奧義智慧為獲Gartner、IDC與許多國際大獎肯定的臺灣資安公司,以專利CyCraft AI技術將端點偵測、威脅情資、數位鑑識、事件調查等資安防護全面AI自動化,進而達到24x7全天候、跨系統場域的即時監控,建立完整的聯防體系。 奧義智慧CyCraft AIR產品經美國MITRE ATT&CK權威公開評測,證實全自動與零延遲的技術優勢,透過快速且精準的AI自動通報,可解決過去企業內專家分析能量不足的痛點,並大幅降低導入資安防禦體系成本。 奧義智慧 (CyCraft) 是世界領先的臺灣 AI 資安科技公司,於日本、新加坡、美國設有子公司,以創新 AI 技術自動化資安防護,整合 EDR、CTI、TIG 並建構新一代 AI 奧義科技 資安戰情中心,獲關鍵領域企業採用,市佔率國內第一。 2021 年入選 Gartner《大中華區 AI 新創公司指南》與 IDC《Intelligence-led Cybersecurity》等報告代表性案例。
首先是做到大數據(Big Data)的端點感知(Sensor),企業內部的各式電腦裝置甚至虛擬主機都應部署有AI的感知器來察覺遭入侵的可疑徵兆(Indicator);接著是建置強大的AI分析平臺,自動化、智能化地分析可疑行為並彙整成完整案情(Storyline);最後一道防線是整合全球各種威脅情報,大幅降低資安人員的查證工作量,避免與不認識的壞人擦肩而過。 奧義智慧進一步指出,這起攻擊行動疑似利用了特定金融軟體系統的網站服務漏洞,屬於金融機構的供應鏈攻擊。 該行動的過程中,駭客首先透過漏洞取得主機控制權,進而大範圍地植入 DotNet Webshell 與後門程式,並藉此竊取受駭單位資料。
奧義科技: TIG 網路安全解決方案
所幸有幾台在調查範圍內、重要的網管電腦仍未被重灌,保留了攻擊發生當下的環境,因此我們得以透過這些樣本,著手進行更深入的調查,這個幸運的事實在鑑識時起了相當大的作用。 事實上,現在許多的勒索軟體攻擊已和當時不同,不再單純地以「勒索金錢」作為目標,而是在駭客入侵系統竊取完資料後,用以破壞放案現場、避免殘存在系統中的樣本被調查追蹤。 目前微軟已針對該漏洞推出修補更新,然而修補時使用者需同時更新 ADCS與 DC 主機,致使更新初期一度造成微軟客戶的 AD 場域驗證出現問題。 由於該漏洞影響所有裝設 ADCS 的場域,可允許攻擊者透過任意低權限的帳號偽裝成網域控制站竊取網域中全部的帳號密碼,危害程度相當重大。 除此之外,也因為電腦物件中 dNSHostName 的值仍然可以跟 AD 奧義科技 的其他物件重複,所以如果有相關應用取用此欄位,還是可能促成未知的攻擊路徑。 總結而論,證據指出這是一起帶有中方色彩的事件,並且絕對不是單純的勒索軟體攻擊,而是經過精心策畫的 APT 攻擊,對臺灣的危害與威脅也顯而易見。
調查局研判,本次的攻擊行動應為 Winnti Group 或其他與 Winnti Group 密切關聯的駭客組織所為。 除此之外,主題備用名稱 (Subject Alternative Name, SAN) 也很常見。 常見的方式是寫入 email address 或主機的 dns hostname,概念近似於身份證中的姓名。 而在 AD 使用憑證身分驗證時,此處就會寫入使用者的 UPN 或是主機的 dns hostname。 本文的原文版本於 2021 年 7 月中旬發布,我們所開發的解密工具 Prometheus Decryptor 首度對外開源分享,並且於當時受到國內外各方的關注。
奧義科技: 深入了解 Zoom 資安爭議事件!使用者該如何更安全地使用視訊通話軟體?
