國立中正大學資訊工程學系助理教授
Download
Report
Transcript 國立中正大學資訊工程學系助理教授
資安新聞簡報
20110725
劉旭哲
研討會心得
BOT2011
HIT2011
Agenda
BOT2011
從 APT 攻擊看全球危機與台灣轉機
1.
吳明蔚
2.
Xecure-Lab 首席資安研究員
My account, your responsibility
許富皓 國立中央大學資訊工程系助理教授
3.
Botnet 社群網戰
蔡一郎 財團法人國家實驗研究院國家高速網路與計算中心副研究員
4.
Analyzing Anomalous Spamming Activities in a Campus
Network
林柏青 國立中正大學資訊工程學系助理教授
5.
殭屍病毒數位解藥之研發與監控
王平 崑山科技大學資訊管理學系系主任兼所長
6.
新時代的挑戰:智慧型手持裝置上的資安威脅
王阜毓 國立交通大學網路測試中心資訊安全測試部門經理
7.
Evolving Threat Landscapes Web-Based Botnet
through Exploit Kits and Scripts Evolution
鄭毓芹 國立成功大學電腦與通信工程研究所博士候選人
從 APT 攻擊看全球危機與台灣轉機
HIT2011 Day1 Session6
APT (Advanced Persistent Threat)
美國官方已重視此項問題
軍事行為
現有防毒 -> 特徵碼
MS 21.4%
多面向攻擊路徑
外網web被攻陷 -> 成為跳板
攻擊內網伺服器, eg AD server
信箱複寄給hacker -> 重要資訊Hacker皆有
貌似正常郵件,附檔卻搞鬼 -> eg 家福學長
APT Attributes
Static
可執行程式碼,Shellcode 與 PE header
Dynamic
Malware行為
安裝於Windows系統的方式
掃描程式碼中是否出現已知的Behavior
Code Injection, Rootkit, Password Collector, Anti-AV…
出現的可疑字串,如email, domain, ip, URL
My account, your responsibility
智慧型手機
雙驗證機制
MAC-YURI
2 mode , normal and forward
MAC-YURI’s Structure
Bot command
Or
normal SMS
Botnet 社群網戰
Botnet
自動化
Spam
APT
0-day
結合病毒、蠕蟲、木馬等特徵
C&C (IRC HTTP)
Mothership
扮演資訊交換或收集中心的角色
傳統資安設備失靈
使用開放的通訊埠進行通訊
HTTP
建立加密通道進行通訊
攻擊來源的改變
Rookit
User 不易察覺
2011
Analyzing Anomalous Spamming
Activities in a Campus Network
Spamming Bot
現在多數由接收端過濾
浪費頻寬與儲存空間(90%↑為spamming mail)
林教授由發送端進行防禦
Content‐based filtering
looking for features in the mail headers and body
Blacklisting
Reply code 因設備不同而有所不同 -> group keywords
K-means
實際偵測中正大學郵件狀況
殭屍病毒數位解藥之研發與監控
由於bot 會利用:
rookit達到隱藏效果
Fast-flux (網址名稱對應多址)達到隱藏C&C
但對hacker而言,rookit為黑箱
故具有相同rookit可大膽預測為相同Bot -> 改版亦知
數位解藥(DA)
定期備份(註冊碼、服務程序、特定資料夾)
Backup
新Bot,死前也要傳log至其管理平台
實驗樣本(國網中心)
無法執行 -> 因為處於封閉的網路環境或是有偵測到為
sandbox / vm 環境
新時代的挑戰:智慧型手持裝置上
的資安威脅
Evolving Threat Landscapes Web-Based Botnet
through Exploit Kits and Scripts Evolution
Spreading
自動化工具
Social engineering to trick
12/25前三位購買者享有300美元優惠,原價2500美元
整合型工具
簡易操作
心得
台灣是寶島…
C&C server居於全台之冠
Bot越來越複雜
APT
了解黑市運作…
HIT2011_Day1
Keynote: Current Trends in Web Security Attacks
Trends in Targeted Malware
Escaping From Auto Sandboxes
雲@金山:一種不同的思路做雲安全
雲安全體系下的安全技術對抗
Android 執行檔注入與資料防護
APT Secrets in Asia (BOT2011)
HIT2011_Day2
Android 惡意程式逆向工程
Mobile Security in Japan
Make A Contract with IE and Become a XSS Girl!
Disassemble Flash Lite 3.0 SWF File
Android 應用程式逆向工程提示
行動 (手機) 鑑識技術及實務分享
Current Trends in Web Security
Attacks
Trends in Targeted Malware
Hacker 如何賺錢
Pay-Per-Install
Pay-Per-Click
Zeus – steal money ( 針對 )
Social engineering
其實有點APT的意味在
Escaping From Auto Sandboxes
I/O:FsFilter/RegCallback/Api Hook
程式行為隔離:Restricted Token/Api Hook
RPC隔離:Restricted Token/Api Hook
UI隔離:Job/Api Hook
DEMO:AVAST!(RPC) Kaspersky(UI) Comodo(UI) 金山
(參數檢查)
現場demo因投影機不清楚所以不知道在做啥…
雲@金山:一種不同的思路做雲安全
心得
1.我實在不知道新思路在哪….
2.很像產品說明會
一鍵查殺…99%(?)
雲安全體系下的安全技術對抗
金山雲端
手法
斷網
切斷、修改
變形
MD5變形
MISC
Rookit、MBR
客戶端
Day2
…我都在玩wargame
Web
分析
Misc
加解密
Binary
行動 (手機) 鑑識技術及實務分享
Iphone + Hacker眾怒(??) = 砲轟
心得
越來越多人研究智慧型手機
Wargame
誘因
獎金
限時
金牌在台灣(@交大)