僅紀錄一下 HITCON 2020 的紀錄 (可能會編輯文章、推文消失不負責)
官方共筆區在 https://hackmd.io/@HITCON/2020-note
開場試玩一下 煉蠱場 [0] 如文字說明的可以透過 IRC 得到一個 Port 並可以控制機器
然而目前看來機器本身已經遭受各路嘗試 已經變成 DoS 狀態
所以放棄使用 IRC 的方式登入 直接打兩台機器試試看
第一場 (Keynote 不算) 主要介紹 IT/OT 的資訊安全差異
尤其在 OT 的環境下安全意識相較於 IT 比較差 尤其 OT 的環境較於易碎
也就是 OT 環境容錯率相較 IT 低很多
第二場 R2 介紹煉蠱場的產生 (順便說明已經被打爆了= =)
環境是 GCP / libvert+QEMU / gRPC 等
第三場介紹內網滲透
核心(內網)服務開啟的服務比一般主機還多
攻擊手段可不上傳惡意程式 (webshell) 直接修改原本程式碼
微軟也建議防毒軟體 (AV) 建議不要掃描的資料夾白名單 這也是放後門的好地方
第四場介紹 實體隔離還被滲透的案例分析
攻擊方是受過精良訓練、長時間的攻擊 使用可移除的攻擊裝置
目標是高價值的軍方、政府單位等 不打第一線單位 而從外圍組織開始
例如從軍方醫院開始攻擊 進入到軍方內網系統
介紹 實體網路隔離[1] 與資料交換的方式
介紹 擺渡攻擊[2]
[0]:https://hackmd.io/YoOBx8AxSuuA3uzM7jo3kA?view
[1]: https://www.isecurity.com.tw/solutions/isolated-network-data-exchange/
[2]: https://baike.baidu.com/item/%E6%91%86%E6%B8%A1%E6%94%BB%E5%87%BB