hun ng the shadows in depth analysis of escalated apt a
play

Hun$ng the Shadows: In Depth Analysis of Escalated APT - PowerPoint PPT Presentation

Jun 14, 2023 •230 likes •675 views

Hun$ng the Shadows: In Depth Analysis of Escalated APT A=acks Fyodor Yarochkin, Academia Sinica Pei Kan PK Tsung, Academia Sinica Ming-Chang Jeremy

  1. Hun$ng ¡the ¡Shadows: ¡ In ¡Depth ¡Analysis ¡of ¡Escalated ¡APT ¡A=acks ¡ Fyodor ¡Yarochkin, ¡Academia ¡Sinica ¡ Pei ¡Kan ¡PK ¡Tsung, ¡Academia ¡Sinica ¡ Ming-­‑Chang ¡Jeremy ¡Chiu, ¡Xecure ¡Lab ¡ Ming-­‑Wei ¡Benson ¡Wu, ¡Xecure ¡Lab ¡ 1

  2. Agenda • Why ¡Taiwan? ¡ • The ¡“Lstudio” ¡player… ¡fun ¡ J ¡ • Taking ¡a ¡peek ¡at ¡Weaponry ¡ ¡ • APT ¡in ¡a ¡Cloud ¡ ¡ • VicLmology ¡or ¡… ¡chicken-­‑logy? ¡ ¡ ¡ 2

  3. whoweare ¡ @bensonwu @fygrave [secret] [censored] Based in Taiwan Interests in Computer Forensics Access to some raw network traffic data (fun!) Get to fish interesting things (PROFFFIIITT!) 3

  4. Disclaimer ¡ A ¡few ¡words ¡before ¡we ¡move ¡on. ¡ -­‑ ¡With ¡this ¡research ¡we ¡are ¡primarily ¡interested ¡in ¡ understanding ¡the ¡Ops ¡and ¡vicLms ¡of ¡discussed ¡ targeted ¡aPacks. ¡We ¡DO ¡NOT ¡aPempt ¡to ¡ perform ¡any ¡aPribuLon ¡of ¡potenLal ¡aPackers. ¡ 4

  5. Taiwan ¡has ¡been ¡a ¡frontline ¡of ¡ APT ¡ba=lefield ¡for ¡some ¡$me ¡ 5

  6. Many ¡interes$ng ¡things ¡could ¡be ¡observed ¡ (though ¡this ¡is ¡not ¡“Lstudio” ¡group) ¡ 6

  7. Elirks: ¡earlier ¡campaign ¡ l Reported ¡by ¡Dell/Secureworks ¡as ¡Elirks ¡hPp:// www.secureworks.com/cyber-­‑threat-­‑intelligence/threats/ chasing_apt/ ¡ 7

  8. Elirks ¡evolu$on ¡ ¡ hPp://tw.myblog.yahoo.com/jw!uzrxZwSGHxowPMGZAaj4I5 ¡ hPp://blog.yam.com/minzhu0906/arLcle/54726977 ¡ hPp://diary.blog.yam.com/bigtree20130514/arLcle/10173342 ¡ hPp://tw.myblog.yahoo.com/jw! uzrxZwSGHxowPMGZAaj4I50-­‑ ¡ ¡hPp://blogs.yahoo.co.jp/sakasesi2013/31805794.html ¡ hPp://www.plurk.com/mdbmdb ¡ ¡ 8

  9. Elirks ¡2.0 ¡– ¡silly ¡to ¡reuse ¡the ¡ address-­‑space ¡ Managed by the same IP addresses (easy to cross-correlate) 9

  10. Another ¡on-­‑going ¡Campaign ¡ l On-­‑going: ¡ 10

  11. On ¡average, ¡48 ¡APT ¡emails ¡a ¡ week! 11

  12. The “Lstudio” group: Exploring fun things in a greater detail :) 12

  13. They ¡start ¡with ¡a ¡boring ¡ spearphhiiissh ¡ 13

  14. Almost ¡clean ¡:) ¡ 14

  15. The ¡APT ¡Landscape ¡in ¡Taiwan ¡ 15

  16. We’ll ¡examine ¡the ¡“LStudio” ¡ group ¡today • Unique ¡indicators ¡of ¡the ¡“LStudio” ¡group: ¡ • Debug ¡symbols ¡(.pdb) ¡ • “horse” ¡label ¡and ¡generator ¡tag ¡ • Some ¡curious ¡discoveries ¡from ¡the ¡“Lstudio” ¡ backend ¡data ¡center ¡… ¡;-­‑) 16

