訊息專區

現在攻擊者包裝惡意程式的花招百出，以往遇到 C/C++, Golang... 只要有課金都可以直接 F5，但這次竟然出現了 PHP ，還搭配商業殼加密，沒有 F5可按的我只好請出 AI 搭把手，當我的逆向小幫手！本講題分為四部分：Zend Engine 執行流程簡介加密殼的實現流程解析拆解加密殼的手法步驟著手訓練自己的 LLM 進行反編譯工作我們的鑑識小組於HITCON CMT 2023和各位分享如何解開加密殼，並訓練 AI 進行反編譯工作，讓我們更有效地理解和分析惡意軟體的行為！更多內容請見： AI 搭把手，推倒 PHP 加密源碼的高牆 | HITCON CMT 2023

恭喜代表臺灣參加 DEFCON CTF 2023 資安大賽的 TWN48 ，獲得第三名的佳績！中華資安國際是 TWN48 的贊助廠商，比賽活動現場有中華資安國際的旗幟，與有榮焉！照片來源：DEFCON CTF 臺灣團隊

第53屆於7/13~7/17盛大舉行，中華資安國際也以行動支持每一位參賽者。希望透過不斷地投注心力，協助培育出更多的優秀資安人才，讓世界更認識台灣！

專家根據紅隊檢測的經驗，提醒企業不可輕忽潛在邊界及供應鏈安全，並分享紅隊檢測實例，點出企業在資安防護上可能的盲點。「登上新聞報導的資安事件只是冰山一角，從資安業者的角度，真正發生的資安事件更多，正確妥善處理事件能夠避免擴散，產生災難性的結果」，中華資安國際檢測部經理林峰正在今年臺灣資安大會中表示。林峰正主要負責事前檢測部分，主要為紅隊檢測，他擅長從攻擊方角度，協助企業檢測防護上的弱點。在今年資安大會中，他以攻擊方的角度，分享如何看企業的邊界安全、供應鏈安全等等。他借用瑞士乳酪理論，嚴重事件的發生就像穿透每一層乳酪的孔洞，因此事件發生通常是一連串疏失導致的結果。從表面上看，通常會將事件發生的原因歸究於單一原因，但經過調查後往往會發現背後是一連串疏失導致的結果，資安事件也是如此。以發生勒索軟體攻擊為例，利用根因分析（Root Cause Analysis）發現一連串的疏失，駭客最初利用社交釣魚郵件，首先通過郵件防護偵測，在人員缺乏警覺心之下點擊信件，加上防毒軟體未能偵測攔截到變種勒索病毒，以及未做好網段主機隔離，主機在未更新下，致使攻擊擴散至各網段及服務主機，最後導致企業遭受勒索軟體加密攻擊。「解決資安事件時，我們希望將（乳酪）每一層的洞補起來，因為只要中間有一層斷開，事件就不會發生」，林峰正表示，以勒索軟體攻擊為例，即使前面幾層的防護都有疏失而未能攔下攻擊，但是網段主機如果作好隔離及更新，蠕蟲就不容易橫向移動，攻擊事件就不會發生。因此，資安事件調查，必需找出導致事件發生的多重因子，再進行多重修補。2022年中華資安在調查的上百件資安事件，惡意程式類型最多為WebShell（31%），駭客入侵手法，第1名是以對外服務的網站為主，第2名是取得有效帳號，林峰正指出，取得有效帳號在前幾年曾是入侵手法的第1名，因為受到疫情影響，不少企業使用VPN外部工作模式，從資安事件調查中發現，駭客取得有效帳號，在企業內部活動，即使降到第2名，但代表企業採用VPN遠端工作模式，難以辨別該帳號的使用者身分，需搭配身分安全保護方法，例如雙因子、裝置認證、FIDO等。林峰正表示，企業就像乳酪蓋成的城堡，邊界防禦如同一層一層的乳酪縱深防禦，上面有許多的孔洞，例如企業對外開放防火牆、開放部分服務、網站存在漏洞，內部使用弱密碼、網路隔離未落實等等，如果這些孔洞沒有被貫穿，攻擊事件就不會發生。