HoneyCon 2013 的講題與簡報

1. 1
Splunk 資安智慧分析平台
陶靖霖 (Wisely Tao)
精誠資訊 Splunk 產品經理

2. 2
首先，複習一下 APT

3. 3
APT的特性
• 高度客製化，非常具有針對性
• 對傳統防禦機制具有欺騙性與隱蔽性
• 具有持續行為，不達目的不罷休
• 沒有終極解決方案
• 非單一產品可以應對

4. 4
APT的防禦策略
• 保密防諜，人人有責 – 資安意識訓練 (Awareness
Training)
– Human Firewall ?!
– 人永遠是弱點
– 治本的好方法
– 緩不濟急
– 越是APT目標的人越需要
– 越是個咖越困難
要一個人學會不開啟APT檔案，是非常不人道的事情。
- by 某資安專家

5. 5
APT的防禦策略
• 禦敵於國土之外 – 邊界防禦 (Edge Security)
– 既有資安產品成效有限
– 所有客戶的期待，眾家資安廠商努力的領域
– 面對APT的第一道防線，非常容易遭到針對性反制

6. 6
APT的防禦策略
• 滯敵於圯地之中 - 縱深防禦 (Defense in Depth)
– 邊界防禦失效以後的倚賴
– 攻擊是一個流程，縱深防禦的目的在切斷流程
– 也許會有損失，但可以減輕或減緩損失的發生

7. 7
成功阻止APT的前提
• 要先能發現APT攻擊
• 還要能分辨真假

8. 8

9. 9
監控與稽核
9
• 狀態管理(監控) & 變更管理(稽核)
• 目的都是為了發現異常行為

10. 10
面對APT事件，企業優先關注的是？
「點」的深入
• 攻擊路徑、方法與突破點
• 惡意程式行為與隱蔽技術
• 中繼站與攻擊來源追查
• …
「線」、「面」的掌握
• 受影響程度與範圍
• 隔離、排查與損害控制
• 災損調查與復原措施
• …

11. 11
讓專業的來！
• 組合語言、C語言、Script…
• 反組譯與逆向工程
• 脫殼技術
• Rootkit 技術
• 弱點利用與 Exploit 研究
• Shellcode
• 木馬技術與掛馬技術
• 記憶體分析
• 惡意程式知識
• 大量實戰經驗
找不到
養不起
待不住
非核心業務
還是讓專業的團隊來吧！

12. 12
可以向 Honeynet 學習
建立一個充滿弱點可控制的環境
偵測與監控異常
防止異常行為跳脫控制
分析、歸納與應用

13. 13
傳統資安管理工具的困境

14. 14
把 SIEM 當 IDS 用
把 Logger 當 DW 用

15. 15
資安是…
一場持續性的組織戰
需要數字化管理

16. 16
巨量資安資料，分析是個大工程
資安相關日誌 非資安日誌企業資安管理
防火牆日誌
入侵防禦系統日誌
防毒軟體日誌
資料庫稽核日誌
作業系統稽核日誌
應用系統稽核日誌
AD/LDAP存取日誌
VPN 存取日誌
網站存取日誌
DNS存取日誌
Proxy存取日誌
Mail存取日誌
應用系統日誌
資料庫系統日誌
系統交易日誌
設定變更日誌
追查機密外洩
個資外洩舉證
調查APT攻擊
調查系統癱瘓

17. 17
APT 帶來的「未知威脅」新挑戰
該如何對
抗「未知
的威脅」？
防禦機制
會被繞過
傳統偵測
機制無效
沒有顯著
特徵

18. 18
資安事件越來越難管理
事前
預防
事發
偵測
事後
應變
事終
回復
惡意攻擊肆虐期間
眾家資安廠商努力的目標
企業真正發現
問題的時間點
企業應該著力的投資

19. 19
資安應變團隊需要配備升級
• CSIRT ，或稱為 SOC
– 監控資安事件
– 處理資安事故
– 管理資安狀態
• 「通常」會配備 SIEM
協助管理與分析

