hun ng the shadows in depth analysis of escalated apt a
play

Hun$ng the Shadows: In Depth Analysis of Escalated APT - PowerPoint PPT Presentation

Jun 14, 2023 •230 likes •675 views

Hun$ng the Shadows: In Depth Analysis of Escalated APT A=acks Fyodor Yarochkin, Academia Sinica Pei Kan PK Tsung, Academia Sinica Ming-Chang Jeremy

  1. Hun$ng ¡the ¡Shadows: ¡ In ¡Depth ¡Analysis ¡of ¡Escalated ¡APT ¡A=acks ¡ Fyodor ¡Yarochkin, ¡Academia ¡Sinica ¡ Pei ¡Kan ¡PK ¡Tsung, ¡Academia ¡Sinica ¡ Ming-­‑Chang ¡Jeremy ¡Chiu, ¡Xecure ¡Lab ¡ Ming-­‑Wei ¡Benson ¡Wu, ¡Xecure ¡Lab ¡ 1

  2. Agenda • Why ¡Taiwan? ¡ • The ¡“Lstudio” ¡player… ¡fun ¡ J ¡ • Taking ¡a ¡peek ¡at ¡Weaponry ¡ ¡ • APT ¡in ¡a ¡Cloud ¡ ¡ • VicLmology ¡or ¡… ¡chicken-­‑logy? ¡ ¡ ¡ 2

  3. whoweare ¡ @bensonwu @fygrave [secret] [censored] Based in Taiwan Interests in Computer Forensics Access to some raw network traffic data (fun!) Get to fish interesting things (PROFFFIIITT!) 3

  4. Disclaimer ¡ A ¡few ¡words ¡before ¡we ¡move ¡on. ¡ -­‑ ¡With ¡this ¡research ¡we ¡are ¡primarily ¡interested ¡in ¡ understanding ¡the ¡Ops ¡and ¡vicLms ¡of ¡discussed ¡ targeted ¡aPacks. ¡We ¡DO ¡NOT ¡aPempt ¡to ¡ perform ¡any ¡aPribuLon ¡of ¡potenLal ¡aPackers. ¡ 4

  5. Taiwan ¡has ¡been ¡a ¡frontline ¡of ¡ APT ¡ba=lefield ¡for ¡some ¡$me ¡ 5

  6. Many ¡interes$ng ¡things ¡could ¡be ¡observed ¡ (though ¡this ¡is ¡not ¡“Lstudio” ¡group) ¡ 6

  7. Elirks: ¡earlier ¡campaign ¡ l Reported ¡by ¡Dell/Secureworks ¡as ¡Elirks ¡hPp:// www.secureworks.com/cyber-­‑threat-­‑intelligence/threats/ chasing_apt/ ¡ 7

  8. Elirks ¡evolu$on ¡ ¡ hPp://tw.myblog.yahoo.com/jw!uzrxZwSGHxowPMGZAaj4I5 ¡ hPp://blog.yam.com/minzhu0906/arLcle/54726977 ¡ hPp://diary.blog.yam.com/bigtree20130514/arLcle/10173342 ¡ hPp://tw.myblog.yahoo.com/jw! uzrxZwSGHxowPMGZAaj4I50-­‑ ¡ ¡hPp://blogs.yahoo.co.jp/sakasesi2013/31805794.html ¡ hPp://www.plurk.com/mdbmdb ¡ ¡ 8

  9. Elirks ¡2.0 ¡– ¡silly ¡to ¡reuse ¡the ¡ address-­‑space ¡ Managed by the same IP addresses (easy to cross-correlate) 9

  10. Another ¡on-­‑going ¡Campaign ¡ l On-­‑going: ¡ 10

  11. On ¡average, ¡48 ¡APT ¡emails ¡a ¡ week! 11

  12. The “Lstudio” group: Exploring fun things in a greater detail :) 12

  13. They ¡start ¡with ¡a ¡boring ¡ spearphhiiissh ¡ 13

  14. Almost ¡clean ¡:) ¡ 14

  15. The ¡APT ¡Landscape ¡in ¡Taiwan ¡ 15

  16. We’ll ¡examine ¡the ¡“LStudio” ¡ group ¡today • Unique ¡indicators ¡of ¡the ¡“LStudio” ¡group: ¡ • Debug ¡symbols ¡(.pdb) ¡ • “horse” ¡label ¡and ¡generator ¡tag ¡ • Some ¡curious ¡discoveries ¡from ¡the ¡“Lstudio” ¡ backend ¡data ¡center ¡… ¡;-­‑) 16

