喜欢CSI-Cyber的朋友大家好 我们是ISDA(台湾资讯安全联合发展协会) 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外 我们将针对CSI-Cyber 系列里面会提到的技术作一系列的资讯安全解说 也欢迎认同我们的朋友给我们一点鼓励 到我们的ＦＢ粉丝页按个赞加分享 https://www.facebook.com/ISDA.tw/ ---------------------------废话分隔线------------------------- 图文好读版 https://www.isda.org.tw/index.php/2017/08/08/csi-cyber-s01e03/ [[撰文 Leaf] 哈罗 各位久等了~ 这集从某公司的顾问误搭上了伪装的ZoGo驾驶的车(好比台湾的Uber)，因而 遭到杀害，然後开始了一连串的警察与嫌犯的拉锯战。此次的专业名词是网 路钓鱼(Phishing)，不是这个钓鱼喔。 网路钓鱼指攻击者使用以假乱真的方式，将电子邮件、网站等等之类的方式 ，伪装的好像真的一样，诱使目标连上并盗取讯息。 FBI透过了解嫌犯的攻击手法，找出一点一滴的破绽，进而找到嫌犯的物理位 置，我们就来看看片中运用了哪些资安点： 1. 每一次入侵都会留下痕迹 骇客藉由骇入ZoGo伺服器，获得了所有乘客搭车时间及地点，然後伪装成 ZoGo的司机，好将目标骗上车。 案发後，Nelson进入伺服器查看Log讯息，找到了一封发送给每个员工的邮件 ，这个邮件伪装成政府的免费税务审查，如上一篇《看电影学资安：万事皆 可假 — NCIS S14 E20》，已经告诉大家Email所有栏位都可以伪造的了，此 篇将把重点放在如何透过PDF文件来攻击电脑。 以下小编使用Metasploit建立一个PDF档案攻击Payload。 使用adobe_pdf_embedded_exe模组，将javascript代码插入至PDF档案内，一 旦使用者点开PDF，将会在系统上执行cmd命令。 设置产出的档案名称，以及要汇入哪个PDF档案来制作。 做完就可以看到PDF内被插入cmd指令。 接下来就是轮到各位发挥想像力的时候了，将上面的代码换成更邪恶的事情 ，嘿嘿嘿… (图片出处：惊苹果委员会 猥亵香蕉) 如果你中奖的话，那大概就是把整个系统交到人家手里了，要多夸张就可以 多夸张，首先就是你的所有一举一动皆在人家眼皮下了，再来人家要对你的 电脑里的重要资料加密或删除也轻而易举，如每隔一段时间总会出来肆虐的 勒索病毒。 许多勒索病毒都是透过该手法让达成的。 推荐阅读： [1] 别乱开PDF 小心Jaff新型态变种病毒 [2] 电脑勒索病毒 付钱消灾FBI也没辙 最後讲完了攻击，那免不了要提一下防御面。 面对文件格式的木马，除了要养成良好的使用者习惯，不要随意乱开之外， 有些PDF Reader而言，是有安全设定可以设置的，除此之外更保险一点就是 ，改用一些不提供内嵌Javascript功能的PDFReader。《延伸阅读：不需漏洞 与病毒，PDF也可散播恶意程式》 2. 无法远程攻破防火墙，就从内部渗透进去 当你要从远程进入到系统内部时，一定要有一个入侵口，就像是进到房间要 有一个门让你走(废话?! XDDD) (图片出处：多啦A梦) 那要如何找到这个门呢?在Kali作业系统内就有两套软体可以做系统的漏洞扫 描，如Nessus和OpenVAS，而上述使用的Metasploit则可以拿来做漏洞利用， 那如果无法从远程入侵成功呢。 所以接下来Nelson就大胆猜测骇客是如何从内部渗透，有以下两种可能： 将带有恶意软件的随身碟扔在大厅，一旦有人好奇的点开来，并点了里头的 文件，那电脑就会被种下後门程式或感染病毒。 在路边看到地上的随身碟可别随便乱捡喔XDDD 以下开始深夜黑黑黑黑黑黑… 客资安教战科普时间（重要!!!!!必看喔XD） USB Killer 资安界里的皮卡丘，插入USB孔後，立刻把电脑电的嫑嫑的，藉由将110V的电 压加载至USB中，来破坏主机板上各个元件。 