企業作好防護的第一步是，先定義邊界，但現實的邊界可能比我們想像更廣闊，例如WFH將防禦邊界擴大到家庭的網路環境，但家用環境不會有DDoS、APT等防護機制，允許員工隨意攜帶辦公裝置、隨意插USB，造成風險大增。物聯網設備增加邊界的資安風險林峰正表示，儘管企業委託資安業者每年檢測核心系統，例如官網、交易平臺安全，但是從資安事件調查的經驗來看，很多是從意想不到地方發生，邊界系統反而是脆弱點，這些邊界系統包括雲端空間、次級系統（例如訪客登錄、打卡系統）、IoT裝置（IP Cam、印表機、電視、視訊系統）、外包系統（員工訓練、公文系統）等等。物聯網為企業帶來新的入侵攻擊面，例如駭客利用電話線及傳真號碼攻陷印表機，或是從智慧溫度計的無線介面入侵取得賭場資料庫的資料，或是利用裝置的麥克風及揚聲器，利用聲音進行數據傳輸，還有從掃地機器人監聽特定的對象等。林峰正表示，駭客可以取得物聯網裝置，找出其系統韌體中的漏洞加以驗證。他所帶領的檢測團隊就曾經研究多媒體機，發現在特殊觸控模式下可進入除錯工程模式，搭配舊版系統已知漏洞升級權限，成功入侵系統底層，任意安裝App，並取得最高權限。供應鏈從作業系統底層、韌體到App，每一層由不同開發商負責，經過系統整合後提供給消費者，如果每一層埋下後門的工程模式，整個供應鏈留下多個後門。因此，企業作管理供應商時，應要求供應商不要留下後門，不要開啟除錯模式等等，否則最後的系統整合商並不清楚存在哪些後門。另一個紅隊檢測的案例是，儘管保全人員就在一旁，仍可從櫃檯的訪客電腦入侵至內網。入侵的手法利用訪客電腦防護上的疏忽，先解鎖瀏覽器proxy、訪客模式限制，再利用另存新檔，瀏覽器功能寫入檔案，突破檔案瀏覽的封鎖，再執行命令列，進而發現公用電腦與企業內網連接，再以PowerShell或免安裝工具掃描網段，發現未設有身分驗證的檔案分享目錄，之後發現資產管理代理程式、維運用提權程式、Script，再從伺服器記憶體中取得OS密碼，成功以管理者身分登入其他內網主機的遠端桌面。「企業在安全防禦上難免會有盲點，透過檢測或駭客角度可以找出這些盲點」，林峰正說。其他類似的實體入侵手法也可用在ATM、機上娛樂系統、繳費機、門禁發卡系統、博物館導覽互動系統等等。除了有形的邊界，無形邊界也是容易被忽略的一部分，例如企業常用的Wi-Fi，因為無線網路溢波問題，駭客只要利用可攜式設備、高功率天線就可能從外部設法接取，無線AP、投影機、事務機等設備可能開放管理界面、較弱的SSID密碼保護，這些也讓駭客有可趁之機，其他無線通訊技術，如藍牙、LoRa也增加攻擊面及資料外洩管道。林峰正的團隊還曾發現，企業專門提供給訪客使用的Wi-Fi，曾有員工基於方便的原因也使用訪客Wi-Fi，該名員工為開發人員，在其電腦上架設CMS管理服務，使用預設帳號密碼，加上未修補CVE漏洞，在使用同一個訪客Wi-Fi之下，讓檢測團隊成功入侵取得企業官網的原始碼。「過去滲透測試選擇系統進行測試，不太可能測試到這樣的情境，需要從不一樣的角度去檢測」。從紅隊檢測實例看供應鏈安全風險無論企業為邊界築起的城牆有多高多厚，還是要打開城門開放進出，例如以VPN供外部員工、供應商使用，但如果供應商是豬隊友，可能為企業帶來更大的資安風險。其中軟體開發供應鏈風險不容輕忽。法務部調查局資安工作站在2020年曾發出警告，10個政府單位、4家資訊服務商受到中國駭客組織所滲透，駭客攻擊政府單位手法，利用資訊服務商的VPN特許帳號進入，或取得程式碼利用高風險漏洞進行攻擊。