20. 20
資安應變團隊需要配備升級
擴充性與效能
• 先天架構限制
• 事件查找耗時
• 需專家持續協助優化
資料收集與正規化
• 格式種類多變
• 一般日誌的需求
• 非結構化日誌
導入與調整
• 誤報漏報難兼顧
• 規則設計需要專業
趨勢與分析報表
• 報表產生耗時費力
• 格式缺乏調整彈性
規則導向設計
• 未涵蓋非資安日誌
• 難應對未知威脅
攻擊型態與面向的改變，傳統的SIEM已經不敷使用

21. 21
Splunk 資安智慧分析平台

22. 22
Splunk 其實不是資安產品
22
全球最佳 Big Data 創新應用公司

23. 23
但總是會跟資安扯在一起
Gartner 2013 MQ for SIEM 進入領導者象限

24. 24
使機器產生的資料可以
收集、儲存、分析、使用、呈現
並為使用者帶來商業價值

25. 25
機器資料特性與類型
25
特性
時間序列，時間順序性
純文字格式(Plain Text)
內容產生後不再修改
日誌(Log/Event)
紀錄(Record)
封包資訊
工業設備訊號
感應器資料
資料庫內的資料
效能量測指標
Message/Queue
設定檔
點擊紀錄
系統畫面
STDOUT
API 輸出

26. 26
機器資料可以拿來做什麼？
26
避險
節流
開源
日誌管理
資安稽核
法規遵循
個資法
ISO27001 / ISO20000
資安監控
資安事件分析
網站分析
App分析
使用者行為分析
商業情報分析
精準行銷
Business Insight
(CEM)用戶經驗管理
IT 與系統狀態監控
效能與資源監控
應用系統管理/監控
故障查找排除
異常問題調查
資源規劃

27. 27
Splunk 可將機器資料化為智慧應用
結合外部資料來源
即時收集
即時索引
各式各樣型態的機器資料
日誌
效能指標
交易紀錄
訊息通知
使用者行為
Metadata
Database
報表與分析
客製化
儀表板
即時監視
與告警
快速搜
尋
整合與介接
創造各式各樣應用案例

28. 28
Splunk 資安智慧分析平台

29. 29
Splunk 資安智慧的應用領域
事前
預防
事發
偵測
事後
應變
事終
回復
稽核
法規遵循 監控與告警
事件分析

30. 30
Splunk 是資安分析師的最愛
資料格式不限
搜尋功能完整強大
搜尋速度飛快
即時搜尋能力
客製搜尋表單介面
資料交叉關連分析
統計運算與預測
資料圖像化能力
內建多種報表呈現
拖放式儀表板設定
訂製操作介面
App下載擴充功能
擷取外部資料庫資料
連結Hadoop使用
擷取外部XML資料
地理資訊呈現
可撰寫客製指令
與外部程式整合

31. 31
有多種分析用 Apps
數值變化的學習與預測 檢查是否有連線到釣魚網站
檢查 IP 黑名單 與 Reputation 建立與測試資料關聯性

32. 32
有很多圖像分析工具可用

33. 33
處理各種不同類型的資料也很容易

34. 34
Cisco CSIRT 的故事

35. 35
SIEM/Logging 的歷史與挑戰
• 大量資料需要分析處理
• 為數眾多的資料類型需要收集
• 資料處理需要彈性
• 搜尋速度與報表要快
• 要能滿足資安分析師的搜尋需求

36. 36
全球佈署架構
• 25 indexers / 7 clusters
• HA, load balanced, & scalable
• Index up to 1TB/day
• 150 TB Storage

37. 37
搜尋速度令人滿意

38. 38
搜尋功能也滿足需求
• 關鍵字搜尋
• 欄位搜尋
• 正規表示式搜尋
• 資料關連
• 子查詢與 Join
• 資料加工處理
• 資料運算與統計
• 資料標記(Tag)與事件類型
(Event Type)管理
• 排版與樞紐分析

39. 39
Mac Flashback Example

40. 40
來自 Cisco CSIRT 的評語

41. 41
Honeynet 成員的分析工具
• 將所有 Honeypots,
Honeyclients, 以及分析工
具透過 HPFeeds protocol
集中到 Splunk 上
• 利用 Splunk 的 Javascript
SDK 與 d3.js lib 客製開發
一個資料呈現與分析介面
Acapulco – Building Clustered Parallel Coordinates Graphs from
HPFeeds data

