ㄌㄐ@你的水潤餅大使
ಠ_ಠ - 公司出大事了 其他人都在救檔案 噗主現在沒事做 公用硬碟的檔案不知道被誰刪了 查了刪除紀錄是...
好吧我認真的讀了一下,然後這是我的通靈(以惡意程式分析的思維推論):

在 Windows 環境放一個會自動清記錄的 Bot ,照理來說 Windows 執行檔的 metadata 資訊很多吧,既然知道有這個檔案為什麼不分析一下看有沒有它的編譯訊息還有檔案被建立的時間,藉此縮小範圍查 log 呢?因為照原噗說法應該是有看到那個自動清記錄的程式所以才知道有人做這件事吧?希望這個檔案還留著。

事件調查最好圍繞著搞事的檔案為中心去擴展調查的思路,不然盲目找log資訊量會太雜導致漏掉細節
ㄌㄐ@你的水潤餅大使
如果說是有誰不小心把惡意程式放進去裡面導致這台機器爆開的話,那調查起來難度會很高。
不過反之真的是有誰在報復的話,我認為從那個程式去看編譯資訊應該會有很多蛛絲馬跡,以他們公司整體的程度的話,會寫出這樣的東西的人大概程度沒好到會記得要下參數把東西都修乾淨
ㄌㄐ@你的水潤餅大使
但那台到底是不是 NAS ,我覺得不是欸
因為原噗其實不是本科出身的,而且他的描述裡面這個設備是一台 Windows 機器,我覺得應該是他們拿一台沒人用的機器做像 NAS 做的事
要不然就是可能原噗其實沒到100%了解整個系統架構,所以轉述資訊有落差
雪崩淇淋
ZFS如果有快照是還有救而且linux系統有動到這邊的話也還有紀錄的話應該也很好找所以我也覺得是網路芳鄰SMB
NAS真的不貴為什麼不要買一台
雪崩淇淋
而且真的很重要的話不是應該要發現就直接拔掉送救援嗎
ㄌㄐ@你的水潤餅大使
雪崩淇淋 : 可悲台廠就是這樣,省錢省在不對的地方
但我覺得 Windows 出事反而比 Linux 更好調查,他有很多奇奇怪怪的資訊可以當線索,Linux 刪除是真的揮發掉什麼都不剩
ㄌㄐ@你的水潤餅大使
雪崩淇淋 : 對,這點也很奇怪
事件調查守則第一條,事件發生當下立即斷網隔離設備與網路避免擴散
第二條,備份完成後送去可以檢驗的場所或負責的內部單位進行調查,不要做任何行為破壞現場
ㄌㄐ@你的水潤餅大使
但看他們老董是會講那種下禮拜給我一個答案的霸總發言的白癡,不送救援好像也是合情合理⋯⋯
貝果🫐藍莓口味
連 NAS / 網路儲存空間都要省了怎麼可能捨得花錢送救援
不過看起來小陳對系統的敘述真的是完全狀況外,很有可能是聽到旁人轉述再轉述之後偏差太多
雪崩淇淋
🍌應該請不到會把紀錄刪太乾淨的不然就是有什麼深仇大恨
貝果🫐藍莓口味
我很用力才忍住沒吐槽 SHA256 是 cryptographic hash 不是對稱加密
ㄌㄐ@你的水潤餅大使
貝果🫐藍莓口味 : 作業系統大佬來了(起立鼓掌)看來不是我的錯覺,他的描述有時候有點矛盾,但看到他好像本來不是本科的,沒有系統架構的知識好像也正常
ㄌㄐ@你的水潤餅大使
貝果🫐藍莓口味 : 我身邊每個朋友看到這個故事第一個吐槽都是SHA256 超好笑,然後不是資工系的朋友說為什麼你們都要追打這個口誤,因為這個口誤就跟沒常識的人一樣嚴重啊
而且 AES 也沒他講的那麼不堪吧,又不是 DES
ㄌㄐ@你的水潤餅大使
不過為什麼密碼要用 AES ?應該是裡面的東西用 AES 存⋯⋯吧?還是他們遠端連進去用的 key 是 AES
ㄌㄐ@你的水潤餅大使
可是 ssh 我以為 ssh8 以前預設是 RSA key pair
貝果🫐藍莓口味
因為其他的吐槽點都還要想一下,但看到有人說 SHA256 不能用在密碼是會直接原地跳起那種 我就是正在用 SHA512 有意見嗎

取密碼的 hash 也不是不能用 AES,古代密碼就是清一色用 DES,有種特殊用法可以把對稱加密當 hash function 用 (密碼當 key 去 encrypt 某個已知字串)。但是我強烈懷疑是小陳又弄錯了
貝果🫐藍莓口味
怎麼會講到 SSH 用 RSA 啊?

就算開了 public key 也很少人會禁用 password 的,除非 IT 人員願意一個一個去幫所有人 generate public key pair 並且每次有什麼異動都去幫他們設定,無法期待一般使用者能自己操作這些「複雜」的東西。
ㄌㄐ@你的水潤餅大使
貝果🫐藍莓口味 : 沒我是好奇他所謂「用 AES 存密碼」這件事是怎麼操作的,他還說 key 放在資料夾裡面,但我覺得那個是 pem ,但你上面提的內容我大概好像能想像
貝果🫐藍莓口味
另外,感謝提供資訊,原來在 Windows compile 惡意程式要記得去刪執行檔的 metadata (筆記)
ㄌㄐ@你的水潤餅大使
https://images.plurk.com/1OurOffxTLBU6SSwyl7h1o.jpg
雪崩淇淋
這等於在部門裸奔了吧只要會用的話
ㄌㄐ@你的水潤餅大使
貝果🫐藍莓口味 : 也不一定是在編譯階段留下來的,但惡意程式分析很多時候會從看 metadata 開始,譬如說包在 Word docx 的巨集裡面的腳本,當然裡面的原理怎樣搞的也很重要,但檔案的資訊會有作者、日期甚至地點之類的,可以鎖定是那個 APT 組織的行動,所以 metadata能帶來的線索其實蠻有效
貝果🫐藍莓口味
雪崩淇淋 : 問題是,如果只是為了省錢用現成的 SMB (網路芳鄰),使用者密碼也不致於儲存成明碼,所以小陳至今對系統的描述幾乎都違反常理

唯一合理的是經理拿公司統編/公司電話當密碼這部份,我也遇過,不過會用公司統編當密碼的那種帳號,就常常是多人共用的了,「欸你開我的帳號去處理○○的事,密碼就公司統編」這樣
ㄌㄐ@你的水潤餅大使
貝果🫐藍莓口味 : 多人共用密碼的管理鬼故事,連趨勢這種自己做防毒軟體的公司也存在,不過至少公司裡面還是有堅守資安原則的人會阻止那些想便宜行事的人這麼做啦
貝果🫐藍莓口味
ㄌㄐ@你的水潤餅大使 : 就這點來講我覺得交大資工做得真的不錯,據說工作站管理組會定期跑 password cracker,密碼被 password cracker 猜出來或是被外人盜用的要被停權和寫悔過書,用全數字那種穩死
ㄌㄐ@你的水潤餅大使
貝果🫐藍莓口味 : 畢竟是網路跟資安領域最有名的學校嘛⋯⋯如果學校自己不以身作則那很丟臉(
載入新的回覆