而從開發流程看APT攻擊手法（下圖），從過去的案例可以發現，從開發、更新、維護都可能遭受攻擊的風險，例如對開發工具加料，或是對開放原始碼加料，加入挖礦程式，在更新網站或是下載網站掛馬，或是對開發人員釣魚發動內部攻擊等等。駭客對軟體供應鏈進行攻擊，以駭入鎖定的目標，例如2020年底發生的SolarWinds事件，就是駭入網路監控產品SolarWinds Orion平臺，在Orion植入後門程式，通過軟體更新，入侵使用Orion的企業及政府單位，此一攻擊避開美國的網路攻擊防禦系統Einstein偵測，美國國土安全部以緊急指令，要求使用單位關閉SolarWinds。林峰正也分享紅隊的檢測實例，從測試環境找到漏洞，以入侵正式環境。檢測人員先蒐集供應鏈情資，選擇從目標（受測對象）的網站開發商著手，發現該開發商將A、B、C客戶的系統測試站都設在同一個Web主機，便利用入侵系統B測試站，取得同一主機上的系統C原始碼進行分析，再利用找到的系統C零時差漏洞，入侵系統C的正式站。甚至，還有開發商將客戶的程式碼放在GitLab，由於沒有做好控管，致使程式碼曝露在外網。他建議企業做供應鏈的安全管理，應該分層、區分責任，可以參考Cloud Security的SRM（Shared Responsibility Model）模型，企業委外時應區分不同層級，以及委外的工作類型畫分責任。從近10個紅隊檢測的實例來看，不少的入侵管道和程式開發有關，因此開發的安全性相當重要。根據中華資安2022年資安檢測統計，針對約290家機關或公司，1,500個以上系統的高風險漏洞類型統計，前10大高風險漏洞統計，前3名為XSS跨站腳本攻擊、SQL Injection、權限跨越。林峰正認為，前幾大漏洞類型的變動不大，對人員進行開發訓練時，掌握這些漏洞，約可杜絕8成的漏洞風險。此外，企業可以導入安全程式開發流程（SSDLC），從需求評估、標準文件、教育訓練、作業整合落地端，確保業務可以執行，例如訂定安全程式碼的開發範例。如下圖所示，紅隊檢測可為企業界定防禦的邊界，協助評估潛在面臨的風險：然而，林峰正也直言，企業必需認識到紅隊演練有其侷限性，由於是針對系統的深度測試，因此並非做完紅隊測試，代表所有系統都是安全的。有些企業期望紅隊演練來磨練自家藍隊的實力，他認為對等的交手才能使藍隊進步，此外，紅隊演練終究是黑箱測試，可能僅能發現外部表面的問題，加上由外而內的強化，內部的問題不一定修補。還有，紅隊演練的效益會逐次下降，企業不能過分倚重紅隊檢測，應該重視資安投資的平衡性。當企業界定好防護的邊界，並縮小攻擊面，採用安全設備、建立安全架構防護措施後，林峰正認為，人員是最後一道防線，只有透過定期教育訓練、事件案例分享、社交工程、紅隊演練等方法持續提高人員的資安認知。如同一開始提到的乳酪理論，透過加強各種縱深防護避免事件發生，如漏洞管理、改善SOC監控規則、端點安全強化、流量監控、增加可視性等等。全文詳見：資安專家從紅隊演練實例剖析企業如何強化邊界、供應鏈安全 | iThome

