資安健診基礎訓練課程 - 使用者電腦與組態設定安全檢測

1.0 前言
為什麼要做使用者電腦安全檢測?
架站懶人包不更新= 被入侵懶人包

1.1 課程目標

• 抽測：檢測可能最不安全的
• 普測：盡可能全面檢測
• 練習方向
  • 連接埠掃描(Port Scan)
  • 弱點掃描(VA)
  • 本機惡意程式檢測
  • 確認主機及軟體更新狀況

1.2 基礎概念
從法規面、契約面與實務面了解相關規範、內容與效果。

共同供應契約資通安全服務品項採購規範

• 使用者端電腦惡意活動檢視
  • 使用者端電腦惡意程式或檔案檢視: 檢視項目包含活動中與潛藏惡意程式、駭客工具程式及異常帳號與群組
  • 使用者電腦更新檢視: Microsoft 作業系統更新、應用程式之安全性更新、終止支援之作業系統或軟體、防毒軟體更新及定期掃描

1.3 基礎工具

• 使用者電腦弱點掃描流程(網路檢測)

  • Nmap
  • Nessus Essentials
  • GVM

• 常見弱點驗證

  • SSL 64-bit Block Size Cipher Suites Supported (SWEET32):
    • nmap -script ssl-enum-ciphers -p port IP
  • Anonymous FTP Enabled:
    • nmap -script ftp-anon -p port IP
  • Terminal Services Doesn't Use Network Level Authentication (NLA) Only
    • nmap -p 3389 --script rdp-enum-encryption IP

• 本機基礎自我檢測流程

  • Windows 內建程式或指令
    • net user (檢視目前存在帳號)
    • net localgroup administrators
    • netstat
  • Autoruns
  • Process Explorer
  • TCPView
  • Microsoft 安全性合規性工具組(LGPO)
  • 較常發現惡意程式的目錄位置

 ● C:\Users
 ● C:\Users\%UserName%
 ● C:\Users\%UserName%\AppData
 ● C:\Users\%UserName%\Local\Temp
 ● C:\Users\%UserName%\Downloads
 ● C:\ProgramData
 ● C:\Windows
 ● C:\Windows\Temp
 ● C:\Windows\System32
 ● C:\Windows\System32\drivers
 ● C:\Windows\SysWOW64
 ● C:\Windows\SysWOW64\drivers

1.4 電腦更新檢測

● 作業系統版本檢視
● 防毒軟體版本檢視
● 瀏覽器版本檢視
● Java版本檢視
● Adobe reader版本檢視
● 終止支援軟體檢視

參考資料

● 教育體系資安檢核GCB 導入案例分享(臺大)
● Microsoft Security Baselines Blog
● 惡意程式資料庫
● Hybrid Analysis(線上沙箱)
● Any.run(線上沙箱)

SOP Update -> 武器庫

經過了三天的專業課程我將重點寫下來，沒有詳細介紹可能不太容易參悟。這裡再做一次小結，我把重點整理出來，變成更完整的參考文件主打一個隨插即用的概念。

接下來的文章進入到今年的5月，我回到HTP繼續找靶機練習然後在Hitcon上面閒逛，接著準備暑假培訓課程的前測。我在Hitcon上收穫最多的是，前面都沒有提到的一套用於 SQLI injection 神器sqlmap，這會是下一天的內容。

法規

• 資通安全責任等級分級辦法
• 政府資安規範發展藍圖
• 教育部 113 年度對所屬公務機關及所管特定非公務機關資通安全稽核計畫
• 第 358 條
  • 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。
• 第 359 條
  • 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。
• 第 360 條
  • 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

起手式SOP

• VPN連線進入靶機網域
  • sudo openvpn --config (目標).ovpn

rhost='目標IP'

• nmap
  • nmap -F (目標IP)
  • 或 nmap -T4 (目標IP)
  • 或 mmap -p- (目標IP) --min-rate 5000
  • nmap -sV -p(目標埠,隔開) (目標IP)
    • 發現23 port: telnet (目標IP)
    • 發現21 port: ftp -v (目標IP)
    • 發現139,445 port: smbclient -L (目標IP)
    • 發現6379 port: redis-cli -h (目標IP)
• whatweb (目標IP)
• Linux:$ echo "(目標IP) xxx.htb" | sudo tee -a /etc/hosts
• ffuf掃瞄子網域名稱
  • ffuf -u http://xxx.htb -H "Host: FUZZ.xxx.htb" -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-20000.txt
  • SecLists 上次更新4年前的古老字典檔
• ls, cat flag.txt, get, cd, exit, ip addr, curl, nc, ssh, sudo -l, ln -s, su

瀏覽器外掛

這是經過這三天的研習課程之後我才學會的技能，這之後我在使用叡揚的Speed公文系統常常會有開不起來的問題。

• Cookie-Editor
• Wappalyzer - Technology profiler
• DotGit
• Shodan
• retire.js

線上工具

• CyberChef
• Google Hacking
  • site:com.tw intitle:"index of"
  • Pentest tools google hacking

線下工具

• 檢查有無加殼Exeinfo PE
• 找出程式語言Detect It Easy(DiE)
• 找出程式碼dnSpy
• PingPlotter