NO.50 | 2018.12.28
banner
title有備而來 友善列印>>
Hitcon Pacific 2018_資通安全組 曾志強助理工程師



    此次有機會參加Hitcon Pacific 2018,聽了許多有趣的議程,其中包含AI如何應用在威脅偵測、北韓駭客的攻擊調查案例與關聯、工業用無線控制器的逆向與區塊鍊安全等議題,以下分享此次議程的部分內容。

AI to Boost Your Cyber Power
    第一場議程是由奧義科技的創辦人邱銘彰,提出如何偵測自身偵測不到的威脅,是資安服務廠商所面臨的問題;比起前端偵測設備所偵測到惡意流量,沒有偵測到而掉入自己邊界內部的惡意流量,以及設備如何處理擋不下來的資訊,才是評估的關鍵。
    機器學習(Machine Learning,以下簡稱ML)是能成為扭轉目前資安防護劣勢的利器,但目前ML應用在資安領域上仍有挑戰。講者將威脅偵測分成:
I. Artifact-based
有資料類型範圍,即需要有明確定義惡意活動的特徵,此類型的偵測方式是利用特徵碼辨識為基礎。
II. Context-based
類似於感測器的作用方式,紀錄所有連線、檔案產出等等的過程以供作威脅偵測。

    這兩種類型,講者認為時間與資料的關係性是在設計偵測系統上最大的難點,Artifact-based ML容易成為馬後炮模型,即根據過去的行為可偵測出惡意行為,但無法精準偵測演化後的惡意行為,這種攻防行為容易促使惡意活動不斷的演化,如下圖所示。
 
(圖片為TTC提供)

    Context-based ML的痛處如下圖所示,在個別的行為或許只有稍微異常但不太具有惡意,然而將前後關係串起,連續的行為即具有惡意,這在偵測的設計上不容易實現。

(圖片為TTC提供)
 
    而奧義科技同樣採用AI與ML技術來強化其偵測效果,但他是如何避免落入上述的陷阱呢?奧意科技提出一個獨具巧新的特色做法,他們嘗試將資料與時間脫鉤:利用AI agent技術學習人類鑑識專家是如何分析企業內惡意程式的擴散行為、發現惡意程式植入行為或持久化等駭客常見攻擊階段與手段,模仿鑑識專家找線頭的動作,在大量企業軌跡行為、系統日誌與檔案等數據下,透過專家與AI agent混和協同工作,萃取出可能的惡意行為記錄。由於這個做法嘗試將資料與時間脫鉤,避免了Context-based在需要大量樣本空間內重複嘗試的過程,同時也提取了鑑識專家對於惡意行為的特徵辨識與其判斷準則,解決利用AI偵測資安威脅時的大量試誤問題。

Blue Team 課程__CISCO Cyber Range
    由大同大學資工系包蒼龍教授講解CISCO的資安解決方案(Firepower、Splunk),並搭配案例(IoT door、DNS tunnel)講解工具的使用,查找異常的流量。

案例一、IoT door controller
該案例透過http protocol搭載控制門鎖的訊號,攻擊者利用捕捉到Controller的封包資訊 http://controller_IP:8080/20/on,透過重新訪問該URL的方式可以開啟門鎖,利用工具可以發現此封包資訊是從外部訪問。

案例二、DNS tunnel
在網路服務中DNS扮演重要的一環,DNS查詢動作是指使用者欲訪問一個URL,透過查詢Name Server(以下簡稱NS),不同的NS負責解析部分,一直到查詢到最後完整域名所對應的IP給使用者。
DNS tunnel如下圖所示,利用DNS流量作為外皮,包裝惡意流量以達到隱匿的效果,這也讓管理人員無法直接阻擋該流量(避免阻擋正常的查詢流量)。透過工具顯示,DNS tunnel與正常的DNS 查詢封包的特徵有差異,可以將兩個流量區分開,並透過nslookup查詢到真正的源頭(即Attacker_NS)。

(圖片為TTC提供)

    比較可惜的是,在這課程中並未詳細講述工具是根據何種特徵判定為異常流量,導致在這兩個案例的練習中只是在看該工具的”神奇魔法”。

Hitcon Defence 企業資安攻防大賽
    Hitcon舉辦了一場由各企業組隊對抗駭客入侵(主辦方),如右圖所示,主辦方利用DoS的方式或是特定Payload使企業隊伍的服務中斷,每組團隊必須守護自己的三樣服務,成功阻擋惡意流量並使服務存活越久獲取分數約高,比較特殊的是,比賽導入情資分享的模式,分享的隊伍會有額外加乘,以此鼓勵隊伍間分享攻擊方的情報,讓隊伍間瞭解情資分享的重要性。
 
 

(圖片為TTC提供)


備註:本篇文章第一張圖片來源為:https://hitcon.org/2018/pacific/