header image

攻擊IP的反搜查

公司有防火牆或是對外服務有做Log紀錄的,應該常常都有感覺,雖然看到了攻擊者的IP,只能盲目的阻擋,卻不知道對方到底是誰,是不是就是差了點什麼? 的確,在實際的攻擊行為當中,大部份都來自於各大電信商提供的動態IP,這種今天給你用用,明天給我用用的IP位置,如果特別在防火牆上手動設定阻擋IP的條件,在某個程度上來說擋的實在是有點雞肋(原因不贅述)。 雖然不管三七二十一,只要來打的一律都擋,單靠這招殺遍天下也不是不可行,但我們能不能用一些方式來去了解攻擊者是誰,再去決定是否要進行阻擋,這樣也能增加一點自己的資安實力。 案例一:越南某公司的郵件伺服器發出攻擊 這件事發生在8/25晚上,小編正為了九月份的考試,在圖書館裡看書,就看著我的手機發出了登錄錯誤的警告信,正在我想著應該過沒多久就會發出IP封鎖信時,果然就看到了。   正好念書念到有點煩,就拿這個IP來練練手,我們就來查查這個IP到底是誰吧!     第一步,找出來源國家,結果沒想到是從越南來的。     第二步,來看看能否做DNS反解到網域,結果還真的有回應,我們得到了一個郵件伺服器的位置。     利用網域正解再來查一次,確定我沒有被瞎唬弄。     第三步,來看一下網站吧!     有中文的網頁,看來是一家有規模的公司。   小編是很想發信去問,為什麼來測試我的站台,難道是想轉職,幫我做弱掃嗎?但信最後當然是沒有發,因為大概連他們自己網管也不知道,他們的郵件伺服務器被拿來當跳板了吧! 但這個案例很明確的證明一件事,這種IP的類型屬於固定IP (BJ4),二話不說就可以直接擋了。     案例二:來自美國的黑IP   這個案例是發生在8/26,這次的暴力密碼攻擊發生在我的郵件伺服器上。       第一步,跟上一案例一樣,繼續找出攻擊IP來源國家,這次發現是從美國來的。     第二步,這次DNS也有反解到網域,才在想說運氣怎麼會這麼好……     正解DNS果然就出問題了,不論次網域或主網域都找不到東西。     第三步,用google 搜尋該網域,結果在Block List的網站上對應到這個位置,顯然是已經被人通報過很多次了。     如果懶得用我上面的指令來查資訊的,這邊也可以幫你查IP的資訊  …

