安全防护与维运

SOC安全防護舆維運-針對性社交工程最新手法舆案例解析宏碁電子化服務事業群安全技術舆管理處葉輝煌副理-安全技術管理處資安一部技術副理☑學歷：-台灣科技大學資訊工程所碩士☑工作經驗：☑專業認證：-動力安全資訊股份有限公司系統工程師講師簡歷-律峰科技有限公司資訊管理部副理一年代資訊科技股份有限公司製作中心系統管理主任☑專長：-惡意程式事件調查、主機入侵事件調查、IDP規劃輿管理、Linux/FreeBSD/Windows规劃舆管理、防火牆規劃舆管理、應用程式防火牆规劃輿管理、VPN規劃舆管理、防垃圾郵件☑針對性社交工程手法-資料竊取舆密碼側録實例-針對性社交工程舆鑑識實務-反鑑識社交工程實例☑最新案例解析-竊取密碼-置换防毒元件-各種工具解析針對性社交工程手法發送對象無針對性劳委會、新聞局等釣魚郵件實例(1)發送對象無針對性劳委會、新聞局等名片簿偏好般定Webmail隠藏信匣·收件匣编段重送回覆4前一封全部回夜蒋夺封随易莲里X用除移動友备列印被裂主旨：FW:現代人的相親標单粮祝郏件標明故温幽告信期智清信软慢或下款已用412MB/50CME奇件："scyu"cscyu@.tw>新增规則新增名片ha6305@twpigmacgovtwclaudedowmacgovtwYenmailclagovtw常用信医7曰副木：Yumi@,tw,littlebsar@.tw,pkchenmallgiogovtwwaitingmailgiogovtw我的信件匣「摇相]收件匣(181)删除鄄件自同!2008-07-1109105742如此相辊.zip(133.7kb)FromjjmiaujjmiaumailnckueeSubject:FW:现代人的相親標辈eSubject:FW:现代人的相親標辈現代人的相親標辈：男相女一漂亮優先!(見附件，超般搞笑)YOUAREUSINGTHENCKUWE以文字吸引收件者開敲附加7/119:05:收到主旨為「F現代人的相親標辈的信，立爽带一個「如此相親.zip收件人有陛委會、客委會编精重送回全部回质转寄|×用重點：本案例内容舆點選開敗附檔temp-Windovs回片和傅具被貌器女男相相男女强路上的方部强漂壯亮篇焉優優先先上一頁mqperfmqperfdllmpg4ds32.axmprapidllngo移至msadds32.axmsadp32.scm鍵盤側録軟體運作實況-輸出後檢視内容，發現KeyLogger的紀録檔-記録使用者所有的鍵盤活動a961129外交部智越長umDe1Num6Num6BackspaceBackspaceNum4Num4Num4BackspaceBackspaceBackspaceBackspaceBackspaceBackspaceNum6Num6BackspaceBackspaceNum4Num4BackspaceBackspaceBackspaceBackspaceNum6Num6Explorer9Tab室旁邊吃麵側録内容力-∠Vum6Num6Num6Num6Num4NumDelNumDelNumDelNumDeum69ackspace0ru8nter?8説他較想去-98HI-對話trl?au/48gjiw8rul4vu:3fm4nter?g6dj4g4q;61u0tau04iter?ruackapaceBackapaceEnter?5k4u;4ji3ru4dk3u356ru,fu6rul3w84tkeji4fm4nter?um4NumNumNumNumNumNumNumNumPgUp52釣魚郵件實例(2)☑客户觸發可疑連線，進行事件鑑識，瞭解觸發連線的來源程式192.11726180搜尋可疑之原始檔案客户A之調查-針對連線前後期間所開敗過之可疑檔案、不安全檔案(例如不明寄件者的信件夹檔)進行瞭解、菟集，业找出其關聯性重點：本案例為精心設計之釣魚郵件，内容輿發送對象均為針對性使用者於2007/8/2910:31收到陸委會邱XX所寄送出的郵件，主旨為使用者於2007/8/2910:31收到陸委會邱XX所寄送出的郵件，主旨為陸委會機密函，附檔為奥運聖火協商報告.rargov.tmmkict客户之SMTPServerTed,29-Hu200710:3153+0900Received:fromc10.tw([22])byWed,29Aug200710:38:52+0800Received:from([39])byc10g.twwithESMTP;29Aug200710:38:52+0800X-IronPort-AntiSnamFilteredtrneof0-Message-ID:<C973A9658C2B4DDCBFB4EF7E0BsmallbusinesslocalFrom:=?big5?B?s7CpZbd8IKr0q6ulvw=?=<ccs@.tw>To:<Indisclosed-Recipient:@;>Subject:=?big5?B?s7CpZbd8IL73sUuo5w=?