Ethen @ AurigaSecurity

CRO

Security Consultant

Defense / Forensic / Analysis

SOC "Tier All" Engineer

Free and Open

ethen@anotherdream.tw

現代人離不開網路

但你並不了解網路

單純上網報個稅，

你覺得駭客可以怎麼攻擊你？

流量監聽/偷餅乾

DNS污染

釣魚網站

駭客入侵/密碼外洩

Man in the middle attack

流量監聽/偷餅乾

偷個資/帳密/錢

瀏覽器0day

釣魚信件

咦，不是只要防病毒嗎？

你覺得病毒從哪來？

釣魚郵件 / 訊息 / 網站

駭客的目標

• 有價值的資訊
  （個資、你的身份、企業機密、錢）
• 勒索換錢
• 盜用計算資源
• 攻擊跳板

如果可以拿到我要的東西，不一定需要病毒

每日必做：上網

輸入網址 > DNS轉譯IP > 連往目標主機 > 發送請求 > 接收回應 > 解釋HTML > 執行JS > 畫面呈現

輸入網址 > DNS轉譯IP > 連往目標主機 > 發送請求 > 接收回應 > 解釋HTML > 執行JS > 畫面呈現

釣魚網址替換

DNS快取毒害/改寫

Man in the middle

0-day

惡意JS / XSS

Click Hijack

釣魚網址替換

https://www.cc.ntu.edu.tw/mailtips/index.html

釣魚網址替換

http://www.cellopoint.com/tw/node/311

釣魚網址替換

https://blog.trendmicro.com.tw/?p=6191

釣魚網址替換

https://blog.trendmicro.com.tw/?p=6191

釣魚網址替換

https://blog.trendmicro.com.tw/?p=6191

https://www.itc.ntnu.edu.tw/index.php/2019/12/25/antiph201912/

嗯？我的信箱沒有被入侵啊？

SMTP就像明信片，寄件者自己填

DNS

https://aws.amazon.com/tw/route53/what-is-dns/

DNS污染/偽造

https://ithelp.ithome.com.tw/articles/10193791
https://www.hack520.com/330.html

Man in the middle

https://www.thesslstore.com/blog/man-in-the-middle-attack-2/

Man in the middle

https://www.researchgate.net/figure/Illustration-of-an-Evil-Twin-Attack-The-attacker-can-successfully-lure-a-victim-into_fig5_321122614

輸入網址 > DNS轉譯IP > 連往目標主機 > 發送請求 > 接收回應 > 解釋HTML > 執行JS > 畫面呈現

釣魚網址替換

DNS快取毒害/改寫

Man in the middle

0-day

惡意JS / XSS

Click Hijack

0-day?

CVE-2010-0249

https://zhuanlan.zhihu.com/p/50610323

Buffer overflow

https://ithelp.ithome.com.tw/articles/10188599

從此之後開始了0-day的大航海時代

refer: JPG / RTF / PDF / RAR / DOC / XLS / EXE / HTML / GIF / MOV / flash icon

網頁/PDF/email可以內嵌各種不同的文件與媒體，所以就...

💀

打開什麼都可能被駭客入侵

功能強與便利性是用安全性交換的

還沒完呢

網頁的弱點

XSS - Cross-site scripting

https://zh.wikipedia.org/zh-hant/跨網站指令碼
https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html

CSRF

https://zh.wikipedia.org/zh-tw/跨站请求伪造

https://www.nixu.com/blog/things-security-auditors-will-nag-about-part-3-insufficient-csrf-protection

ClickJacking

https://blog.miniasp.com/post/2008/10/11/The-latest-cross-browser-exploit-Clickjacking

好吧我不接網路總行了

https://www.facebook.com/OSSGeekLab/posts/1202287459808539/

當然攻擊手段不只這些

只差沒連呼吸都會被駭了

還是有一些準則在

• 裝置安全

  • 保持系統更新（OS/瀏覽器/app等）

  • 定時備份

  • 使用良好的端點防禦工具

  • 工作/私人電腦分開

  • 避免使用中國貨/app/網站

  • 不要讓電腦離開你的視線/至少要上鎖

• 網路通路安全

  • 不要隨意蹭外面的網路，盡可能使用VPN

  • 盡量使用加密的協議，例如HTTPS

基本

• 外部服務準則

  • 明確清楚「你交付了些什麼資料/權限」

  • 良好的密碼管理原則 / 避免重複使用

  • 使用OTP之類密碼管理工具

  • 做好他們被入侵的準備

• 謹慎留意他人傳給你的網址/檔案

  • 分辨安全的網站（網址、憑證）

  • 分辨email是否有問題

  • 關閉預覽功能

  • 使用 VirusTotal.com 檢查你拿到的檔案是否有威脅

  • 與傳訊的人做二次確認是本人

基本

分辨安全的網站

分辨安全的網站

分辨安全的網站

https://blog.cloudmax.com.tw/chrome-ssl-policy/

分辨安全的網站

分辨email

從其他管道確認對方是不是有寄這封信

找專家幫你看

如果你就是專家，要懂得看SMTP轉送戳記 / SPF紀錄

• 瀏覽器上安裝uBlock origin / NoScript

  • NoScript用法

  • ADBlock plus / uBlock origin

  • Mozilla Focus
    

• 使用GPG（PGP協議）來加密郵件通訊
  

• 危險/不確定的東西丟到虛擬機裡

  • VirtualBox (free) 安裝教學

  • VMWare Player (free) 安裝教學
    

  • VMWare Fusion for Mac (free) 教學
    

進階

虛擬機

• 隔離你的Email / 網頁 / 收到的奇怪檔案
• 隔離有危險的應用程式（如中國製app）
• 隔離你的重要資料
• 隔離你的不同身份
• 讓老舊無法更新的舊程式可以繼續跑
• 更簡單的在Mac / Windows之間交換檔案
• 一台電腦可以擁有多種環境
• 測試環境掛了可以秒還原
• 許多惡意程式在虛擬環境下會停止執行

虛擬機先決條件

• 一台電腦當很多台跑，硬體不能太差
  • 記憶體要夠
  • 硬碟最好SSD，容量要夠
• 要知道如何自己灌OS
  • 準備好Windows / Mac的安裝檔
  • （或者有人提供現成Image）
  • Win10下載與安裝教學
  • MacOS下載與安裝教學

虛擬機的網路

理解虛擬機的三種網路

• Bridge
• NAT
• host-only

https://codertw.com/%E7%A8%8B%E5%BC%8F%E8%AA%9E%E8%A8%80/44567/

虛擬機的網路

虛擬機的隔離性

• VM Tools
• 「無痕」模式
• 目錄共享
  • Host share給VM
  • VM share給Host
• 剪貼簿複製 / 檔案拖曳
• USB / 外接裝置

虛擬機還是有被打穿的風險，但至少相對小

Q & A