獨家SOC+MDR 724小時主動回應惡意威脅(上圖為群益金鼎證券副總經理丘建華)金融產業向來是嚴重遭受駭客攻擊的行業之一。群益金鼎證券在保護商譽與資產前提下，引進獲得 2022 COMPUTEX Best Choice獎項肯定之中華資安國際SOC+MDR服務，強化整體資安防護力，提升市場整體競爭力。在獲取龐大經濟利益的誘因下，擁有大量客戶個資的金融產業，一直是駭客組織鎖定的攻擊目標，全球各地不時傳出金融業者遭到入侵的憾事，損失金額與商譽難以估計。為了保護公司商譽、數位資產，並符合金管會的法規要求，強化資安防護力已成為台灣金融產業的共識。群益金鼎證券在強化回應惡意威脅能力的前提下，選擇中華資安國際的SOC+MDR服務，除有助於掌握最新資安威脅狀態外，也可讓寶貴資安人力用於其他更高價值的專案上。群益金鼎證券副總經理丘建華表示，「群益金鼎證券致力為客戶提供安全無虞的交易環境，保護客戶數位資產之外，也全力降低公司的營運風險，以落實永續經營的企業理念。在台灣眾多資安服務公司中，中華資安國際是唯一可提供SOC結合MDR服務的業者，能大幅提升群益金鼎證券的整體資安防護力，強化本公司在金融市場中的整體競爭力。」駭客攻擊手法多變 引進資安服務迫在眉睫在台灣證券市場以良好服務獲得眾多用戶肯定的群益金鼎證券，長期投入整合集團金融服務，致力打造全球最佳金融科技服務平台，讓客戶能在最安全、最便捷的環境下進行交易。隨著 AI應用於金融服務領域範圍越來越廣泛，擁有系統自主研發及客製化能力的群益金鼎證券，亦將 AI技術運用於證券交易、資產管理和投資策略等領域。透過AI技術分析大量客戶資料，協助第一線業務同仁了解客戶的偏好、需求和行為模式，提供最合適的產品、服務、投資建議等。群益金鼎證券向來非常注重資安防護工作，除早已通過ISO 27001驗證外，也運用PDCA（Plan-Do-Check-Act）規範，定期執行查核與改善等作業，持續維持ISO驗證之有效性。另外，為貫徹資訊安全策略，確保所有資訊與資訊資產獲得適當保護，也參照金管會推動的金融行動方案1.0/2.0，及證券期貨業的永續發展轉型執行策略，持續強化相關規範及防護措施。然而考量到駭客攻擊手法日新月異，群益金鼎證券希望引進專業資安服務公司的協助，以便能因應日益嚴峻的資安挑戰。丘建華指出，金管會對金融產業的資安要求非常嚴謹，從資安防護制度到設備紀錄保存等，都必須符合相對應的法規要求，對資安團隊是非常沉重的壓力。另外，儘管金管會已成立 F-ISAC 平臺，但若要將威脅情資融合到資安防護機制中，也需要資安團隊投入大量人力。鑑於資安人才尋覓不易，加上公司資安團隊的工作負擔繁重，需要外部資安團隊的技術支援，在考量團隊服務能量、成功案例等因素下，群益金鼎證券最終選擇引進中華資安國際的SOC+MDR服務。五項資安服務評比A級肯定 唯一提供SOC+MDR服務行政院的資安服務廠商評鑑中，中華資安國際是唯一在五項資安服務評比中，都取得A級評鑑的業者，具備國家級資安專案建置能力與實績，可提供防禦規劃、紅隊演練、駭客攻防、資安檢測、 SOC監控、事件處理等服務。在台灣市場深受肯定的中華資安國際的SOC服務，是唯一可整合MDR雲、網、端監控的資安監控與應變服務商，具備針對新型攻擊手法提供深入完整分析的能力，並可利用MITRE ATTCK框架精確定義攻擊的手法與階段，幫助企業大幅強化資安可視性。該公司運用人工智慧與機器學習技術，自主研發多項自動化工具與預警系統，如動態沙箱檢測（Sandbox）與誘捕（Honeypot）系統等，可有效獵捕駭客攻擊手法，並透過多維度關聯分析方式，大幅提高資安預警的準確度。截至目前，中華資安國際SOC服務，已連續8年獲得行政院資安評鑑A級，並榮獲 2022 COMPUTEX Best Choice 獎項肯定。「當初評估市面上資安服務公司時，我們考量公司的規模、擅長領域等，畢竟每個產業面臨的資安挑戰不同，中華資安國際耕耘金融產業多時，深受金融用戶肯定，顯示該公司擁有非常不錯的服務能量。」