  17. LStudio ¡binaries ¡have ¡cute ¡things ¡ h=p://scan.xecure-­‑lab.com 17

  18. CSJ-­‑Elise ¡.. 18

  19. They love fast cars J J 19

  20. FASST ¡CARS ¡ J J Evora 20

  21. Lstudio ¡Opera$ons ¡and ¡C2 ¡ 21

  22. “Lstudi Lstudio” p paylo yload Ge Gene nerator Horse ¡Label ¡ Owner ¡ Generator-­‑Tag ¡ Generator ¡ APT ¡Exploit ¡delivery ¡via ¡email ¡ 22

  23. We don’t say victim !G 肉雞 ! != ! 23

  24. The ¡typical ¡botnet ¡model 24

  25. Very ¡advanced ¡Zoo-­‑management ¡ skills ¡:) 25

  26. APT a advanc nced f farmi ming ng :) :) ž Operated by roughly 25 “farmers” ž Has controlled over 5,884 machines ž International coverage over 30 countries ž Utilizes 4 different Botnet software families ž Active since 2007 26

  27. The ¡“Lstudio” ¡Chicken ¡Cloud ¡ J J APT Botnet A Data Channel (First phase backdoor) APT Cloud Backend Data Center Command Channel Farmer Group A (Second phase backdoor) Farmer Boss? Configurable Bounce Farmer Group B APT Botnet B 27

  28. .. ¡And ¡who ¡are ¡the ¡Chicken ¡?! ¡ J J 28

  29. Interna$onal ¡Chicken ¡Farm ¡Corp. ¡ 29

  30. chicken ¡farms ¡went ¡interna$onal ¡ 2% 30

  31. Share ¡some ¡Chicken ¡ J J 31

  32. When ¡you ¡travel, ¡your ¡chicken ¡ travel ¡too… ¡ J J ¡ 32

  33. Lets ¡look ¡at ¡some ¡travelers ¡ J J US England Taiwan Canada France 33

  34. ANOTHER ¡DISCOVERY!! 34

  35. .. ¡do ¡have ¡9 ¡to ¡5 ¡job ¡;)… 35

  36. Just ¡like ¡some ¡security ¡researchers ¡ do ¡ J J 36

  37. AND ¡THE ¡LAST ¡.. ¡SOME ¡HANDY ¡ TOOLS ¡TO ¡SHARE ¡ J J 37

  38. XecScan: ¡Free ¡API ¡ 38

  39. Yara: ¡a ¡swiss-­‑knife ¡of ¡sta$c ¡sigs ¡;) ¡ 39

  40. Yara ¡use ¡ Easy ¡to ¡integrate ¡with ¡your ¡scripts ¡ IntegraLon ¡with ¡a ¡proxy ¡server ¡is ¡possible ¡via ¡ icap ¡yara ¡plugin: ¡hPps://github.com/fygrave/ c_icap_yara ¡ Raw ¡network ¡traffic ¡monitoring ¡project ¡(and ¡ hPp/DNS ¡indexing): ¡ hPps://github.com/fygrave/eyepkflow ¡ ¡ ¡ 40

  41. More ¡cool ¡tools ¡Moloch ¡hPps://github.com/aol/moloch ¡ ¡ ¡Yara ¡mail ¡ hPps://github.com/kevthehermit/yaraMail ¡ ¡ Yara ¡pcap ¡ ¡ hPps://github.com/kevthehermit/YaraPcap ¡ 41

  42. Conclusions Complex ¡infrastructure ¡ Operates ¡since ¡2007 ¡ MulLple ¡soqware ¡versions ¡ MulLple ¡back-­‑ends ¡ VicLms ¡– ¡government ¡and ¡private ¡sector ¡ Mainly ¡Taiwan ¡but ¡also ¡seen ¡world-­‑wide 42

  43. Questions? benson.wu@xecure-lab.com jeremy.chiu@xecure-lab.com pk@hitcon.org f@plurk.com 43

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Outline Introduction Sharp shadows Soft shadows Conclusion Why are Shadows

Outline Introduction Sharp shadows Soft shadows Conclusion Why are Shadows

Shadow Algorithms Outline Introduction Sharp shadows Soft shadows Conclusion Why are Shadows Important? Depth cue Scene Lighting Realism Contact points Shadows as a Depth Cue / Spatial Relation For Intuition

527 views • 18 slides
Shadows (07) RNDr. Martin Madaras, PhD. martin.madaras@stuba.sk Why shadows? 2 Shadows in

Shadows (07) RNDr. Martin Madaras, PhD. martin.madaras@stuba.sk Why shadows? 2 Shadows in

Principles of Computer Graphics and Image Processing Shadows (07) RNDr. Martin Madaras, PhD. martin.madaras@stuba.sk Why shadows? 2 Shadows in global methods ray-tracing radiosity 3 Lights and shadows Two basic approaches Hard

