 針對 Win 10 2. 2020 年 2 月底,MORPHISEC 也發現 Trickbot 下載器 OSTAP 的 activeX 控制項使用了 Win 10 最新的 MsRdpClient10NotSafeForScript class 進行遠端控制 37source:https://blog.morphisec.com/trickbot-delivery-method-gets-a-new-upgrade-focusing-on-windows
  38. 38. Trickbot 會檢查螢幕解析度 38
  39. 39. Emotet 1 39
  40. 40. Emotet ● 2014 年發現擁有客製化模組的 Banking Trojan,現在常用 來散播其他惡意程式 ● 維持 Persistence、防止被偵測分析的技巧高明 ● 常常以釣魚郵件散播 ● 有垃圾郵件模組 40
  41. 41. Emotet 進化:透過 Wi-Fi 來散播 ● 2020 年 2 月,Emotet 被發現會蒐集附近 Wi-Fi 的 SSID、 信號強度、加密方式等,然後嘗試登入 ● 成功後,會列舉連到這個 Wi-Fi 的設備,再嘗試去猜測並 連接其他設備來散播 Emotet 41
  42. 42. Emotet 進化:透過 Wi-Fi 來散播 42source:https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
  43. 43. 43
  44. 44. 沉寂 5 個月,Emotet Qbot Duo ● 2020 年 7 月底,一波 Emotet 安裝 Qbot 的攻擊行動 44
  45. 45. 簡單介紹 TTPs 45
  46. 46. TTPs? ● Tactics - why? ● Techniques - how? ● Procedures - a sequence of actions Pyramid of Pain 46
  47. 47. Mitre ATT&CK 47
  48. 48. 聽起來有點抽象 48
  49. 49. 49
  50. 50. 12 Tactics ● TA0001 Initial Access ● TA0002 Execution ● TA0003 Persistence ● TA0004 Privilege Escalation ● TA0005 Defense Evasion ● TA0006 Credential Access ● TA0007 Discovery ● TA0008 Lateral Movement ● TA0009 Collection ● TA0011 Command and Control ● TA0010 Exfiltration ● TA0040 Impact 50
  51. 51. Collection - T1185 Man in the Browser ● Agent Tesla has the ability to use form-grabbing to extract data from web data forms. ● TrickBot uses web injects and browser redirection to trick the user into providing their login credentials on a fake or modified web page. ● Dridex can perform browser attacks via web injects to steal information such as credentials, certificates, and cookies. 51
  52. 52. Sub-techniques 52
  53. 53. .001 Credentials In Files ● TrickBot can obtain passwords stored in files from several applications such as Outlook, Filezilla, and WinSCP. ● Emotet has been observed leveraging a module that retrieves passwords stored on a system for the current logged-on user. Credential Access - T1552 Unsecured Credentials 53
  54. 54. Credential Access - T1552 Unsecured Credentials .002 Credentials in Registry ● TrickBot has retrieved PuTTY credentials by querying the SoftwareSimonTathamPuttySessions registry key. 54
  55. 55. Top 5 ATT&CK Techniques in Action for 2019 1. T1063: Security Software Discovery 2. T1027: Obfuscated Files or Information 3. T1055: Process Injection 4. T1082: System Information Discovery 5. T1057: Process Discovery Defense Evasion Dominant in Top MITRE ATT&CK Tactics of 2019 55
  56. 56. 來個總結 56
  57. 57. 1. 釣魚散播不變真理 2. a 下載 b,例如 Emotet 載 Trickbot 3. 惡意程式都很積極,更新再更新 總結 57
  58. 58. 58
  59. 59. Sodinokibi ● Ransomware Payments Up 33% As Maze and Sodinokibi Proliferate in Q1 2020 ● Changes in REvil ransomware version 2.2 Dridex ● March 2020’s Most Wanted Malware: Dridex Banking Trojan Ranks On Top Malware List For First Time Emotet ● Emotet Evolves With New Wi-Fi Spreader Reference 59
  60. 60. Trickbot ● TRICKBOT DELIVERY METHOD GETS A NEW UPGRADE FOCUSING ON WINDOWS 10 ● Trickbot Malspam Leveraging Black Lives Matter as Lure ● TRICKBOT TROJAN LEVERAGING A NEW WINDOWS 10 UAC BYPASS ● TrickBot malware now checks screen resolution to evade analysis Agent Tesla ● New AgentTesla variant steals WiFi credentials Reference 60
  61. 61. Reference Top Techniques of 2019 ● Defense Evasion Dominant in Top MITRE ATT&CK Tactics of 2019 Report ● Cyber Attack Trends: 2020 Mid-Year Report by Check Point 61
  62. 62. Resources Top 10 Malware Jan to June by CIS ● https://www.cisecurity.org/blog/top-10-malware-january-2020/ ● https://www.cisecurity.org/blog/top-10-malware-february-2020/ ● https://www.cisecurity.org/blog/top-10-malware-march-2020/ ● https://www.cisecurity.org/blog/top-10-malware-april-2020/ ● https://www.cisecurity.org/blog/top-10-malware-may-2020/ ● https://www.cisecurity.org/blog/top-10-malware-june-2020/ Others ● M-trends 2020 by FireEye 62
  63. 63. 議程到此結束, 希望能帶給大家一些幫助 <3 Feel free to contact me : yichinduan@gmail.com 63

×