丘建華解釋：「在深入了解中華資安國際服務內容後，發現該公司提供事前的威脅預警情報、事中的威脅即時告警，以及事後的威脅分析建議等，且能因應群益金鼎證券需求，提供多元威脅獵捕方案，讓本公司可有效管理各種資安警訊，讓公司資訊單位能專注於其他專案上。」SOC服務主動回應威脅 同步掌握資安事件全貌過往，群益金鼎證券資安團隊必須從不同應用系統主機、資安設備等，將資安威脅情資匯入資料庫之後，再逐一進行比對與分析，確認威脅事件之間是否有相關聯、異常或可疑威脅等，往往需要耗費大量人力與時間。現今引進中華資安國際的SOC+MDR服務後，前述繁瑣工作都可交由中華資安國際的資安專家協助處理，且能享有724小時的全天候服務。一旦發現威脅跡象，中華資安國際的 SOC服務會在第一時間自動回應，群益金鼎證券資安團隊也會同步收到相關訊息，掌握威脅事件的全貌。丘建華表示，引進中華資安國際的SOC+MDR服務後，順利提升群益金鼎證券掌握資安事件的可視性與精準度，目前群益金鼎證券系統已全面導入監控，讓全公司獲得全面性的安全防護。因應全球資安事件不斷發生，群益金鼎證券將持續投入資安防護強化工作，期盼透過與中華資安國際深入合作，導入身分鑑別、設備鑑別、信任推斷等零信任網路機制。另外，公司資安防護策略也將從被動防守逐步走向主動防禦，所以也預計引進中華資安國際的紅隊演練服務，強化在第一時間處理資安事件的能力。更多內容請見：群益金鼎證券善用中華資安國際服務強化回應惡意威脅能力 CIO Taiwan

第十屆製造業CIO論壇台北場由於產線停機造成往往高達百萬美元損失，因此製造業對設備停機的容忍度極低，也給予駭客發動攻擊的絕佳機會。中華資安國際建議為智慧製造場域建立四道防線，而引進 IEC 62443 工控安全標準更是非常重要的一環。原本屬於封閉架構的 OT 場域與 IT 環境串連之後，若沒有導入合適的資安防護機制，將成為駭客入侵製造業的最佳管道。根據中華資安國際 2022 年資安事件處理統計結果，製造業遭受攻擊比重從前一年的 23.2% 提升到 24.8%，常見威脅前三名分別為勒索（32%）、資料竊取（19%）、資料洩漏（16%）。駭客組織大量使用勒索軟體對製造業發動攻擊的主因，在於製造業對設備停機的承受力低，因為停機一小時可能造成數百萬美元損失 。此種低容忍模式，吸引駭客運用勒索軟體大舉發動攻擊，藉此獲得高額贖金。中華資安國際鑑識暨健診部經理劉叡指出，受到地緣政治影響，過去幾年臺灣遭受攻擊遠超過以往，如 2022 年裴洛西來臺期間，便有針對政府網站的 DDoS 攻擊，而同年 8 月國際駭客組織 APT 27 亦宣稱成功關閉臺灣 60,000 臺物聯網設備。世界級駭客攻擊臺灣產業的作法，通常是從滲透廠商維運電腦或利用場域潛藏對外破口著手，當入侵監控或維運主機後，再利用合法帳號或 CVE 漏洞進入 OT 場域，最後開始部署勒索病毒，透過大規模加密勒索贖金。建立四道安全防線 保護 OT 環境安全前面提到，製造業對產線停機的容忍度極低，當世界級駭客將眼光放在臺灣市場時，中華資安國際建議智慧製造場域的資安防護，應該要逐步建立四道防線。首先是啟動 OT 資安健診，了解現行工控系統潛在風險，其次則是部署 IDS 入侵偵測與 IPS 防禦系統，藉此偵測或阻擋惡意活動。第三點則是實施 OT SOC 監控，打造 724 小時的監控安全與隔離機制，藉由整合 SOC 方式強化縱深防護。