692 views • 37 slides
Shadows Margus Luik Outline Terminology Simple projected shadows Projection

Shadows Margus Luik Outline Terminology Simple projected shadows Projection

Shadows Margus Luik Outline Terminology Simple projected shadows Projection shadows Shadow mapping Stencil shadows Terminology But what if we used an area light? Terminology Soft shadows - edges of shadows are

268 views • 26 slides
09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala Shadows as depth cue [tricks-and-illusions.com] Shadows as anchors Shadows as anchors Fake shadows Before we get into more complex methods

562 views • 43 slides
Two types of shadow : Blinn-Phong Model with Shadows - "attached" ( n . l < 0 ) -

Two types of shadow : Blinn-Phong Model with Shadows - "attached" ( n . l < 0 ) -

In cinema and photography, shadows are important for Shadows indicate spatial relationships between lecture 19 setting mood and directing attention. objects e.g. contact with floor. Shadows - ray tracing - shadow mapping - ambient

221 views • 5 slides
Depth Perception, part II Lecture 13 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY

Depth Perception, part II Lecture 13 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY

Depth Perception, part II Lecture 13 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY 345 / NEU 325) Fall 2017 1 nice illusions video - car ad (2013) (anamorphosis, linear perspective, accidental viewpoints, shadows, depth/size

623 views • 38 slides
Senior Thesis Analysis Topics Alternate Formwork System Evaluation (Depth Analysis) The

Senior Thesis Analysis Topics Alternate Formwork System Evaluation (Depth Analysis) The

Senior Thesis Analysis Topics Alternate Formwork System Evaluation (Depth Analysis) The Green Building Reference Guide (Depth Analysis) Office Tower Structural Redesign (Breadth Analyses) Introduction Occupants Headquarters of

522 views • 31 slides
Ray-tracing Acceleration Motivation Distribution Ray Tracing Soft shadows

Ray-tracing Acceleration Motivation Distribution Ray Tracing Soft shadows

Ray-tracing Acceleration Motivation Distribution Ray Tracing Soft shadows Acceleration Data Structures Antialiasing (getting rid of jaggies) for Ray Tracing Glossy reflection Motion blur Depth of field (focus)

940 views • 10 slides
SHADOWS 1 OUTLINE Importance of Shadows Projective Shadows Shadow Volumes

SHADOWS 1 OUTLINE Importance of Shadows Projective Shadows Shadow Volumes

SHADOWS 1 OUTLINE Importance of Shadows Projective Shadows Shadow Volumes Shadow Mapping Example Shadow Mapping Artifacts 2 IMPORTANCE OF SHADOWS When there is more than one object in the scene (which is

734 views • 21 slides
COLONIALISM, RACISM AND SEXISM: An analysis of Jeannetue Armstrongs Whispering in Shadows By

COLONIALISM, RACISM AND SEXISM: An analysis of Jeannetue Armstrongs Whispering in Shadows By

COLONIALISM, RACISM AND SEXISM: An analysis of Jeannetue Armstrongs Whispering in Shadows By Dr. Santosh Bhart The purpose of my writjng has always been to tell a betuer story than is being told about us. To give that to the people and to the

395 views • 16 slides
Extra rays needed for these effects: Distribution Ray Tracing Soft shadows Acceleration

Extra rays needed for these effects: Distribution Ray Tracing Soft shadows Acceleration

Extra rays needed for these effects: Distribution Ray Tracing Soft shadows Acceleration Data Structures Anti-aliasing (getting rid of jaggies) for Ray Tracing Glossy reflection Motion blur Depth of field (focus) Most

379 views • 10 slides
09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala Shadows as depth cue [tricks-and-illusions.com] Shadows as anchors Shadows as anchors [Mller et al. RTR ] Mark Kilgard Mark Kilgard Mark

486 views • 38 slides
What does the visual system know about shadows Patrick Cavanagh Universit Paris Descartes

What does the visual system know about shadows Patrick Cavanagh Universit Paris Descartes

Laboratoire Psychologie de la Perception What does the visual system know about shadows Patrick Cavanagh Universit Paris Descartes Processing shadows 1. Recognize shadows 2. Use their information for relative position and surface shape

545 views • 31 slides
lecture 19 Shadows - ray tracing - shadow mapping - ambient occlusion Interreflections In

lecture 19 Shadows - ray tracing - shadow mapping - ambient occlusion Interreflections In

lecture 19 Shadows - ray tracing - shadow mapping - ambient occlusion Interreflections In cinema and photography, shadows are important for setting mood and directing attention. Shadows indicate spatial relationships between objects

670 views • 42 slides
Shadows Shadows What for? Shadows tell us about the relative locations and motions of objects