42. 42
呈現不同維度資料的關聯性
以 saddr, sport, dport, daddr, url 等欄位來分析關聯性
作者也把 source code 釋出，安裝後即可使用

43. 43
中華電信以 Splunk 快篩 APT 事件
Livedump Uploading..
50%
Users
Security experts

44. 44
攻擊足跡收集的工具
階段 足跡 收集的工具
植入特製後門程式 • Run key
• Dropped files
• Suspicious process
Autoruns.exe
MFTdump.exe
PSList.exe
偷取帳號與密碼 • Hook API
• Password dump API
• NetBIOS cache dump API
Strings.exe
打包重要資料 • PDF/Word/Excel Lass access
time
MFTDump.exe
網路探勘 • Net flows
• Browser caches
Firewall Log
IECacheView
入侵其他主機 • Event log
• Remote Job
• Suspicious accounts /shares
Psloglist.exe
PsLoggedon.exe
Net user/share

45. 45
自動化採樣工具介紹
• LiveDump
– 由 中華電信研究院 資通安全研究所 開發
– 可自動收集系統資訊，簡化APT足跡收集程序
– 操作簡單方便，”阿姨”也可快速上手
– 具Silent mode，可透過AD部署

46. 46
LiveDump執行結果
• LiveDump執行結果
– 打包與壓縮所有收集的資訊

47. 47
SourceType examples
File storage structure Autorun
Network connection
Process and DLLs
RDP Log

48. 48
APT快篩概念
流感快篩：用已知的抗體偵測流感病毒的表面抗原，
再以免疫沈澱的方式呈色肉眼判讀。
APT快篩：寧可誤判也不要漏報。
Livedump 2Livedump 1
Livedump 3 Livedump 4
……………….. Livedump N

49. 49
步驟一：檢查Autorun簽章未驗證項目
host="20120918_192.168.1.3" sourcetype="autoruns" NOT "(Verified)"
從服務說明看起來是微軟的服務，應該有簽章才對

50. 50
步驟二：查看惡意程式是否有啟動
由svchost.exe啟動，PID為1004
host="20120918_192.168.1.3" sourcetype=“listdlls“ 6to4ex.dll

51. 51
步驟三：檢查是否有網路行為
UDP 123是校時用的服務
host="20120918_192.168.1.3" sourcetype=“netstat”1004

52. 52
步驟四：檢查檔案產生時間
檔案植入在2012/9/18
2012/09/18 下午 02:16 77,824 VM-XP-PRO-SP1Administor6to4ex.dll
host="20120918_192.168.1.3" sourcetype="filesinsystem32" 6to4ex.dll

53. 53
步驟五：檢查是否有同黨
檢查當天System32所產生檔案，發現多
隻相同檔案大小之dll檔，檔案結尾皆為
ex.dll

54. 54
步驟六：擴大檢查範圍
檢查Temp目錄夾後，發現temp.exe與
temp.pps兩個檔案
host="20120918_192.168.1.3" sourcetype="filesintemp" 2012/09/18

55. 55
步驟七：找出根因
檢查Prefetch，確認使用者在2012/9/18 下午2:16
執行偽裝的PPS檔「101年薪資結構調整策略說
明?spp.scr」 。

56. 56
分析6to4ex.dll找出更多特徵
產生 *ex.dll 結尾之元件
寫入 C:Document & SettingsAll Usersnetlog

57. 57
發現可用來快篩的特徵
• 產生*ex.dll之惡意元件。
Search: sourcetype = MFTDump FileName=*ex.dll
• 反轉字元的scr檔案。
Search: sourcetype=MFTdump Filename=*?*.scr
• Listen在UDP 123及1025。
Search: sourcetype = netstat AND “:123” AND “:1025”
• 具Key logger功能，檔案寫入c:Document &
SettingsAll Usersnetlog
Search: sourcetype=strings AND“netlog”AND [end]

58. 58
以新發現特徵進行全面快篩
檢驗其他主機是否有*ex.dll檔案

59. 59
結論
• 「預防」只是理想，「應變」才是現實
• 資安管理進入大數據時代
• 資安事件分析有可操作性與時效性的需求
• Splunk 可以補強傳統 SIEM 的不足

60. 60
用IT創新‧推動企業‧前進的力量
Thank You