  17. LStudio ¡binaries ¡have ¡cute ¡things ¡ h=p://scan.xecure-­‑lab.com 17

  18. CSJ-­‑Elise ¡.. 18

  19. They love fast cars J J 19

  20. FASST ¡CARS ¡ J J Evora 20

  21. Lstudio ¡Opera$ons ¡and ¡C2 ¡ 21

  22. “Lstudi Lstudio” p paylo yload Ge Gene nerator Horse ¡Label ¡ Owner ¡ Generator-­‑Tag ¡ Generator ¡ APT ¡Exploit ¡delivery ¡via ¡email ¡ 22

  23. We don’t say victim !G 肉雞 ! != ! 23

  24. The ¡typical ¡botnet ¡model 24

  25. Very ¡advanced ¡Zoo-­‑management ¡ skills ¡:) 25

  26. APT a advanc nced f farmi ming ng :) :) ž Operated by roughly 25 “farmers” ž Has controlled over 5,884 machines ž International coverage over 30 countries ž Utilizes 4 different Botnet software families ž Active since 2007 26

  27. The ¡“Lstudio” ¡Chicken ¡Cloud ¡ J J APT Botnet A Data Channel (First phase backdoor) APT Cloud Backend Data Center Command Channel Farmer Group A (Second phase backdoor) Farmer Boss? Configurable Bounce Farmer Group B APT Botnet B 27

  28. .. ¡And ¡who ¡are ¡the ¡Chicken ¡?! ¡ J J 28

  29. Interna$onal ¡Chicken ¡Farm ¡Corp. ¡ 29

  30. chicken ¡farms ¡went ¡interna$onal ¡ 2% 30

  31. Share ¡some ¡Chicken ¡ J J 31

  32. When ¡you ¡travel, ¡your ¡chicken ¡ travel ¡too… ¡ J J ¡ 32

  33. Lets ¡look ¡at ¡some ¡travelers ¡ J J US England Taiwan Canada France 33

  34. ANOTHER ¡DISCOVERY!! 34

  35. .. ¡do ¡have ¡9 ¡to ¡5 ¡job ¡;)… 35

  36. Just ¡like ¡some ¡security ¡researchers ¡ do ¡ J J 36

  37. AND ¡THE ¡LAST ¡.. ¡SOME ¡HANDY ¡ TOOLS ¡TO ¡SHARE ¡ J J 37

  38. XecScan: ¡Free ¡API ¡ 38

  39. Yara: ¡a ¡swiss-­‑knife ¡of ¡sta$c ¡sigs ¡;) ¡ 39

  40. Yara ¡use ¡ Easy ¡to ¡integrate ¡with ¡your ¡scripts ¡ IntegraLon ¡with ¡a ¡proxy ¡server ¡is ¡possible ¡via ¡ icap ¡yara ¡plugin: ¡hPps://github.com/fygrave/ c_icap_yara ¡ Raw ¡network ¡traffic ¡monitoring ¡project ¡(and ¡ hPp/DNS ¡indexing): ¡ hPps://github.com/fygrave/eyepkflow ¡ ¡ ¡ 40

  41. More ¡cool ¡tools ¡Moloch ¡hPps://github.com/aol/moloch ¡ ¡ ¡Yara ¡mail ¡ hPps://github.com/kevthehermit/yaraMail ¡ ¡ Yara ¡pcap ¡ ¡ hPps://github.com/kevthehermit/YaraPcap ¡ 41

  42. Conclusions Complex ¡infrastructure ¡ Operates ¡since ¡2007 ¡ MulLple ¡soqware ¡versions ¡ MulLple ¡back-­‑ends ¡ VicLms ¡– ¡government ¡and ¡private ¡sector ¡ Mainly ¡Taiwan ¡but ¡also ¡seen ¡world-­‑wide 42

  43. Questions? benson.wu@xecure-lab.com jeremy.chiu@xecure-lab.com pk@hitcon.org f@plurk.com 43

Recommend

Outline Introduction Sharp shadows Soft shadows Conclusion Why are Shadows

Outline Introduction Sharp shadows Soft shadows Conclusion Why are Shadows

Shadow Algorithms Outline Introduction Sharp shadows Soft shadows Conclusion Why are Shadows Important? Depth cue Scene Lighting Realism Contact points Shadows as a Depth Cue / Spatial Relation For Intuition

527 views • 18 slides
Shadows (07) RNDr. Martin Madaras, PhD. martin.madaras@stuba.sk Why shadows? 2 Shadows in

Shadows (07) RNDr. Martin Madaras, PhD. martin.madaras@stuba.sk Why shadows? 2 Shadows in

Principles of Computer Graphics and Image Processing Shadows (07) RNDr. Martin Madaras, PhD. martin.madaras@stuba.sk Why shadows? 2 Shadows in global methods ray-tracing radiosity 3 Lights and shadows Two basic approaches Hard

