iT邦幫忙

2

資安基礎和攻防觀念---筆記

  • 分享至 

  • xImage
  •  

零、基礎知識補充(校內相關課程知識)

一、課內筆記整理---作業系統實務(資安相關篇)💻

二、課內筆記整理---計算機網路💻

零、推薦 & 常用網站

一、Hitcon,繁體中文漏洞列表

-->攻擊介紹

image

二、Exploit database

--> 攻擊腳本(可在VM上運行)

image

三、IPinfo

--> 可以查詢目前ip

image

四、CVE 漏洞分級

--> 可以查詢不同的CEV事件與List編號搜尋

image

五、MITRE ATT&CK

--> 可以看到不同的Attack種類、階段

image

壹、資安基本知識(link 總整理)

一、Day 4 : 觀念篇 - 常見的資安攻擊類型有哪些?

二、Open Web Application Security Project( OWASP) Top 10: 2024 十大網站安全威脅

貳、三十篇資安實例分享及解析

一、資料統整(易讀版)💻

【三十篇資安實例分享及解析】 概要與延伸資料查詢 –- 案例擷取

二、相關資源網站

美國網路安全公司火眼FireEye

參、案例分析

一、司法院遭駭

(1)事件:司法院遭到駭客入侵,導致大量民眾個資、判決書、各機關資料被駭客取得,並在Telegram上公開。
(2)被攻擊單位:司法院資訊處
(3)系統:司法院網站資料庫系統
(4)時間:2023/04/03
(5)攻擊方式:SQL injection
(6)調查進度:僅回覆「資安無虞」,無該報導所指內網密碼、判決書被公開、依「資通安全事件通報及應變辦法」規定通報,之後確認受駭主機為民眾查詢機主機,且無民眾註冊帳號、沒儲存裁判書
(7)後續處理:立即採取變更密碼、設定主機防火牆規則、禁止該台主機對外連線,禁止其餘主機連入等措施,也重建新主機

1. [Postx1] 攻擊行為-SQL 資料隱碼攻擊 SQL injection

2. 網站安全🔒 一次看懂 SQL Injection 的攻擊原理 — 「雍正繼位之謎」

二、戶政資料遭駭

(1)事件:OKE在國外駭客論壇BreachForums開價兜售我國2357萬餘筆戶役政資料,導致個資外洩
(2)被攻擊單位:台灣戶政事務所
(3)系統:台灣戶政事務所資料庫系統
(4)時間:2022/10/21犯案、2023/6月底搜索
(5)攻擊方式:向境外駭客以虛擬通貨交易方式購買國人個資,並在BreachForums兜售
(6)調查進度:檢調將鄭男的電腦送交調查局資安站進行數位鑑識,確認鄭男於收購個資以後,長達8個月的期間,並無外洩相關個資,緩起訴
(7)後續處理:BreachForums論壇已被美方查抄關站。而國人的個資如何外流,是否仍有其他還未曝光的買家,檢調仍持續追查中

三、iRent資料庫暴露

(1)事件:iRent資料庫暴露及資安漏洞事件,潛在影響客戶有40.01萬人
(2)被攻擊單位:和雲行動服務公司,旗下共享汽車業務iRent
(3)系統:iRent的資料庫系統
(4)時間:2023/1/31揭露、在2月1日及2月4日分別發布聲明公告。
(5)攻擊方式:資料庫不設防的曝險導致的資料外洩

  • 資料庫的存取上,業者未適當阻擋外部連線,沒有設定密碼進行保護,且任何使用網際網路的人只要知道系統的IP位址就能存取iRent客戶資料庫。存取上存在嚴重的不安全因素。(資料庫暴露)
  • 資料庫的資料儲存上,是否有加密保護,像是欄位加密、備份檔加密、透明資料加密與永遠加密,以及加密的安全等級?
    • 上傳的身分證明文件的儲存,就只有編碼(Encode),並沒有加密(Encrypt)

(6)調查進度:在1月28日接獲通報並於一小時內完成因應,初步調查是記錄應用程式Log檔的暫存資料庫
(7)後續處理:對可能洩密當事人(消費者)通知狀況、事後處理與矯正行為、執行主機系統弱點掃描及滲透測試,針對App源碼掃描,交易過程採用SSL安全加密與加殼處理,似乎都沒有對應到這次事件的根本問題

四、LastPass密碼備份和加密金鑰已洩漏

(1)事件:LastPass母公司GoTo的資安事件,

    1. 用戶密碼備份和加密金鑰遭到竊取(駭客入侵開發環境,已經複製客戶加密密碼庫)
    1. 公司被盜走程式碼和私有技術(256位元AES加密)