最先被攻擊的是那三台網管電腦和兩台的 AD 伺服器,調查開始時 AD 已被重灌,但幸好,網管電腦仍保存著完整的資訊,甚至後門程式都還連接著惡意的中繼站。 另一方面,如果攻擊者已獲得 AD FS 的主機控制權,就可以透過 .NET Reflection 竊取金鑰。 該惡意程式也有被研究人員關聯到 Solorigate APT 事件,顯見該攻擊手法的濫用程度。 2017 到 2020 年間陸陸續續有相關攻擊工具釋出,而在 2020 年 Solorigate APT 事件,研究人員便發現駭客有竊取了AD FS 的 Private Key,利用 GoldenSAML 攻擊進而存取受駭單位的雲端資訊,國外多家大型企業、政府單位都深受其害。 遺憾的是,許多場域並沒有將 FS 伺服器列為重要資產進行管理和防護,有些企業甚至無法盤點主機存在與否。
此外,本場次將延伸產品安全設計的觀念至企業整體資產保護,透過資安情境與攻擊邊界來檢視企業資安風險管理是否被有效量測,讓企業能輕鬆建構出最適當的資安防禦陣勢。 今年也是 MITRE 首次將 Linux 的攻擊技術納入測試情境,奧義智慧產品不僅成功偵測出所有 Linux 攻擊,更是以偵測類別中最高階的技術 (Technique) 類別完成偵測。 回顧過去 MITRE ATT&CK 的評測內容,2018 年時開始的第一輪測驗,模擬被認為具中國官方色彩的 APT3 組織之攻擊情境,當時共有 12 間資安廠商參與;而 2019 年進行的第二輪評測,則以 APT29 模擬攻防為題,參加評測的廠商更增加至 21 間。 APT29 是知名的俄國駭客組織,去年影響逾千組織遭駭、受害者甚至包含美國政府單位的 SolarWinds 供應鏈攻擊,也被研究人員研判為 APT29 所為。 奧義資安部落格將持續發表技術文章、資安新聞、資安事件分析等,歡迎按讚追蹤奧義智慧科技的 Facebook 粉絲專頁 ,以便獲取第一手消息!
奧義科技: 漏洞成因及利用:AES-CFB8 實作缺失
奧義智慧的 AI 自動化資安防禦解決方案,在一萬台端點以內時,可達到一分鐘告警、十分鐘鑑識、三十分鐘快速結案,協助客戶從端點到網路、結合動態更新的網路威脅情資,即時地偵測駭客攻擊行動並加以阻擋。 邱銘彰認為,可以大量分析各種客觀資訊的AI 人工智慧演算法,就是第一線資安調查與鑑識人員的救星,便打造一套資安自動化分析工具和平臺,以縮短過往仰賴資安專家所需耗費的資安分析與鑑識的時間,可以更快速協助企業進行內部的漏洞修補工作。 奧義智慧科技創辦人邱銘彰表示,奧義智慧與其他資安廠商不一樣的地方,在於其解決方案是透過機器學習、深度學習、對抗式網路等複合模型演算法,協助客戶與夥伴快速導入具人工智慧的新世代自動化分析平台。
全球局勢正值動盪不安,地緣政治亦加劇資安威脅的數量與衝擊,特別是針對關鍵基礎建設和大型企業。 以捷克為例,在 2020 年疫情最為嚴重的時期,捷克第二大的布爾諾大學醫院 (Brno University Hospital) 遭受駭客入侵,勒索病毒導致醫院被迫關閉,對當地民眾生命安全造成極大的危害。 而針對 CVE-2021–40444 漏洞,微軟官方尚未發布相關的修補程式,僅表示使用者可修改 Internet Explorer 瀏覽器的設定,依循官方公告中的方法停用 ActiveX 元件的安裝,藉此來暫時緩解此漏洞所衍生的攻擊威脅。 此外,許多程式都有應用到這項 MSHTML 元件,因此它無法被移除、也無法停用,舉例來說,這次的惡意攻擊文件便是透過控制台來觸發的。 所以,從結論而言,無論使用者平時是否有使用 IE 瀏覽器,都無法擺脫 MSHTML 元件的影響,並且仍在此漏洞威脅可能波及到的範圍之內。 奧義持續關注海內外資安最新消息,並於第一時間便已向客戶發布 CVE-2021–40444 相關的消息,關於此漏洞許多人常和我們提出的疑問便是,新聞上寫到 CVE-2021–40444 漏洞時常將其歸類為 IE 漏洞,那麼若是未使用 IE 的使用者,是否仍然會被此漏洞影響到呢?