2018 台灣駭客年會 HITCON #14

今年的HITCON在南港展覽館舉行,有的人可能知道,HITCON有別於今年初(3/13)在台北辦的”2018 臺灣資安大會”,歷年來HITCON都是要收費的,我說的不是200、300的那一種,以規模來說,也不及資安大會來的盛大,但每年辦的時候,門票還是常常搶不到,這當中的差別究竟在哪? 從我的觀點來看,HITCON的成員大多是學生及社群單位,演講的主題也較多與技術有關,聚焦的不是產品,而是這些講者的經驗及能力,換而言之,在資安大會來演講的都是產品、公司的高層或政府單位,但在HITCON演講的有一半都還是學生。 所以總結如下:如果你想跟著大家在市場上找目前的趨勢,你應該去”2018 臺灣資安大會”;如果你想學技術,你應該到”HITCON”來。 說回到活動,這兩天我都在會場中不斷的穿梭,有聽到小編頻頻點頭的,也有聽到目瞪口呆的,還有的是鴨子聽雷的,尤其是聽到用Python來做沙箱分析的,而那位仁兄還只是個學生,我就只能感嘆自己沒有那種才智,只好去客戶那打打嘴砲吧!順便分享我這兩天聽到的內容。   The rise of Middle East – Blue vs Red 一個外國人的演講,服務於”FireEye”,小編自認英語很差,只能理解片段,大致上是在說明這幾年FireEye在做的事,以及介紹他們的Group,包含這些Group所做的研究,有興趣的可以去他們官網看看。 https://www.fireeye.com/current-threats/apt-groups.html   HITCON 101 – 應用密碼學入門 不要懷疑,他真的是在講密碼學,從古代密碼學講到現代密碼學,講的有點快,但我還算能理解,有些古代密碼學,現在的暗網有時候也還會用到。   交易所的攻與防 演講者是來自於”幣託”的CTO,主要是在說明幣託在提供虛擬貨幣交易平台的這些時間來,有遇到過的詐騙案例進行分享,受騙者甚至也有現役軍人、醫生、學生、社會新鮮人等,除此之外,也談到幣託如何在遇到詐騙手法不段出新之際,也不斷加強查驗方式.甚至利用大數據來進行異常行為分析。 說到激動之處,講者也不斷跟大家說,不是你去跟檢察官說你”不是故意”的,就不會有刑責,重點是「你去應徵的時候,人家叫你拿著身份證拍照,還叫你照著台詞說話,你都不會起疑的嗎?一點警覺性都沒有,被人騙了那我能說什麼?」   從商用SIEM高危漏洞來科普密碼學應用 這個講者就真的高端了,”CVE-2018-7279”就是他本人挖掘並提交出來的,這個講者在這幾年研究PHP”代碼審計(Code audit)”,也就是專門找出程式當中的漏洞並開採,在CVE-2018-7279這個案例中,主角就是”AlienVault”,而當中的” OSSIM/USM”就是SIEM系統,在小編這個記憶力不好的腦袋裡,台灣好像比較少在用這套SIEM。 演講者在當中詳細的說明程式邏輯有錯誤的地方,且說明如何驗證,當中還發生了小插曲,當主持人提問到「國外有一個人,因為在演講時也說到別人公司,演講完後,在廁所就被人拿刀刺了,你會不會害怕這種事?」,講者停了大概5秒鐘回答,「這家是一個非常優質的公司,程式也寫的相當的好」,引起台下哄堂大笑。 至於漏洞的部份,官網也做出了聲明及提供Hotfix的升級,詳情請參閱下面的網址:https://www.alienvault.com/forums/discussion/17155/alienvault-v5-5-1-hotfix-important-update   ZeroDay 發表會 ZeroDay是台灣HITCON發啟的一個正向循環的活動,這些散布在全灣的白帽駭客,會利用自己多餘的時間去對企業網站做漏洞測試,當網站有問題時就會通報給該企業,建議進行修補。這其實就像是國外的CVE網站一樣,只是針對的目標不是產品而是企業網站。 其實小編覺得這個出發點是好的,但這個計畫在剛開始施行時,也遇到企業不買單的狀況,在通報時,會有企業認為是要來要錢的、有問是不是要偷資料的,還有的直接就回罵要告HITCON的,所以如果各位朋友有遇過HITCON跟各位大大通報的,請心存善心吧!至少還有人願意告訴您網站有風險,不然真的等企業個資被盜、網站被綁架時,就來不及了。 https://zeroday.hitcon.org/   how we use 0-day to cheat all disassemblers…

Citrix WAF – 如何調整Signature

Citrix 的WAF本身具有Signature的資料庫,這個資料庫的來源是來自於”Snort”(有很耳熟的感覺嗎?)。一般在建置WAF時,工程師都會說”先開啟自動學習功能讓他跑一陣子”,但學習完後加入到阻擋規則就代表可以高枕無憂了嗎?是不是感覺好像還缺點什麼! WAF自動學習的目的在於如何貼近網站實際的情況並且期望達到有效的防護,但除了學習之外,還有另外一個功能也是不能忽略的,那就是Signature了。 本編對於Signature的定義很簡單,”即為明確的漏洞並應做為預設的防護標的”。 上面這句話的意思是,Signature是由實際的攻擊手法演變而成的防護方式,既然有跡可詢,程式人員在開發時,本就應該針對這種可被用來攻擊的語法使用方式進行規避,因為你使用了與Signature相同的語法,就代表著別人也能用相同的語法來攻擊你的網站,也許不一定能取得到有用的資料,但這個風險就一直存在著。 但一個網站成立許久,歷經了多少次的改版,可能前前後後有多少網頁開發人員的心血在裡面,也不可能每個人都懂網頁的攻擊手法(總是也要給我們一口飯吃嘛!),那難免就有些語法無可避免的會與Signature相同了。 本編今天寫這篇文章的用意就是當網站與Signature相同時,要如何在最大限度的開啟防護同時,又不能擋住現有服務的運作。   在接下來的說明中,有一些會涉及到細部的操作,我不會特別說明,畢竟這篇內容並不是在教操作,主要是說明如何調整Signature。在這裡我模擬的情境是,當Signature套用時,其中一條剛好與網頁開發人員在用的方式相同,也就使得網頁無法正常運作,因此我需要單獨將這一條Signature關閉。   設定並套用Signature 要調整Signature,當然第一步要先有啟用才能調整啊! 所以在這裡要先客製一份專門給該網站用的Signature,在這裡我是把所有資料庫有的Signature都開啟並套用了。原則上,Signature的開啟是需要與網頁開發人員討論的,針對有用到的語言套用防護即可。   進行網站測試 開啟網頁並輸入了URL,使用者反應某些網頁開啟會出現Block網頁。(這裡看到了我打的這一連串網址,有沒有人猜到我要使用什麼漏洞啊!) 我們到了Citrix的Log來找答案,看是哪條規則阻擋了連線。 將Log放大來看,我們發現了使用者的網頁被阻擋的原因,”rule ID 20620: web-client corehttp long buffer overflow attempt” 我們來查一下”ID 20620”在說什麼,上面有說到Citrix的Signature是Snort,那在Snort的網站就可以查到相對應的Rule。 https://www.snort.org/rule_docs/1-20620 由上述說明可以清楚的了解碰到這樣的Signature會發生什麼樣的事,也說明這個Signature會影響的版本是什麼,與網頁開發人員討論,沒有使用這個系統及其版本,但要讓網頁正常的運作,因此我們要將這個Signature關閉。   調整Signature 來關閉Signature ”ID 20620”吧! 重新套用規則,來看看是否正常運作吧!   網站再測試 好啦!這個網站本來就是不存在的嘛!不要強求了,不過從這也可以看到,再次輸入一樣的字串,這次並不會被擋下來了,同樣的,我們也來看看Citrix的Log吧! 長的亂七八糟的URL。 看到反白的的字了嗎?最後執行的結果是不阻擋,這也確認了Signature是有正確的關閉了。  