(2)被攻擊單位
(3)系統:涉及多個產品,包括IT管理工具Central、遠端存取和管理軟體Pro、線上會議工具join.me、網路虛擬化和VPN服務Hamachi,以及遠端存取和管理軟體RemotelyAnywhere
(4)時間:2022年11月偵測到開發環境和第三方雲端儲存服務存在異常活動、2022/11/30在公司blog向user公布、2022年12月完成調查報告
(5)攻擊方式

  • 暴力解竊取加密資料
  • 攻擊者透過第三方雲端儲存服務,竊取用戶的密碼備份和加密金鑰
  • 包含了帳戶名稱、經處理過的密碼和多因素身分驗證配置等資料

(6)調查進度
公司進行了調查,委託資安公司Mandiant協助,發現攻擊者主要透過IT管理工具、遠端存取軟體和線上會議工具相關的第三方雲端服務進行攻擊。攻擊者已經取得加密備份使用的金鑰

警告用戶和通知執法單位,也委請資安公司Mandiant協助調查。
(7)後續處理

  1. 對所有帳戶密碼都採取加鹽和雜湊處理
  2. 重置受影響用戶的密碼或是MFA設定
  3. 將帳戶搬遷到更安全的身分管理平臺上
  4. 完全停用該環境,並且重新建立開發環境
  5. 強化開發人員機器、流程和身份驗證機制
  6. 添加額外的日誌紀錄和警示功能,以檢測未經授權的活動
  7. 官方也積極輪換所有可能受影響的憑證和證書,補充現有端點安全性。

(8)類似案例--竊取雲端資料: 三十篇資安實例分享及解析DAY 17--嫌犯利用民眾設定密碼習性,破解Google雲端竊取個資,轉走銀行存款

五、Okta客戶資料洩漏

(1)事件:Okta遭受駭客入侵事件,導致134位客戶的檔案資料被洩漏,並有5個客戶的對話資料被劫持。
(2)被攻擊單位:Okta
(3)系統:Okta的登入身分管理系統、Cloudflare系統
(4)時間:2023/09/29開始調查、2023/10/13,16鎖定被竊取服務帳戶、Cloudflare 2023/10/18被入侵
(5)攻擊方式

  • 駭客利用遭盜的憑證來存取該公司的支援案件管理系統
  • 被竊內容包含對話令牌(Session Token)的HAR(HTTP Archive)檔案

(6)調查進度

  • 調查,評估了與支援案例相關的日誌,並藉由合作夥伴提供的IP位置線索,確認了與受駭帳戶相關的額外檔案存取事件。
  • 猜測,被攻擊者竊取的服務帳戶擁有查看和更新客戶支援檔案的權限
  • 調查,安全團隊發現一名員工在Okta管理的筆電上,於Chrome瀏覽器登入了個人的Google帳號
  • 推論,可能因為員工個人Google帳戶或是裝置被盜,導致服務帳戶洩漏
  • 包含對話令牌(Session Token)的HAR(HTTP Archive)檔案

(7)後續處理

  • Okta已停用受入侵的服務帳戶。
  • 封鎖了在Chrome中登入個人Google帳戶的權限。
  • 在客戶支援系統部署了額外的監控規則。
  • Okta管理員對話Token現在可以綁定網路位置,提高安全性。

六、台達電遭駭

(1)事件:台達電疑似遭到Conti勒索軟體攻擊,有報導指出台達電的6萬5千臺電腦中有1千5百臺伺服器與1萬2千臺電腦被加密,勒索1500萬美元(約新台幣4.12億元)
(2)被攻擊單位:台達電(Delta Electronics)
(3)系統:公司網站、營運相關系統
(4)時間:2022年1月21日中毒
(5)攻擊方式:勒索病毒

  • 遭到 Conti 勒索軟體攻擊,內部網路的伺服器和電腦被加密。
  • Visibility:這些細節是由 AdvIntel“Andariel”平台發現的,該平台提供對抗性可見性。
  • The attack revealed a specific pattern.
  • Cobalt Strike:攻擊者使用 Cobalt Strike(一種流行的後利用工具)來取得受害者網路的存取權限並保持控制權。
  • Atera:固定模式----採用遠端管理代理程式(Atera 或 AnyDesk)來實現持久性。

image

Delta Conti ransom note Delta Electronics Conti 贖金票據 (BleepingComputer)

(6)調查進度

  • 2022/01/18 AdvIntel "Andariel" platform 偵測到攻擊
  • 2022/01/28 17:00,該公司網站仍無法運作

(7)後續處理

  • 台達電表示已委託趨勢科技與微軟資安團隊進行調查

(8)類似案例: Apple supplier Quanta hit with $50 million ransomware attack from REvil


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言