2015031318usbkiller02 (图片出处：Dark Purple) 《延伸阅读：USB随身碟炸弹更新2.0版，一插入就毁掉你的电脑》 USB Rubber Ducky 资安界里的可达鸭、黄色小鸭、橡皮鸭，透过简单的自动化脚本，模拟各种 USB接口的设备，如键盘、滑鼠、网卡，能想像一插上它所有设备都被控制的 感觉吗？！ 「USB RUBBER DUCKY」的图片搜寻结果 (图片出处：Hak5) 《延伸阅读：BadUSB的前世今生-USB RUBBER DUCKY和Teensy USB》 USB Armory 资安界里的军火刀，听名字就霸气，威力更是凶狠，如前面某一篇《看电影 学资安：IoT世代，万物皆可骇 – CSI Cyber S01E02》提到，使用简单好用 的单板电脑来骇入云霄飞车。而它就是单板电脑的一种，能想像一台灌入骇 客系统的电脑跟你的电脑连接上的後果吗？！ 「USBArmory」的图片搜寻结果 (图片出处：InversePath) 《延伸阅读：使用恶意USB设备解锁任意锁屏状态Windows、Mac》 将一台建好无线热点的无线路由器伪装成包裹，寄放在前台的接待人员那， 只要有人在连网时不小心连上了，所有网路流量皆会流过路由器。这样一来 ，受害者所有与网路相关的动作，将暴露在骇客眼里。 当然无线路由器设置的热点名称，是要有技巧的，必须设置为大家有可能连 接的，如果只是单纯设置为XXX_FreeWifi，那要等有人连接不知道要等到民 国几年，所以应该与公司内部架设的Wifi同名称，只要手机曾经连过，就会 自动连接。 注：小弟今年有幸参与的Wifi安全研究专案，投稿了Honeycon 2017，也有类 似的实验内容。 《延伸阅读：用Wifi钓鱼窃取你的所有隐私》 画面中发现公司内部所有路由器中，有台路由器在VPN Tunnel栏位显示 Active，这就代表网路封包除了会流过该台路由器外，还会被导到公司外部 的VPN Server，也就是骇客架的啦！ 中文翻得似乎有点问题，看不出该地址跟其他路由器有何不同，啊我的眼睛 业障重啊！ (图片出处：海涛法师) 3. 带了手机所以被抓了 想到定位，就想到了GPS、Wifi，但别以为关掉了这些，就暴露不出你的行踪 ，只要手机有讯号，就会跟基地台产生通讯。 所以想要人间消失个几天，就把手机丢掉就是了(误XDDD)。 基地台透过接收每只手机的IMEI(国际识别码)，来识别手机身分。只要手机 输入「*#06#」，就可以查询到IMEI罗，当人间消失了几天玩过瘾了，就可以 透过基地台追踪IMEI把手机找回来。 影片最後，警方就是透过这种方式逮到嫌犯。 面对骇客各种钓鱼及社交工程手法，就算有传说中的防毒软体、防恶意程式 、邮件防护…各种防，也常常听到有人遇害。 Chrome、PDFReader还是Gmail或是其他软体，已经有许多安全机制，建议使 用者不该做那个不该做这个，但事情的发生往往在於使用者轻忽警告讯息， 有的是故意的，明知道有危险就依然要做；有的是粗心大意，手速太快，没 看到讯息写啥就点了下去。 (图片出处：风林火山) 最後还是要提醒大家，不要因为装了防毒软体就认为绝对没问题的，防毒软 体、防火墙之类的安全软体只是最後一道防线，在防线外除了要保持良好的 资安意识，最好再多了解一点资安基本常识，这样就能减少中毒机率。 我们是ISDA(台湾资讯安全联合发展协会) 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外 我们将针对 影集里面会提到的技术作一系列的资讯安全解说 欢迎认同我们的朋友给我们一点鼓励 到我们的FB粉丝页按个赞加分享 https://www.facebook.com/ISDA.tw/ 有任何活动相关讯息，我们也会第一时间张贴在ISDA粉丝团喔 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.36.165.125 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1502297589.A.38D.html