692 views • 37 slides
Shadows Margus Luik Outline Terminology Simple projected shadows Projection

Shadows Margus Luik Outline Terminology Simple projected shadows Projection

Shadows Margus Luik Outline Terminology Simple projected shadows Projection shadows Shadow mapping Stencil shadows Terminology But what if we used an area light? Terminology Soft shadows - edges of shadows are

268 views • 26 slides
09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala Shadows as depth cue [tricks-and-illusions.com] Shadows as anchors Shadows as anchors Fake shadows Before we get into more complex methods

562 views • 43 slides
Two types of shadow : Blinn-Phong Model with Shadows - "attached" ( n . l < 0 ) -

Two types of shadow : Blinn-Phong Model with Shadows - "attached" ( n . l < 0 ) -

In cinema and photography, shadows are important for Shadows indicate spatial relationships between lecture 19 setting mood and directing attention. objects e.g. contact with floor. Shadows - ray tracing - shadow mapping - ambient

221 views • 5 slides
Depth Perception, part II Lecture 13 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY

Depth Perception, part II Lecture 13 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY

Depth Perception, part II Lecture 13 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY 345 / NEU 325) Fall 2017 1 nice illusions video - car ad (2013) (anamorphosis, linear perspective, accidental viewpoints, shadows, depth/size

623 views • 38 slides
Senior Thesis Analysis Topics Alternate Formwork System Evaluation (Depth Analysis) The

Senior Thesis Analysis Topics Alternate Formwork System Evaluation (Depth Analysis) The

Senior Thesis Analysis Topics Alternate Formwork System Evaluation (Depth Analysis) The Green Building Reference Guide (Depth Analysis) Office Tower Structural Redesign (Breadth Analyses) Introduction Occupants Headquarters of

522 views • 31 slides
Ray-tracing Acceleration Motivation Distribution Ray Tracing Soft shadows

Ray-tracing Acceleration Motivation Distribution Ray Tracing Soft shadows

Ray-tracing Acceleration Motivation Distribution Ray Tracing Soft shadows Acceleration Data Structures Antialiasing (getting rid of jaggies) for Ray Tracing Glossy reflection Motion blur Depth of field (focus)

940 views • 10 slides
SHADOWS 1 OUTLINE Importance of Shadows Projective Shadows Shadow Volumes

SHADOWS 1 OUTLINE Importance of Shadows Projective Shadows Shadow Volumes

SHADOWS 1 OUTLINE Importance of Shadows Projective Shadows Shadow Volumes Shadow Mapping Example Shadow Mapping Artifacts 2 IMPORTANCE OF SHADOWS When there is more than one object in the scene (which is

734 views • 21 slides
COLONIALISM, RACISM AND SEXISM: An analysis of Jeannetue Armstrongs Whispering in Shadows By

COLONIALISM, RACISM AND SEXISM: An analysis of Jeannetue Armstrongs Whispering in Shadows By

COLONIALISM, RACISM AND SEXISM: An analysis of Jeannetue Armstrongs Whispering in Shadows By Dr. Santosh Bhart The purpose of my writjng has always been to tell a betuer story than is being told about us. To give that to the people and to the

395 views • 16 slides
Extra rays needed for these effects: Distribution Ray Tracing Soft shadows Acceleration

Extra rays needed for these effects: Distribution Ray Tracing Soft shadows Acceleration

Extra rays needed for these effects: Distribution Ray Tracing Soft shadows Acceleration Data Structures Anti-aliasing (getting rid of jaggies) for Ray Tracing Glossy reflection Motion blur Depth of field (focus) Most

379 views • 10 slides
09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala

09 Shadow Mapping Steve Marschner CS5625 Spring 2019 Thanks to previous instructor Kavita Bala Shadows as depth cue [tricks-and-illusions.com] Shadows as anchors Shadows as anchors [Mller et al. RTR ] Mark Kilgard Mark Kilgard Mark

486 views • 38 slides
What does the visual system know about shadows Patrick Cavanagh Universit Paris Descartes

What does the visual system know about shadows Patrick Cavanagh Universit Paris Descartes

Laboratoire Psychologie de la Perception What does the visual system know about shadows Patrick Cavanagh Universit Paris Descartes Processing shadows 1. Recognize shadows 2. Use their information for relative position and surface shape

545 views • 31 slides
lecture 19 Shadows - ray tracing - shadow mapping - ambient occlusion Interreflections In

lecture 19 Shadows - ray tracing - shadow mapping - ambient occlusion Interreflections In

lecture 19 Shadows - ray tracing - shadow mapping - ambient occlusion Interreflections In cinema and photography, shadows are important for setting mood and directing attention. Shadows indicate spatial relationships between objects