=X-MSMail-Priority:NormalX-Mailer:MicrosoftOutlookExpress6.00.3790.3959X-MimeOLE:ProducedByMicrosoftMimeOLEV6.00.3790.4073Return-Path:ccs@mac.goy.twX-OriginalArrivalTime:29Aug200702:38:52.0546(UTC)FILETIME=[BCAB1620:01C7E9E5]採様檔案掃描/測試針對採様之可疑檔案進行掃毒確認檔案名稱病毒名稱/類型(参考Virustotal掃描結果，2007/9/2)判断可疑或異常掃描軟體比例TrojanDownloaderWinSmaBackDoor-CEP.svrBackDoor-CEP.svr-以下為各可疑程式可能有的嘗試連線動作：採様业送趣势檢查檔案名稱趨勢判讀結果(回覆日期，2007/8/30) _ mictwifg.exe mstdc.exe ☑冒用長官或是相關部會的名義，以社交工程手法寄出攻撃信☑收件者多為局長朋友，攻撃者冒用局長名義寄送釣魚郵件，降低收件者戒心☑若未做好Office更新，就會被入侵成功釣魚郵件實例(4)☑98年06月19日發生☑冒用○○部名義，發送釣魚郵件☑本案例的惡意程式，有自我保護機制，發現有偵查行為時將不動作蓿案D編辑它校脱V)我的最葉()工具①)說明国上一頁搜尋資料夹檔案類型離線檔案資料夾畫面資料夾的方式套用到所有資料夾。套用到所有資料火山重設所有資料火(K)自動搜尊润路資料夾和印表横使用簡易檔案共用(建議使用)隠藏已知榴案類型的副檔名隱藏保護的作業系統檔案(建議使用)隐藏临案和資料夾漫原成預設值(①)確定取消用漏址Da 釣魚郵件實例(5)☑某客户收到一封疑似釣魚郵件的電子郵件，因此提供給宏碁進行檢查。下午11.00下午11.00可疑程式分析(續)IESCCEDCariesSyamemaPintMonitorsLSAProvidersNetworkProvidersHKLMSOFTWAREMicaosoftWindowsCunentVexsiomRuHKCUSOFTWAREMicmsofNhtemetEkplcuerDesktoplCompHKLMSOFTWAREMicneaflAotiveSetiuplhestalpaogamfileswmwrauewmwsupogamfileslwmwouewmwsHKLMSystemlCumentContolSetServiHKLMSystemlCumentContolSetSerripoguamfileslwmwouelwmpogamfileshwmaselwmwauetoolswmwoFilenotfoundCAWINDOWSystemADaverslChanFilenotfoudCAWINDOWSSystFilenotfoundWINDOWSSystemDnFilenotfound:CAWINDOWSSystemDiversPCIDFilenotfoundWINDOWSSystemDaversPDCOProcessExplorerigfxmgrexeigf藏身於explorer.exe之下，但explorer.exe没有連線行為，反而是呼叫IEXPLORER.EXE進行連線。thnnlncomARIESCCEDAClnieISAShallEapotVessicnMicasoaftCapuatianYWindowsEoploerMinsofCopustoVMwToclrtsywmthiocstNameDesoapHandleorDLLsubstring:ofxmgr.exelSearchCancelcbrenlsNDOWSlsyst.iocale.nlspowS\esathey.nlsINDOWSlsyst.Hondl.CW/DOW\ghgDoW?'yst..uucodenlsNDOWS'yst.ADVAPBdIAdvacedNDOWSvtCRYPT32ⅢCryptoANDOWS'systCRPTIMionosotNDOWS'systGDICletmmowsltRahot1eabd-FocesEx下午1102更強大的HashDump程式☑gsecdump.exe較getHash程式更強，只要擁有administrator的權限，便可直接Dump出AD上所有帳號的Hash值C:\>"\\7\c$\DocumentsandSettings\nientzu\桌面\DC1\malware\gsecdumpgsecdumpubyJohannesGumbeljohannedump1sasecretsdumpnicrosoftwirelessconnectionsg4eeaad3b435b51404ee:de57f11cd3bdc1c620ca17891135651404ee:fc7e376dt6bdddcd84b42959143e9b51404ee:c4fcc5ba5ao6254624c507416t257736124a43a1d91a081d4b37861:9fb416194bf36399ad0dc130435651404ee:4728540a05eat70ebe77a6435651404ee:0742ae12810a70b9