最後則是導入 IEC 62443 標準，建立工控網路安全計畫。劉叡說，IEC 62443 標準是針對 OT 環境設計的資訊安全規範，涵蓋作業系統、網路、端點之安全、資安監測等四大面向，中華資安國際團隊能提供全方位的 ICS 資安強化策略，涵蓋資安事件應變（IR）、OT 顧問輔導、應變能力建置、OT 健診、OT IDS/IPS、OT SOC 等，協助製造業提升資產與場域威脅可視性、資安事件應變準備度，有效防堵惡意威脅入侵。更多內容請見：中華資安國際一站式服務 助企業落實 IEC 62443 CIO Taiwan

CVSSv3.0：8.1/10影響範圍：= 1.5.0, 1.5.40弱點摘要：某工具C2受測端與控制端之間的金鑰交換與訊息驗證加密協定存在瑕疵，導致中間人可使用由受測端執行檔擷取的參數對其連線進行攔截，並於受測端執行任意代碼。弱點細節：某C2基於橢圓曲線Diffie-Hellman金鑰交換實作中，受控端程式使用其執行檔內預設定之靜態私鑰與公鑰算得共享密鑰(shared secret)，以此取得與控制端之間的加密連線；此方案使得一中間人若取得受控端程式執行檔，該中間人可以使用執行檔內靜態參數直接算出共享密鑰，進而得以繞過其驗證機制，偽造合法加密連線資料並劫持其連線，傳送任意指令或代碼至受控端設備執行。緩解措施：建議更新至1.5.40或更新版本。參考連結：https://github.com/advisories/GHSA-8jxm-xp43-qh3q

感謝各位貴賓參與8/4中華資安國際Cybersecurity Solution Day！企業每天面對駭客攻擊，應建立持續性的資安防護與評估機制，採取對應的控制措施，依據IPDRR，建立縱深防禦，事前健診、持續監控、不間斷的防禦。本次研討會分享真實案例，將資安融入各行各業，讓資安成為你的DNA，共同創造安全數位未來的無限可能。保護您的網路：Palo Alto PA-400入侵偵測與防禦能力的深度解析Sophos新世代防火牆與端點同步聯防感謝中華電信、Palo Alto Networks Taiwan、Sophos、鉅晶國際攜手使活動圓滿成功！

中華資安國際攜手合作夥伴瑞思資訊，共推資通安全弱點通報服務。因應資通安全弱點通報系統 (Vulnerability Analysis and Notice System，VANS) 結合資訊資產管理與弱點管理，協助機關落實「資通安全管理法」之資產盤點與風險評估應辦事項，透由服務協助機關盤點資訊資產，對應NVD (National Vulnerability Database) 弱點資料庫更新之資訊，整理系統弱點上傳至資安院。旨在協助機關之弱點主動發掘、通報、修補，有效整握整體風險情勢。服務完整資訊請點此。

依循著過去所發生的資安事件，我們觀察到各重要產業常見的入侵管道，例如：合法帳號利用、公開漏洞利用、惡意郵件及附件。但網路威脅百百種且日新月異，面對未來各種資安風險時我們該如何有效應對？如何判斷哪些應該優先處理？又有哪些資安強化作為？就讓中華資安國際之專家團隊、資安解決方案，幫助您突破困境！歡迎來信諮詢，也歡迎未來至現場聆聽演講、與專家面對面交流~----------------------------------------------------------感謝邀請與談！主辦單位：台灣青年數位文化創新協會協辦單位：中央研究院資訊科技創新研究中心、資安科技研究會、中華電信