奧義科技: 潮網搶攻MarTech商機 協助客戶掌握關鍵行銷數據
MDR 服務會蒐集端點、網路防護以及伺服器防護的資料,交叉關聯分析其中的警示和系統資訊並判斷問題的輕重緩急,進而提供完整的根源分析。 因應商業市場的快速轉變,迫使企業加速引進創新科技,現今企業大量運用行動裝置、虛擬化、雲端服務等工具,讓員工能夠隨時隨地回應市場需求,進而強化公司在產業中的競爭力。 正因如此,在駭客組織獲取龐大經濟利益的前提下,對企業發動的攻擊手法也更趨多元,如惡意程式攻擊、DDoS 攻擊、電子郵件攻擊、隱蔽攻擊等,也讓資安人員面臨不知道威脅從何而來、受害範圍為何等挑戰。 正如同上篇文章中所說,利用較為中立客觀、且有科學根據的方式,進行資安事件的鑑識, 即便奧義並未實際參與到中油事件的調查,卻亦能在資料與樣本不齊全的情況下,利用多種來源的情資,綜合分析出具有高參考價值的結論。 本篇文章中,我們提到奧義智慧透過調查局與中華電信公開的資訊,以及調查疑似遭相同攻擊的企業所取得的樣本,利用 CyCarrier 和 CyberTotal 還原犯案現場的調查過程與分析方式,並發現到主要案情中兩台 AD 伺服器 IP、三台網管電腦,以及兩個 APT 中繼站 IP。 ADCS 為微軟提供的公開金鑰基礎建設服務 奧義科技 (Public Key Infrastructure, PKI),就像網際網路資訊服務 (Internet Information Services, IIS) 一樣可以選擇性地安裝。
因應資安威脅事件增溫,驅動企業投資更多資源在資安防護上,但駭客攻擊手法持續進化,仍難有效降低惡意程式入侵的機率。 根據統計,光是台灣即因駭客攻擊而年損達8,100 億,更有77% 台灣企業因此推延數位轉型進度,而失去在市場上的競爭力。 為此,企業IT 解決方案首選代理商零壹科技,宣布正式成為奧義智慧台灣授權代理商,以創新AI 技術提供企業全自動的資安防護機制,強化對抗駭客攻擊的防護力。 本次奧義智慧科技與 Emplos、TAKTIK 成為合作夥伴,將共同致力於提升該地區的資安韌性與防護力。 Emplos 為創立於立陶宛的 IT 系統整合商,以經驗豐富的安全專家搭配創新的資安防禦產品,確保客戶獲得專業的諮詢與高品質的客戶服務;TAKTIK 總部位於捷克,同時在斯洛伐克及匈牙利設有分公司,專注於 IT 系統安全與存儲等解決方案,並對於將新興技術推向市場的方面具有豐富經歷。
奧義科技: 分析師觀點
在我們調查客戶系統的過程中,除了和中華電信公布 IoC 吻合的資料外,也發現了一些不同 HASH 和檔名(上圖紅色顯示部分),其中 C2 伺服器其實只有兩個。 也就是說,後門程式和勒索軟體是分開的,4 月底裝的是後門程式,到了要開始展開攻擊的前一天半夜,才 GPO 派送勒索軟體下去、導致隔天開機的人就中了駭客的攻擊。 在 5 月 4、5 日這之間,只要電腦一啟動、用戶一登入,並且 GPO 規則更新後,惡意程式就派送下去了,上圖可看到駭客以 奧義科技 PowerShell 寫的勒索軟體 Loader。 這次的「加油吧!勒索軟體」下篇,將針對大家關注的核心案情與攻擊方式,分享奧義研究後更完整的推論詳情。 AES-CFB8 演算法之所以會造成漏洞,主要成因在於若將每次運算中的 奧義科技 IV 都設定為 000…00,當攻擊者將明文也一樣設成 000…00,根據上方的演算法解釋,只要第一輪運算結果產生出的密文第一個 Byte 也為 0,下一輪的輸入第一個 Byte 就也會是 0。 至此,攻擊者便可在平均機率 1/256 的嘗試中,成功使用這個漏洞向 Server 驗證自己的身份。
