Transcript 國立中正大學資訊工程學系助理教授

資安新聞簡報
20110725
劉旭哲
研討會心得
BOT2011
HIT2011
Agenda
 BOT2011
從 APT 攻擊看全球危機與台灣轉機
1.
 吳明蔚
2.
Xecure-Lab 首席資安研究員
My account, your responsibility
 許富皓 國立中央大學資訊工程系助理教授
3.
Botnet 社群網戰
 蔡一郎 財團法人國家實驗研究院國家高速網路與計算中心副研究員
4.
Analyzing Anomalous Spamming Activities in a Campus
Network
 林柏青 國立中正大學資訊工程學系助理教授
5.
殭屍病毒數位解藥之研發與監控
 王平 崑山科技大學資訊管理學系系主任兼所長
6.
新時代的挑戰：智慧型手持裝置上的資安威脅
 王阜毓 國立交通大學網路測試中心資訊安全測試部門經理
7.
Evolving Threat Landscapes Web-Based Botnet
through Exploit Kits and Scripts Evolution
 鄭毓芹 國立成功大學電腦與通信工程研究所博士候選人
從 APT 攻擊看全球危機與台灣轉機
 HIT2011 Day1 Session6
 APT (Advanced Persistent Threat)
 美國官方已重視此項問題
 軍事行為
 現有防毒 -> 特徵碼
 MS 21.4%
 多面向攻擊路徑




外網web被攻陷 -> 成為跳板
攻擊內網伺服器, eg AD server
信箱複寄給hacker -> 重要資訊Hacker皆有
貌似正常郵件，附檔卻搞鬼 -> eg 家福學長
 APT Attributes
 Static
 可執行程式碼，Shellcode 與 PE header
 Dynamic





Malware行為
安裝於Windows系統的方式
掃描程式碼中是否出現已知的Behavior
Code Injection, Rootkit, Password Collector, Anti-AV…
出現的可疑字串，如email, domain, ip, URL
My account, your responsibility
 智慧型手機
 雙驗證機制
 MAC-YURI
 2 mode , normal and forward
MAC-YURI’s Structure
Bot command
Or
normal SMS
Botnet 社群網戰
 Botnet
 自動化
 Spam
 APT
 0-day
 結合病毒、蠕蟲、木馬等特徵
 C&C (IRC HTTP)
 Mothership
 扮演資訊交換或收集中心的角色
 傳統資安設備失靈
 使用開放的通訊埠進行通訊
 HTTP
 建立加密通道進行通訊
 攻擊來源的改變
 Rookit
 User 不易察覺
2011
Analyzing Anomalous Spamming
Activities in a Campus Network
 Spamming Bot
 現在多數由接收端過濾
 浪費頻寬與儲存空間(90%↑為spamming mail)
 林教授由發送端進行防禦
 Content‐based filtering
 looking for features in the mail headers and body
 Blacklisting
 Reply code 因設備不同而有所不同 -> group keywords
 K-means
實際偵測中正大學郵件狀況
殭屍病毒數位解藥之研發與監控
 由於bot 會利用：
 rookit達到隱藏效果
 Fast-flux (網址名稱對應多址)達到隱藏C&C
 但對hacker而言，rookit為黑箱
 故具有相同rookit可大膽預測為相同Bot -> 改版亦知
 數位解藥(DA)
 定期備份(註冊碼、服務程序、特定資料夾)
 Backup
 新Bot，死前也要傳log至其管理平台
 實驗樣本(國網中心)
 無法執行 -> 因為處於封閉的網路環境或是有偵測到為
sandbox / vm 環境
新時代的挑戰：智慧型手持裝置上
的資安威脅
Evolving Threat Landscapes Web-Based Botnet
through Exploit Kits and Scripts Evolution
 Spreading
 自動化工具
 Social engineering to trick
12/25前三位購買者享有300美元優惠，原價2500美元
整合型工具
簡易操作
心得
 台灣是寶島…
 C&C server居於全台之冠
 Bot越來越複雜
 APT
 了解黑市運作…
HIT2011_Day1







Keynote: Current Trends in Web Security Attacks
Trends in Targeted Malware
Escaping From Auto Sandboxes
雲@金山：一種不同的思路做雲安全
雲安全體系下的安全技術對抗
Android 執行檔注入與資料防護
APT Secrets in Asia (BOT2011)
HIT2011_Day2






Android 惡意程式逆向工程
Mobile Security in Japan
Make A Contract with IE and Become a XSS Girl!
Disassemble Flash Lite 3.0 SWF File
Android 應用程式逆向工程提示
行動 (手機) 鑑識技術及實務分享
Current Trends in Web Security
Attacks
Trends in Targeted Malware
 Hacker 如何賺錢
 Pay-Per-Install
 Pay-Per-Click
 Zeus – steal money ( 針對 )
 Social engineering
 其實有點APT的意味在
Escaping From Auto Sandboxes





I/O:FsFilter/RegCallback/Api Hook
程式行為隔離:Restricted Token/Api Hook
RPC隔離:Restricted Token/Api Hook
UI隔離:Job/Api Hook
DEMO:AVAST!(RPC) Kaspersky(UI) Comodo(UI) 金山
(參數檢查)
 現場demo因投影機不清楚所以不知道在做啥…
雲@金山：一種不同的思路做雲安全
心得
1.我實在不知道新思路在哪….
2.很像產品說明會
一鍵查殺…99%(?)
雲安全體系下的安全技術對抗
金山雲端
 手法
 斷網
 切斷、修改
 變形
 MD5變形
 MISC
 Rookit、MBR
客戶端
Day2
 …我都在玩wargame





Web
分析
Misc
加解密
Binary
 行動 (手機) 鑑識技術及實務分享
 Iphone + Hacker眾怒(??) = 砲轟
心得
 越來越多人研究智慧型手機
 Wargame
 誘因
 獎金
 限時
 金牌在台灣(@交大)