零、基礎知識補充(校內相關課程知識)

一、課內筆記整理---作業系統實務(資安相關篇)💻

二、課內筆記整理---計算機網路💻

零、推薦 & 常用網站

一、Hitcon，繁體中文漏洞列表

-->攻擊介紹

二、Exploit database

--> 攻擊腳本(可在VM上運行)

三、IPinfo

--> 可以查詢目前ip

四、CVE 漏洞分級

--> 可以查詢不同的CEV事件與List編號搜尋

五、MITRE ATT&CK

--> 可以看到不同的Attack種類、階段

壹、資安基本知識(link 總整理)

一、Day 4 : 觀念篇 - 常見的資安攻擊類型有哪些？

二、Open Web Application Security Project( OWASP) Top 10: 2024 十大網站安全威脅

貳、三十篇資安實例分享及解析

• 參考自iThome 2019 iT 邦幫忙鐵人賽: 三十篇資安實例分享及解析

一、資料統整(易讀版)💻

• 參考自iThome 2019 iT 邦幫忙鐵人賽: 三十篇資安實例分享及解析

【三十篇資安實例分享及解析】 概要與延伸資料查詢 –- 案例擷取

二、相關資源網站

美國網路安全公司火眼FireEye

參、案例分析

一、司法院遭駭

• 新聞來源: 遭駭客入侵！傳民眾個資＋機敏資料全曝光…司法院回應了

(1)事件：司法院遭到駭客入侵，導致大量民眾個資、判決書、各機關資料被駭客取得，並在Telegram上公開。
(2)被攻擊單位：司法院資訊處
(3)系統：司法院網站資料庫系統
(4)時間：2023/04/03
(5)攻擊方式：SQL injection
(6)調查進度：僅回覆「資安無虞」，無該報導所指內網密碼、判決書被公開、依「資通安全事件通報及應變辦法」規定通報，之後確認受駭主機為民眾查詢機主機，且無民眾註冊帳號、沒儲存裁判書
(7)後續處理：立即採取變更密碼、設定主機防火牆規則、禁止該台主機對外連線，禁止其餘主機連入等措施，也重建新主機

1. [Postx1] 攻擊行為－SQL 資料隱碼攻擊 SQL injection

2. 網站安全🔒 一次看懂 SQL Injection 的攻擊原理 — 「雍正繼位之謎」

二、戶政資料遭駭

• 新聞來源: 「OKE」兜售2357萬餘筆我國戶政個資疑流向中國 通緝中籍駭客

(1)事件：OKE在國外駭客論壇BreachForums開價兜售我國2357萬餘筆戶役政資料，導致個資外洩
(2)被攻擊單位：台灣戶政事務所
(3)系統：台灣戶政事務所資料庫系統
(4)時間：2022/10/21犯案、2023/6月底搜索
(5)攻擊方式：向境外駭客以虛擬通貨交易方式購買國人個資，並在BreachForums兜售
(6)調查進度：檢調將鄭男的電腦送交調查局資安站進行數位鑑識，確認鄭男於收購個資以後，長達8個月的期間，並無外洩相關個資，緩起訴
(7)後續處理：BreachForums論壇已被美方查抄關站。而國人的個資如何外流，是否仍有其他還未曝光的買家，檢調仍持續追查中

三、iRent資料庫暴露

• 新聞來源: iRent資料庫暴露於公開網路不設防，引發大眾關注，配置錯誤問題應受更多重視

• 科技媒體TechCrunch報導 Hotai Motor exposed thousands of iRent customer documents

• 資料庫不設防的曝險或資料外洩的事件 延伸案例 iRent資料庫因不當配置導致資料外洩或曝險，並非資安新議題，國內企業需汲取教訓避免問題一再重演

(1)事件：iRent資料庫暴露及資安漏洞事件，潛在影響客戶有40.01萬人
(2)被攻擊單位：和雲行動服務公司，旗下共享汽車業務iRent
(3)系統：iRent的資料庫系統
(4)時間：2023/1/31揭露、在2月1日及2月4日分別發布聲明公告。
(5)攻擊方式：資料庫不設防的曝險導致的資料外洩

• 資料庫的存取上，業者未適當阻擋外部連線，沒有設定密碼進行保護，且任何使用網際網路的人只要知道系統的IP位址就能存取iRent客戶資料庫。存取上存在嚴重的不安全因素。(資料庫暴露)
• 資料庫的資料儲存上，是否有加密保護，像是欄位加密、備份檔加密、透明資料加密與永遠加密，以及加密的安全等級?
  • 上傳的身分證明文件的儲存，就只有編碼（Encode），並沒有加密（Encrypt）

(6)調查進度：在1月28日接獲通報並於一小時內完成因應，初步調查是記錄應用程式Log檔的暫存資料庫
(7)後續處理：對可能洩密當事人(消費者)通知狀況、事後處理與矯正行為、執行主機系統弱點掃描及滲透測試，針對App源碼掃描，交易過程採用SSL安全加密與加殼處理，似乎都沒有對應到這次事件的根本問題

四、LastPass密碼備份和加密金鑰已洩漏

• 新聞來源: LastPass母公司GoTo證實用戶密碼備份和加密金鑰已洩漏
• 調查報告: LastPass發現駭客盜走用戶加密密碼庫

(1)事件：LastPass母公司GoTo的資安事件，

• 1. 用戶密碼備份和加密金鑰遭到竊取(駭客入侵開發環境，已經複製客戶加密密碼庫)
• 2. 公司被盜走程式碼和私有技術(256位元AES加密)