- 此流程為Netlogon Remote Protocol 的簡易流程圖,左方為 Client — 內部機器,在此攻擊中,即代表攻擊者的位置;右方則是 Server — Domain Controller,即代表遭受攻擊的對象。
- 每當出現新型態的惡意程式、網路釣魚、APT 中繼站等可疑連線時, 傳統防禦設備以交換靜態黑名單為主的模式,往往難以做到即時的偵測與阻擋,亦缺乏針對更高層級攻擊的情資。
- 因為先前有許多在第一線資安現場的事件調查和鑑識經驗,邱銘彰深深理解到,從事第一線資安鑑識人員到底需要什麼樣的武器,才可以更有效的和駭客對抗;以及需要提供什麼樣的情資,才能作為企業進行漏洞修補和強化企業內部資安脆弱環節的參考。
- 另外,繼去年指導北一女團隊奪冠後,今年奧義智慧指導的師大附中實習生團隊也再度過關斬將進入決賽,並以如何強化車載系統資安防護為發想主軸,提出透過行為分析與多因素驗證等方式來達成駭侵行為偵測的方案,最終以亮眼的表現勇奪創意發想賽高中職組第二名。
- 零壹科技代理資安產品已有25年歷史,鑑於駭客組織對企業的攻擊手法日趨多元,代理奧義智慧的AI資安解決方案,結合零壹科技既有的資安防護產品線,為客戶提供更自動化與有效的防護,將整體資安防護能力進一步提升。
2022 年五月,研究人員發現一種 AD 提權方式,使駭客可以透過漏洞 CVE-2022–26923 提權至高權限帳號進行帳號竊取。 該 CVE 的漏洞敘述雖只提到 Active Directory Domain Services (ADDS),但實際上該漏洞的利用方式是結合了 ADDS 和 ADCS進行攻擊。 「很多人對我的個人故事感到興趣,但我真正想要讓人關注的是奧義智慧正在做的事!」奧義智慧創辦人邱銘彰這麼說著,或許使人覺得也未免太有自信了吧? 但其實邱銘彰在資安圈中無人不知無人不曉,外號 Birdman(鳥人)的他,曾被封為「資安圈最強的程式天才」,但同時又具有商業頭腦,在成立奧義智慧前連續創業,於 2005 年與 2011 年分別創立兩家資安公司,皆瞄準當時相當棘手的資安難題,推出產品與防護服務。
奧義科技: 分析 CVE-2020–1472 針對 Microsoft Netlogon 遠端協定的驗證繞過漏洞之成因及攻擊手法
尤其客戶加入奧義智慧資安聯防體系後,運用奧義智慧自行研發的AI 2.0 專利,快速學習駭客入侵的各式手法,搭配透過STIX/TAXII 讓機器之間交換情報,即可達到早期預警防範於未然,同時降低被入侵的可能性。 而駭客究竟是誰,到最後也已不是最急迫的一環,更重要的是,從 4 月底駭客開始行動、裝置第一次後門程式,到 5 月初駭客正式派送勒索軟體發動攻擊。 然而,從遭受攻擊的企業到社會大眾,許多人勢必十分好奇、亟欲得到解答的,便是攻擊者的真實身份;以下的章節將利用上述情資,嘗試分析並尋找有根據、值得參考的相關線索。 所以,駭客在 4 月 26 號、並在 4 月 27 號裝設主要的後門程式,並且 5 月 4 日、5 月 5 日兩天,在不同的對象之間發起攻擊,以 GPO 規則派送惡意軟體後,隔天系統就開始受到惡意軟體的影響,推論整體攻擊應進行了兩三天的時間。 畢竟發動惡意程式一定會觸動系統的告警,進而使惡意程式被清理掉,幾乎不可能重複使用相同惡意程式,所以駭客必須等待一個效果最佳的時機點來發動。
