專業服務 TeamT5

迅速應對,以最小化的損失來保護關鍵資訊資產。

IR 服務說明

以事件中嚴重受駭的主機為出發點,全面性端點安全狀態及取得關鍵網路系統紀錄分析,找出可能入侵存取進入點,獲取駭侵根因(root cause) ,掌握駭客移動路徑,了解惡意程式種類與行為、中繼站溝通與進行後門帳號、失竊帳號密碼、失竊資料等。

資安事件調查

針對駭客入侵資安事件、提供緊急應變諮詢與現場調查服務

系統日誌分析

針對客戶所提供或案發現場系統、網頁、資安設備日誌,進行分析

惡意程式分析

針對客戶所提供或案發現場惡意程式,提供自動化沙箱或專業人工分析

服務流程

1

第一階段

前期準備(Preparation)

掌握事件現況, 訪談客戶需求, 緊急應變建議, 規劃作業項目。

確認受害範圍(Detection)

端點安全狀況掃描(ThreatSonar), 關鍵紀錄取證判讀, 確認場域受害範圍。

2

第二階段

事件調查(Investigation)

調查取樣, 威脅狩獵, 樣本分析, 根因推論, 日誌分析, 抑制建議。

回應(Response)

事件調查報告,專人報告解讀。 威脅情資回饋,及時防禦阻擋。 駭侵根因研判,資安強化建議。

專業團隊

團隊在資安產業逾 20 年,具備資安事件應變實務經驗,並曾參與配合重要資安調查事件

擅長駭客攻擊手法分析、駭侵威脅獵捕、漏洞弱點研究與資安入侵根因分析。

取得多項專業證照
如 ECSA、CISSP、CEH、CHFI
等等...

參與國內外專業資安研討會與發表演說,例如:臺灣資安大會、日本 JSAC、日本 CodeBlue 等。

台灣電腦網路危機處理暨協調中心TWCERT/CC成員,國際最大資安事件應變組織FIRST成員。

案例分享

CASE-01 進階持續性威脅(APT)攻擊事件

  • 攻擊手法 運用零時差或N-day漏洞、網路滲透工具(Cobalt Strike)、客製化後門攻擊(NT 5.x NDIS 驅動程式後門、Webshell 等)及網路 VPN 代理程式(softether 等)。
  • 事件概要 攻擊者針對標的蒐集資訊探測後,發現伺服器漏洞,進行攻擊。該後門程式威脅力強大,攻擊者可在潛伏於受感染的電腦上,執行各種通訊和資料收集,目的在於竊取政府運作、科技研發、商業營運等機密資料。
  • 防護建議 (1)修補伺服器漏洞,並關注暗網是否有被洩露的帳密或釣魚郵件,阻擋攻擊者入侵存取。 (2)透過端點防護偵測,及時發現內網核心網域滲透移動。

CASE-02 網站入侵

  • 攻擊手法 運用 SQL 注入、SSRF、上傳頁面繞過、第三方套件漏洞、網路掃描工具(Serverscan、 Xray)、網頁後門(WebShell)及代理程式(Neo-reGeorg)。
  • 事件概要 攻擊者利用網站網頁漏洞或所安裝的第三方套件漏洞,上傳網頁後門、取得網站主機控制權限後,安裝代理及上傳掃描工具,探測內網主機與暴力破解密碼。
  • 防護建議 (1)掌握漏洞資訊,及時修補更新網站系統、網頁程式及第三方套件漏洞。 (2)定時檢視管理套件存取與網站服務紀錄。 (3)透過端點防護軟體與網管設備,監控場域系統與網路狀態,即時發現惡意程式。

CASE-03 勒索軟體

  • 攻擊手法 運用暗網情資或透過網路掃描暴力破解密碼手法,取得場域中網路或系統存取權限(RDP、SSH、VPN 等)。
  • 事件概要 攻擊者進入內網後即可橫向移動,並擴大控制範圍與層級,最後選定有價值目標進行加密勒索,通常勒索目標為 ESXi 主機、NAS 設備與 AD、資料庫主機。
  • 防護建議 (1)需避免設備漏洞、網路存取驗證機制不足。 (2)透由終端防護監控機制,偵測可疑程式或移動狀態,及早發現威脅阻斷駭侵來源。 (3)強化資料備份機制。

CASE-04 個資外洩

  • 攻擊手法 攻擊者運用網路掃描(Port scan)與 Web 入侵手法(SQL 注入、XSS、SSRF 等),取得場域中網站、資料庫存取權限等。
  • 事件概要 攻擊者存取下載客戶訂單資料,設計詐騙橋段後,透過電話、電郵或簡訊發送給受害者,藉以詐騙客戶金錢。由洩詐騙事件內容研判,應為訂單資料外洩造成。因此立即針對資料流釐清問題點,鎖定事件調查標的、取證分析。
  • 防護建議 (1)需確認網頁上傳驗證機制是否完善,避免遭攻擊者上傳 Webshell 控制。 (2)注意服務介面是否暴險,避免遭攻擊者暴力破解或藉漏洞進入。 (3)強化資料流加密管理稽核。