(2)被攻擊單位：
(3)系統：涉及多個產品，包括IT管理工具Central、遠端存取和管理軟體Pro、線上會議工具join.me、網路虛擬化和VPN服務Hamachi，以及遠端存取和管理軟體RemotelyAnywhere
(4)時間：2022年11月偵測到開發環境和第三方雲端儲存服務存在異常活動、2022/11/30在公司blog向user公布、2022年12月完成調查報告
(5)攻擊方式：

• 暴力解竊取加密資料
• 攻擊者透過第三方雲端儲存服務，竊取用戶的密碼備份和加密金鑰
• 包含了帳戶名稱、經處理過的密碼和多因素身分驗證配置等資料

(6)調查進度：
公司進行了調查，委託資安公司Mandiant協助，發現攻擊者主要透過IT管理工具、遠端存取軟體和線上會議工具相關的第三方雲端服務進行攻擊。攻擊者已經取得加密備份使用的金鑰

警告用戶和通知執法單位，也委請資安公司Mandiant協助調查。
(7)後續處理：

1. 對所有帳戶密碼都採取加鹽和雜湊處理
2. 重置受影響用戶的密碼或是MFA設定
3. 將帳戶搬遷到更安全的身分管理平臺上
4. 完全停用該環境，並且重新建立開發環境
5. 強化開發人員機器、流程和身份驗證機制
6. 添加額外的日誌紀錄和警示功能，以檢測未經授權的活動
7. 官方也積極輪換所有可能受影響的憑證和證書，補充現有端點安全性。

(8)類似案例--竊取雲端資料: 三十篇資安實例分享及解析DAY 17--嫌犯利用民眾設定密碼習性，破解Google雲端竊取個資，轉走銀行存款

五、Okta客戶資料洩漏

• 新聞來源: Okta對10月遭駭事件完成調查，134位客戶資料被洩漏
• Okta支援案件管理系統遭駭客入侵，股價大跌11%

(1)事件：Okta遭受駭客入侵事件，導致134位客戶的檔案資料被洩漏，並有5個客戶的對話資料被劫持。
(2)被攻擊單位：Okta
(3)系統：Okta的登入身分管理系統、Cloudflare系統
(4)時間：2023/09/29開始調查、2023/10/13,16鎖定被竊取服務帳戶、Cloudflare 2023/10/18被入侵
(5)攻擊方式：

• 駭客利用遭盜的憑證來存取該公司的支援案件管理系統
• 被竊內容包含對話令牌（Session Token）的HAR（HTTP Archive）檔案

(6)調查進度：

• 調查，評估了與支援案例相關的日誌，並藉由合作夥伴提供的IP位置線索，確認了與受駭帳戶相關的額外檔案存取事件。
• 猜測，被攻擊者竊取的服務帳戶擁有查看和更新客戶支援檔案的權限
• 調查，安全團隊發現一名員工在Okta管理的筆電上，於Chrome瀏覽器登入了個人的Google帳號
• 推論，可能因為員工個人Google帳戶或是裝置被盜，導致服務帳戶洩漏
• 包含對話令牌（Session Token）的HAR（HTTP Archive）檔案

(7)後續處理：

• Okta已停用受入侵的服務帳戶。
• 封鎖了在Chrome中登入個人Google帳戶的權限。
• 在客戶支援系統部署了額外的監控規則。
• Okta管理員對話Token現在可以綁定網路位置，提高安全性。

六、台達電遭駭

• 新聞來源: 【資安日報】2022年1月28日，台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單
• Taiwanese Apple and Tesla contractor hit by Conti ransomware
• 台達電被駭遭勒索4.1億元　估約1.35萬台電腦被加密
• Initial Access Brokers (IAB): What You Need to Know
• Log4U, Shell4Me 參考資料

(1)事件：台達電疑似遭到Conti勒索軟體攻擊，有報導指出台達電的6萬5千臺電腦中有1千5百臺伺服器與1萬2千臺電腦被加密，勒索1500萬美元（約新台幣4.12億元）
(2)被攻擊單位：台達電(Delta Electronics)
(3)系統：公司網站、營運相關系統
(4)時間：2022年1月21日中毒
(5)攻擊方式：勒索病毒

• 遭到 Conti 勒索軟體攻擊，內部網路的伺服器和電腦被加密。
• Visibility：這些細節是由 AdvIntel“Andariel”平台發現的，該平台提供對抗性可見性。
• The attack revealed a specific pattern.
• Cobalt Strike：攻擊者使用 Cobalt Strike（一種流行的後利用工具）來取得受害者網路的存取權限並保持控制權。
• Atera：固定模式----採用遠端管理代理程式（Atera 或 AnyDesk）來實現持久性。

Delta Conti ransom note Delta Electronics Conti 贖金票據 （BleepingComputer）

(6)調查進度：

• 2022/01/18 AdvIntel "Andariel" platform 偵測到攻擊
• 2022/01/28 17:00，該公司網站仍無法運作

(7)後續處理：

• 台達電表示已委託趨勢科技與微軟資安團隊進行調查

(8)類似案例: Apple supplier Quanta hit with $50 million ransomware attack from REvil