d78613ba9213615651404ee:85aed35a25d7d1a594bec34c94ca9d0f:e60bee91c412ede18bafde3e0dce493593b7a:5e5c08caccd845926128700663fact651404ee:43c138941723e5*7649671150ea85b51404ee:0e1d7dbed3bf243a4955dae21b6d15f7164314b90:66c9d1cbb9de125551404**:**9868*69*90408736*815651404ee:d68798330876b9abeacfb90738c5d9:52cd0852571902946aacd2t74a391181efe281b:cf78057c638d5aed51dab2a9441bb:92b7b06bb313bf666640c5a1e75e025e429m9e:1madfc5006ce615c9e9d2e1d9f625Becdf409:ebf6ad7065b508111749710d893f5d05:13fa662707;29cfe83501509c2e876e1beeefcaf1ffe89:664070a8f9dbalbd2cea484ebbedla1a5e3a0:48bcfa41a5c6ceb5f24e6d24473234718a7ee:bc69298fd0odac6ate3t43b8920c56b51404ee;fe94302acec370fe0b4940ec3beaef1bbf040493b:c22b315c040aefe0efee3518d830362b就可以抓出所有的帳號舆hash值單位全部的帳號全都露單位全部的帳號全都露此檔案解開後發現是該單位所有帳號木密碼的Hash值☑利用getHashes竊取密碼Hash值4.dat相黄(H)编辑(日)格式(O)检源(V)栽明(H)asp:500:B8BB9F51AAAA1608844D4465F9469701:CD77F84F3965137AAEC6C510D1CAst:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFEOD16AE931B73C59tgt:502:AAD3B435B51404EEAAD3B435B51404EE:E0436E7075C9A929B2A93F1BD_RY2KAD01:1001:F87951F29E8E3B33824B801C91847B63:E¹64657C37BD3DE3CCD21634FA_ V2KAD01:1002:405073214BA482BE47BE1804F4AE8760:87E7772C3CEE11E6D48E00CEA9091DB0 TV2KAD00:1117:EBB7A4CC570EDAF7B7138A67861733E0:0C1BA11BF7A2AB7B079BC80BC829_ang:1118:8495F134453C82C69CD42B84A471CFC0:FBC9057D63D809D19A7B14157D15ang:1119:49CBB252E322F732BB2773FD22582BEB:D4676EB542F454CF7C4626C03E3Fa:1120:74EC89EEACE60C009B815A8B4B00F93F:7939239A169CF325341338752029u:1121:233CE3480C7B26B73832C92FC614B7D1:DDC6B050D91F56D930541017FC7B0E21:1122:B7B390AB98F2DE0B2C5AE1F1CFB9210F:F8F5D9F282B910BBBBngnh:1123:E7F94C1B93B3DDC8B0D3662B97EBED58:7DC936C762311143CA5BB87640B902n1c:1124:754DB021D0818E77C81667E9D738C5D9:8D120F7BFDAF411D3306D924638009en:1126:3DD27BA0523E8944C2265B23734E0DAC:38C147786B246BA43F538EDFFuang:1127:22C181D54C6D6944695109AB020E401C:D591463B0F492A19D98C5403767C49Cang2:1128:6CB38F99BCA567B9A09B3648F98A0284:5DEDC9C279446D25B14ED66B1843in:1131:952F488BF4F1E729BC072032DB80553E:4F4C3D585FCOBEEEAADsieh1:1133:5940799FD52E1D231AB027A4BBC8ID4D:7ACFD9F37CA4C250BCBEA1:1136:B6FA683C3151051FC2265B23734E0DAC:7B76D0F8AFOCA586F22:1138:3AA09B7D3C1A05C436077A