Shadows Shadows What for? Shadows tell us about the relative locations and motions of objects

Shadows Shadows What for? Shadows tell us about the relative locations and motions of objects and motions of objects Vienna University of Technology 2 What for? Shadows tell us about the relative locations and motions of objects and

1.13k views • 75 slides
Computer Graphics (CS 543) Lecture 7 (Part 1): Shadows and Fog Prof Emmanuel Agu Computer Science

Computer Graphics (CS 543) Lecture 7 (Part 1): Shadows and Fog Prof Emmanuel Agu Computer Science

Computer Graphics (CS 543) Lecture 7 (Part 1): Shadows and Fog Prof Emmanuel Agu Computer Science Dept. Worcester Polytechnic Institute (WPI) Introduction to Shadows Shadows give information on relative positions of objects Use ambient +

594 views • 30 slides
CS 440/ECE448 Lecture 9: Game Theory Slides by Svetlana Lazebnik, 9/2016 Modified by Mark

CS 440/ECE448 Lecture 9: Game Theory Slides by Svetlana Lazebnik, 9/2016 Modified by Mark

CS 440/ECE448 Lecture 9: Game Theory Slides by Svetlana Lazebnik, 9/2016 Modified by Mark Hasegawa-Johnson, 2/2019 https://en.wikipedia.org/wiki/Prisoners_dilemma Game theory Game theory deals with systems of interacting agents where the

868 views • 39 slides
POS Tagging & Sequence Labeling Tasks CMSC 470 Marine Carpuat Parts of Speech

POS Tagging & Sequence Labeling Tasks CMSC 470 Marine Carpuat Parts of Speech

POS Tagging & Sequence Labeling Tasks CMSC 470 Marine Carpuat Parts of Speech Equivalence class of linguistic entities Categories or types of words that occur in similar morphological and syntactic contexts

456 views • 31 slides
Learning programs through play Andrew Cropper Program induction Examples Learner Computer

Learning programs through play Andrew Cropper Program induction Examples Learner Computer

Learning programs through play Andrew Cropper Program induction Examples Learner Computer program Background knowledge Examples input output dog g sheep p chicken ? Examples Background knowledge head/2 input output

397 views • 28 slides
IGRA 01 Opacity in Syntax Greg Kobele April 23, 2019 Counter-feeding in Syntax Wanna

IGRA 01 Opacity in Syntax Greg Kobele April 23, 2019 Counter-feeding in Syntax Wanna

IGRA 01 Opacity in Syntax Greg Kobele April 23, 2019 Counter-feeding in Syntax Wanna Contraction 1. Control vs ECM 1.1 Who do you want to meet ? 1.2 Who do you wanna meet ? 1.3 Who do you want to meet Mary ? 1.4 Who do you wanna meet

877 views • 33 slides
Concurrent Copying Garbage Collection Filip Pizlo, Erez Petrank, Bjarne Steensgaard Purdue,

Concurrent Copying Garbage Collection Filip Pizlo, Erez Petrank, Bjarne Steensgaard Purdue,

Concurrent Copying Garbage Collection Filip Pizlo, Erez Petrank, Bjarne Steensgaard Purdue, Technion/Microsoft, Microsoft PLDI08 - Tucson, AZ 1 Introduction RTGC is gaining acceptance as an alternative to manual memory management for

1.09k views • 91 slides
Population and Regulatory Status of Lesser P l ti d R l t St t f L Prairie-Chickens in

Population and Regulatory Status of Lesser P l ti d R l t St t f L Prairie-Chickens in

Population and Regulatory Status of Lesser P l ti d R l t St t f L Prairie-Chickens in Oklahoma Russ Horton Oklahoma Department of Wildlife Conservation LPCH Status in Oklahoma LPCH Status in Oklahoma Gamebird Closed Season (since

477 views • 19 slides
IMPROVE your ability to Take Creative Risks The Rules Improv is a skill that can be learned,

IMPROVE your ability to Take Creative Risks The Rules Improv is a skill that can be learned,

Using IMPROV to IMPROVE your ability to Take Creative Risks The Rules Improv is a skill that can be learned, but it requires technique, creativity and practice Improv is always practiced in a safe place be silly and have fun with

603 views • 22 slides
Solidus Blockchain Ethan Cecchetti March 26, 2017 Blockchains Blockchain Blockchain

Solidus Blockchain Ethan Cecchetti March 26, 2017 Blockchains Blockchain Blockchain

Solidus Blockchain Ethan Cecchetti March 26, 2017 Blockchains Blockchain Blockchain blockchain blockchain blockchain Blockchain blockchain blockchain Blockchain Blockchain (blockchain) Blockchain blockchain, blockchain

470 views • 12 slides

More recommend