GPON攻擊重現(CVE-2018-10561)

5/12下午,我家對外放出的網頁服務,第一次遭到了GPON(CVE-2018-10561)漏洞攻擊,這裡先用新聞說明一下GPON漏洞的原由。 https://www.ithome.com.tw/news/123090   看了一下截錄的封包內容,確認了是跟近期漏洞發現者使用相同的攻擊腳本無誤。下圖紅字的部份是攻擊碼,藍色的部份是我家的伺服器,沒法給大家看哦!   下圖反白處可以看到,發現者所使用的攻擊腳本與我截錄的封包內容是相同的。   我把這些相關訊息放在Facebook上給我們群的同好參考,就有人在問能否提供相關的封包做為研究,但礙於封包內有敏感資訊,所以我就想著,”我能否重現這筆攻擊?”   攻擊重現 中間的測試我就不說明了,直接講我怎麼做的吧! 第一,我利用Chrome的擴充套件將攻擊語法往我的測試機上丟。   第二,確認Paloalto有辨識並阻擋我的攻擊。(上面的紀錄是由我的設備發起的攻擊,下面是由駭客打進來的。)   第三,我打完攻擊之後,就完全沒法上網了,這跟Paloalto的另外一項自動防護功能有關,設備發現我有惡意行為就直接把我的IP給封鎖了。   沒事,解掉就好了,只是想讓各位客倌知道Paloalto的特異功能而已。   封包比對 來對一下封包吧! 從Paloalto上看,可以確認兩個Log是相同的,代表攻擊手法有被特徵碼辨識到。   從封包上看,紅色字是我想隱藏的設備IP及對外IP,藍色部份是因為我是使用Chrome來進行攻擊,所以多少還是有Chrome的表頭在裡面,最後面一行就可以看出所使用的語法是相同的,可證明GPON的攻擊重現是成功的。   結尾: 我只能重現這個語法,因為攻擊行為是直接NAT到Web Server,且在防火牆就直接被丟棄,所以不會回應相對訊息,也就沒法知道後續的攻擊行為。 我手上還有防火牆紀錄下來的其他攻擊封包,看能否有時間一一將它們解析。    

Windows 10消失的空間去哪了?

我的電腦有一天突然莫名其妙的告訴我C槽的空間不夠了,真是嚇傻我也,我印像中都把東西放在D槽啊!一打開,果然我C槽慘烈的亮出的紅色的血條,想必這就是快要GG的前兆。   網路上我找了很多關於如何釋放磁碟空間的文章,諸如用CCleaner、磁碟重整及其他找出空間被什麼吃光的文件,都不是我要的,直到找到下面這支程式。(請自行到下面的官網下載。) https://www.azofreeware.com/2007/08/treesize-free-21082.html   這程式好用的地方看下圖應該就知道了,它可以以樹狀圖的方式呈現,並且告訴你空間到底是在哪個資料夾被用光了。   抽絲撥繭後,我的空間全被這個位置吃光了,沒研究過這區塊是做什麼的,不過跟我每次系統一發生問題的當下好像有關,你可以看他每個檔案的大小,就跟我現行系統的記憶體空間相同,   話不多說,趕快來刪光光。   看,補血完成。有遇到相同問題的朋友們快去試試看吧!