718CCDF409:18ACA5C336849207159D322C9ACa4:1140:9666355C7D856EFBC2265B23734E0DAC:5C6CDAF6DOB9ADAOE859AAF2DABBa5:1141:8BOCB89C2CF0888SC34DBA145F6B05AA:CSEB8F9FFDDE2891D6D69B9FBBEDa6:1142:C653450E17D66A4236077A718CCDF409:300900C8CFB8156B35CBA502CC24A979:::a8:1143:63BBD6431C8D86E436077A718CCDF409:CD642E9206DB4DBD20902SC047EE7ED9:::a9:1144:BD490D1C2596124C6C469IC0029EBE9F:DAEEBE7E3B5572DAF73F6E560B95B955:::c:1145:D828CDE679663E9D93E28745B8BF4BA6:153709FB6EBF84FA13935CACCEu1:1146;D55697D51824FA3DC9E04F959D38CCB0:4DAA871C734685C9C534177E64279F4u:1147:DOEBCB6CF3425BE609752A329383ID17:BDFB03B2158BCD75A08C016D88F019B0:1148:97CB39D23640F7C06BA2730853FC2C19:2F7C7965118D995ACB7877D54879sia:1149:F4D35F566ADFC83925AD3B83FA6627C7:AE16C8FE665013B0C0EDAFau:1151:14A07582BC299556382A5EF502CE946B;B1B80C02CBEIBEEEC9F359B07D87u:1154:8836089E4FBA2EODC2265B23734EODAC:CODF566168B87C59E49EE6FC387624Bhan:1155:8DF50C33A1163DA5695109AB020E401C:C42811B800B66EF63CBC998CA1875Diu:1157:DC401407FE9C337C2C5AE1F1CFB9210F:7722C33A8C32433AADBhiu:1159:D7515FBAAA526ADA2EAC541D19BC1646:74BA7D2270FC0FF00888C77C519670ang:1161:FA73D18703A8B0699C5014AE4718A7EE:3C12126EFCOBE3E76661D15982DANONYNOUSUSER:1166:085A478104E74FCAE31F3E471306F31B:7C3045D697843D06D8AFDEE36508C45_aw:1168:A21E98AE483CBDBA82E8A8181514656E:445AE264B5793678DCE7AC4ACBCBRV2KAD00:1169:06280222090578B8F4A5EC2279CB5887:F6FE6496CBB289D9383947E6914_RV2KAP02:1170:9F940E5892307DF3201F9975E62308CF:AA90898272E60910643DFCE6CAA_RV2KDC01:1171:0ED39A319B3D721C177D4C208C17ED49:4C030B4F2B9AF9DC63C4C637555_使用者惧后上一頁首页命名新的帳户這個名稱會出現在歡迎使用盘面和[開始]功能表·下一步(N)取消重點：本案例取得之重點：本案例取得之Hash值，也可暴力破解。暴力破解密碼難度是如此容易變更Tony變更Tony的密碼您即将寫Tony重設密碼·如果您運座做的話，Tony將失去所有EFS-加密檐案、回人憑證、储存的弱站密码或弱路育源·建立9位數密碼，以hhhh1234!為例使用者根戶7正在建立安主的密碼 密碼破解範例(續)☑利用gh.exe(GetHashes)來抓取密碼Hash值☑指令“程式名稱$Local”,ex:gh$LocalAdministrator:500:AAD3B435B51404EEAAD3B435B51404EE;31D8CFE0016AE931B7305907E0C08aries:1003:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDCCBAGuest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73HelpAssistant:1000:DC81AC92E070FF829968C4E9E3749CE8:7AAE2C53A70AAB2ADSUPPORT388945a0:1002:AADSB435BEEAADSBEEEFBFFA_Tony;1005:AAD3B435B51404EEAAD3B435B51404EE:9FA