NO.42 | 2018.07.31
banner
title有備而來 友善列印>>
The Honeynet Project 2018 Brefings_資通安全組 徐瑋辰 副工程師



    7/6晌午甫獲指派參加Honeynet Project的簡報會議。相信很多同仁和當時的我一樣,不知道The Honeynet Project為何方神聖,且聽我娓娓道來。Honeynet Project是由一群致力於打擊惡意軟體、發現新攻擊以及開發安全工具的非營利組織,創立於1999年(網址:https://www.honeynet.org/about)。在台灣,則有2009年成立的台灣分會,由蔡一郎老師主持(網址:http://www.honeynet.org.tw/)。本次簡報由蔡老師代表Cloud Security Alliance與Taiwan Chapter歡迎各國與會者為開端,包含了許多Honeynet Project與現行趨勢的議題(時程表:https://taiwan2018.honeynet.org/schedule/briefings/),嶄新的議題及主講者演繹著世界腔調的英語,致使我有大半聽不懂的內容。實際上,許多內容需要適時地查字典或者透過下課時間和與會同仁討論才得以水落石出。
 
    誘捕網路簡介上出現了一段話「Honeypot is deception」,很好,不過什麼是deception?趕快查字典,原來是「欺騙」啊!2010年台灣分會的文章引用了孫子兵法來介紹誘捕網路。『孫子兵法計篇有云:「兵者,詭道也。故能而示之不能,用而示之不用,近而示之遠,遠而示之近。利而誘之,亂而取之,實而備之,強而避之,怒而撓之...」當此作戰方法套用於網路安全防禦使用,一個看似缺陷容易攻擊,實而具引誘功能、且能同時記錄攻擊行為的誘捕系統便應運而生。』
 
    全場聽得最清楚的部分,是來自趨勢科技Anita Hsieh所講述的IoT Army — Poking Botnets with a Honeypot,Anita提出一個Proactive Botnet觀點,以誘捕網路的技術,分析殭屍網路的Command and Control Server (命令與控制伺服器,以下簡稱 C2 Server)與殭屍節點之間的流量,主動的誘捕C2 Server將誘捕系統當作自己的殭屍網路節點,試圖透過攻擊派送與實際發動攻擊的時間差,爭取更多的防護效能。殭屍網路是由許多淪陷的機器所組成,駭客所稱的「肉雞」,用來執行C2 Server派送的攻擊,例如產生大流量造成的DDoS攻擊。我想這整個偉大的計畫,最困難的部分就在於怎麼成功的誘騙C2 Server,成功的讓自己的電腦變成一台「肉雞」。趨勢團隊分享了成為「肉雞」後觀察C2 Server進行電子郵件蒐集的行為,包含收件人、寄件人欄位以及透過關鍵字查找,進行下一步的攻擊手段等等。

    參與這一次的會議,讓我認識了新的人、增廣見聞,也得知自己有許多不足的部分。子曰:「學如逆水行舟」在資訊爆炸的時代,有這樣一個習得新知的機會,同時也看到許多致力於資訊安全領域的前輩們,雙眼炯炯有神跟你講述自己最近的研發心得,本來應Monday Blue的心,也隨之怦然,何其有幸。