670 views • 42 slides
Shadows Shadows What for? Shadows tell us about the relative locations and motions of objects

Shadows Shadows What for? Shadows tell us about the relative locations and motions of objects

Shadows Shadows What for? Shadows tell us about the relative locations and motions of objects and motions of objects Vienna University of Technology 2 What for? Shadows tell us about the relative locations and motions of objects and

1.13k views • 75 slides
Computer Graphics (CS 543) Lecture 7 (Part 1): Shadows and Fog Prof Emmanuel Agu Computer Science

Computer Graphics (CS 543) Lecture 7 (Part 1): Shadows and Fog Prof Emmanuel Agu Computer Science

Computer Graphics (CS 543) Lecture 7 (Part 1): Shadows and Fog Prof Emmanuel Agu Computer Science Dept. Worcester Polytechnic Institute (WPI) Introduction to Shadows Shadows give information on relative positions of objects Use ambient +

594 views • 30 slides
3.2 Hierarchical Modeling Hao Li http://cs420.hao-li.com 1 Importance of shadows Source: UNC

3.2 Hierarchical Modeling Hao Li http://cs420.hao-li.com 1 Importance of shadows Source: UNC

Fall 2017 CSCI 420: Computer Graphics 3.2 Hierarchical Modeling Hao Li http://cs420.hao-li.com 1 Importance of shadows Source: UNC 2 Importance of shadows Source: UNC 3 Importance of shadows Source: UNC 4 Importance of shadows Without

983 views • 39 slides
Depth Perception, part II Lecture 12 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY

Depth Perception, part II Lecture 12 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY

Depth Perception, part II Lecture 12 (Chapter 6) Jonathan Pillow Sensation & Perception (PSY 345 / NEU 325) Spring 2019 1 nice illusions video - car ad (2013) (anamorphosis, linear perspective, accidental viewpoints, shadows,

791 views • 49 slides
Pennsylvania State University Atrium Medical Corporation Architectural Engineering Table of

Pennsylvania State University Atrium Medical Corporation Architectural Engineering Table of

Pennsylvania State University Atrium Medical Corporation Architectural Engineering Table of Contents Headquarters Facility Senior Thesis Final Presentation Title Page Project Information Depth Analysis 1 Depth Analysis 2 Depth Analysis 3

533 views • 32 slides
Does dose escalated filgrastim improve clinical outcomes following autologous stem cell

Does dose escalated filgrastim improve clinical outcomes following autologous stem cell

1/28/2015 Does dose escalated filgrastim improve clinical outcomes following autologous stem cell transplantation? Steve Trifilio RPh Feinberg School of Medicine, Northwestern University Northwestern Memorial Hospital Conflict of Interest: None

351 views • 7 slides
Shadows What for? Shadows tell us about the relative locations and motions of objects Vienna

Shadows What for? Shadows tell us about the relative locations and motions of objects Vienna

Shadows What for? Shadows tell us about the relative locations and motions of objects Vienna University of Technology 2 What for? Shadows tell us about the relative locations and motions of objects And about light positions Vienna

1.01k views • 73 slides
PCA and Admixture proportions for low depth NGS data Anders Albrechtsen Admixture model

PCA and Admixture proportions for low depth NGS data Anders Albrechtsen Admixture model

PCA and Admixture proportions for low depth NGS data Anders Albrechtsen Admixture model NGSadmix Introduction to PCA PCA for NGS - genotype likelihood approach analysis based on individual allele frequencies Analysis of low depth

930 views • 53 slides
Computer Graphics MTAT.03.015 Raimond Tunnel 2 / 50 The Road So Far... 3 / 50 Shadows 4 / 50

Computer Graphics MTAT.03.015 Raimond Tunnel 2 / 50 The Road So Far... 3 / 50 Shadows 4 / 50

Computer Graphics MTAT.03.015 Raimond Tunnel 2 / 50 The Road So Far... 3 / 50 Shadows 4 / 50 Shadows Three distinct parts of a shadow: 5 / 50 Shadows Three distinct parts of a shadow: Umbra full shadow 6 / 50 Shadows

511 views • 50 slides
Shadows CS418 Computer Graphics John C. Hart Shadowing Shadows indicate light occlusion

Shadows CS418 Computer Graphics John C. Hart Shadowing Shadows indicate light occlusion

Shadows CS418 Computer Graphics John C. Hart Shadowing Shadows indicate light occlusion Fix object positions relative to each other Perspective Distortion screen y y view y clip -z z view 1 x view z

456 views • 10 slides

More recommend