- 資訊服務廠商零壹科技(3029)切入AI資安領域,20日宣布正式成為台灣AI資安公司奧義智慧台灣授權代理商。
- 趨勢科技 User Protection 使用者防護解決方案採用 XGen™ 防護為基礎,融合了跨世代威脅防禦技巧,能保護您的端點、電子郵件、網站以及 SaaS 應用程式。
- 上一篇文章中,我們提到奧義智慧透過調查局、中華電信等單位公開的資訊,以及調查了疑似遭到相同攻擊的單位之後,利用 CyCarrier 與 CyberTotal 分析情資、還原案件脈絡的過程與做法。
- 本次奧義智慧科技與 Emplos、TAKTIK 成為合作夥伴,將共同致力於提升該地區的資安韌性與防護力。
- 接下來,也許是透過 web shell 載入的 IceApple 加載程式會接受攻擊者的請求。
- CyCraft MDR 已獲多國市場實證,並有各關鍵產業客戶成功案例,2021 年獲 Gartner、IDC 等國際權威機構的 AI 資安市場分析報告肯定,以及在美國 MITRE ATT&CK 的公開評測持續保持優異佳績,是唯一連續參賽均全程以 AI 自動化,不需仰賴資安專家介入校正的解決方案。
- 如果攻擊者對 AD FS 有存取權限,便可用 SQL Client 進行存取或是透過 WMI 對 AD FS 存取設定資訊,或是用 .NET Reflection 讀取設定。
今年奧義參與了數起與普羅米修斯勒索軟體 (Prometheus 奧義科技2023 Ransomware) 有關的事件調查,內部研究團隊亦針對此勒索軟體進行逆向工程,以便更深入地瞭解該攻擊的行動。 機器學習 (執行前檔案分析與執行中程序分析)、漏洞防護、行為分析、應用程式控管以及其他進階技巧,都是為了能與您的端點防護密切配合而設計。 2022 年六月,國外資安研究員 Nestori Syynimaa 在 TROOPERS22 研討會整理了關於 AD FS 的攻擊知識。 一般來說,AD FS 全名為 Active Directory Federation Services,為企業進行外部身分驗證、SSO 讓異質系統串接身分驗證的重要服務。
奧義科技: 產品介紹
其中,在一篇由 Catalin Cimpanu 所撰寫的報導中,進一步地指出在 7 月 13 日奧義文章發表的當天,恰巧也是普羅米修斯組織在暗網上有所活動的最後一天,在那之後的半個多月內,該組織沒有新的行動、看似已暫停了其攻擊行為。 解密時我們會檢查檔案標頭的 Magic number,不過就算是使用錯誤的密鑰,也可能會算出正常的 Magic number,因此,我們的做法是會繼續試下一組密鑰並繼續執行解密流程。 以下範例為針對一個 png 檔案,從當前的 Tickcount 開始嘗試找出生成密鑰的隨機種子,這個功能通常在使用時會是往回數。 攻擊者若是採用遠端存取的方式,就需要知道 AD FS 將設定存放在預設的 WID 或是 SQL Server。 換言之,GoldenSAML 攻擊的前提是必須竊取 AD FS 伺服器上的 Private Key。
