先來說說2019的資安大會,與往年不一樣的地方: 首先,EDR的廠商感覺增加了不少,有些還在會議中心的入口報到處擺攤。再來就是場地的增加,除了會議中心外,今年還多了世貿一館,這三天光是為了參加議程而兩邊跑了不下十次。其三,工控的主題變多了,在21號的大會堂中,也以火車模型展示了當駭客任意變更軌道時,所造成的公共安全問題,最後一點,是學生今年多了很多,小編覺得這是好事,代表新鮮的肝…哦!不是,是年輕人越來越希望能夠了解資安,期待資訊人才能夠直接與學生接軌。 感覺今年的Cyber lab(一些現場報名的實作課程)與去年的目標不同,去年比較重技術或是如何滲透,今年比較重鑑識及軌跡分析。 另外,還多了”Blue team workshop”, 課程的主題主要是以資策會採用了以色列開發的Cyberbit range所開發的攻擊演練系統,感覺這套系統也是因應去年底出來的資安法,為了讓金融,政府單位能訓練人才及通過法令(主要應該是法令) 。可惜的是在資策會的正式課程中,每一個攻擊演練都必花費至少數個小時完成,要在資安大會中的短短兩個小時中完成目標還是略顯不足。 Cyber Lab & Blue team workshop Target ranson – 無需惡意程式的目標式勒索攻擊手法 這個課程小編覺得還不錯,題目符合實際操作,是利用Windows本來就有的工具來進行攻擊,如用Powershell進行提權,利用Pordump取得使用者的密碼,再利用使用者遠端進行檔案加密,且加密的工具是RAR,除了解密必需要使用Mimikatz外,幾乎是不用什麼特別的工具。當然最後還要伴演MIS,利用趨勢自家的EDR來去畫出駭客的軌跡,畢竟這堂課是他們開的,總是要幫自己打一下廣告吧! Cyberbit Range Blue Team演練 Part 2 – Trojan Data Leakage攻防演練 課程一開始就花了較多的時間在解釋資策會如何去找到以色列的這套攻防演練軟體Cyberbit Range,並且期待要以這套軟體加強MIS或資安相關人才的培育,另外也是符合2018年底出來的資安法,針對公務機關都要進行攻防演練。最後花了半小時在操作這套演練系統,然後半小時解說,只能說是進來看看在做什麼,但其實沒有辦法把整個流程走完,以課程安排來說有點差強人意,但企業想加強人員的訓練,這個環境到是也不錯,連結貼在下面,有興趣的可以看看。 https://cybersecurity.tisnet.com.tw/Home/CenterIntroduce 議程 使用軟體無線電進行封包重送、逆向與偽造 這個議程是趨勢科技利用研究及實作來針對工業機具常使用的無線電控制器,在針對機具進行遙控時做無線電的側錄,並且進行指令的重送,成功的控制機具。在簡報中也提到這類型的攻擊會因為軟體定義無線電,而使得攻擊所花的成本越來越低,同時也利用這項研究,再一次說明工業用的機具在早期設計時並不會考慮到資安問題,但如果機具商不從現在開始考慮,就很有可能會造成工安事件,到時候損失將難以估計。 工業控制 Testbed 與資安攻防研究 這個議程由安碁資訊主講,跟上面的議程都是在探討資安風險的,不過這個議程是在大會堂辦的,所以人數多很多,主要是利用火車模型來模擬當基礎建設遇到駭客時,如果不注意資安風險,就會發生重大工安事件。也跟大多數的攻擊相同,一開始先針對工業語法Modbus進行封包側錄,在取得了包含燈開關、進出隧道、切換軌道等資料後,在火車下一次經過軌道時,發出假的訊號來迫使軌道切換,造成火車出軌。由這個實驗也帶出工控應該如何進行防護。 潛入黑色飯店窺探駭客足跡 一開始就放了這張圖,講述一個駭客集團被稱作”DarkHotel”,起因於這個集團並不像其他集團是針對系統漏洞或是釣魚來進行滲透,而是直接入侵飯店的網路系統,而當有價值的旅客來入住時使用飯店的網路時,趁機安裝惡意程式來取得機密資料。在此份研究當中,提到DarkHotel主要針對投資,政府機構,國防工業,電子製造商和能源政策制定者進行資料竊取。…