資安新聞簡報

1. 資安新聞簡報 20110725 劉旭哲

2. 研討會心得 BOT2011 HIT2011

3. Agenda • BOT2011 • 從 APT 攻擊看全球危機與台灣轉機 • 吳明蔚 Xecure-Lab 首席資安研究員 • My account, your responsibility • 許富皓 國立中央大學資訊工程系助理教授 • Botnet 社群網戰 • 蔡一郎 財團法人國家實驗研究院國家高速網路與計算中心副研究員 • Analyzing Anomalous Spamming Activities in a Campus Network • 林柏青 國立中正大學資訊工程學系助理教授

4. 殭屍病毒數位解藥之研發與監控 • 王平 崑山科技大學資訊管理學系系主任兼所長 • 新時代的挑戰：智慧型手持裝置上的資安威脅 • 王阜毓 國立交通大學網路測試中心資訊安全測試部門經理 • Evolving Threat Landscapes Web-Based Botnet through Exploit Kits and Scripts Evolution • 鄭毓芹 國立成功大學電腦與通信工程研究所博士候選人

5. 從 APT 攻擊看全球危機與台灣轉機 • HIT2011 Day1Session6 • APT (Advanced Persistent Threat) • 美國官方已重視此項問題 • 軍事行為 • 現有防毒 -> 特徵碼 • MS21.4% • 多面向攻擊路徑 • 外網web被攻陷 -> 成為跳板 • 攻擊內網伺服器,eg ADserver • 信箱複寄給hacker-> 重要資訊Hacker皆有 • 貌似正常郵件，附檔卻搞鬼 -> eg家福學長

7. APTAttributes • Static • 可執行程式碼，Shellcode與 PE header • Dynamic • Malware行為 • 安裝於Windows系統的方式 • 掃描程式碼中是否出現已知的Behavior • Code Injection, Rootkit, Password Collector, Anti-AV… • 出現的可疑字串，如email, domain, ip, URL

10. My account, your responsibility • 智慧型手機 • 雙驗證機制 • MAC-YURI • 2 mode , normal and forward

11. MAC-YURI’s Structure Bot command Or normal SMS

12. Botnet 社群網戰 • Botnet • 自動化 • Spam • APT • 0-day • 結合病毒、蠕蟲、木馬等特徵 • C&C(IRCHTTP) • Mothership • 扮演資訊交換或收集中心的角色

13. 傳統資安設備失靈 • 使用開放的通訊埠進行通訊 • HTTP • 建立加密通道進行通訊 • 攻擊來源的改變 • Rookit • User 不易察覺

14. 2011

15. Analyzing Anomalous Spamming Activities in a Campus Network • Spamming Bot • 現在多數由接收端過濾 • 浪費頻寬與儲存空間(90%↑為spamming mail) • 林教授由發送端進行防禦 • Content‐basedfiltering • looking for features in the mail headers and body • Blacklisting • Reply code 因設備不同而有所不同 -> group keywords • K-means

16. 實際偵測中正大學郵件狀況

17. 殭屍病毒數位解藥之研發與監控 • 由於bot 會利用： • rookit達到隱藏效果 • Fast-flux (網址名稱對應多址)達到隱藏C&C • 但對hacker而言，rookit為黑箱 • 故具有相同rookit可大膽預測為相同Bot -> 改版亦知 • 數位解藥(DA) • 定期備份(註冊碼、服務程序、特定資料夾) • Backup • 新Bot，死前也要傳log至其管理平台

18. 實驗樣本(國網中心) • 無法執行 ->因為處於封閉的網路環境或是有偵測到為sandbox / vm環境

19. 新時代的挑戰：智慧型手持裝置上的資安威脅

22. Evolving Threat Landscapes Web-Based Botnet through Exploit Kits and Scripts Evolution • Spreading • 自動化工具 • Social engineering to trick

23. 12/25前三位購買者享有300美元優惠，原價2500美元12/25前三位購買者享有300美元優惠，原價2500美元 整合型工具 簡易操作

25. 心得 • 台灣是寶島… • C&Cserver居於全台之冠 • Bot越來越複雜 • APT • 了解黑市運作…

26. HIT2011_Day1 Keynote: Current Trends in Web Security Attacks Trends in Targeted Malware Escaping From Auto Sandboxes 雲@金山：一種不同的思路做雲安全 雲安全體系下的安全技術對抗 Android 執行檔注入與資料防護 APT Secrets in Asia(BOT2011)

27. HIT2011_Day2 Android 惡意程式逆向工程 Mobile Security in Japan Make A Contract with IE and Become a XSS Girl! Disassemble Flash Lite 3.0 SWF File Android 應用程式逆向工程提示 行動 (手機) 鑑識技術及實務分享

28. Current Trends in Web Security Attacks

30. Trends in Targeted Malware • Hacker 如何賺錢 • Pay-Per-Install • Pay-Per-Click • Zeus – steal money( 針對 ) • Social engineering • 其實有點APT的意味在

31. Escaping From Auto Sandboxes I/O:FsFilter/RegCallback/Api Hook 程式行為隔離:Restricted Token/ApiHook RPC隔離:Restricted Token/ApiHook UI隔離:Job/Api Hook DEMO:AVAST!(RPC) Kaspersky(UI) Comodo(UI) 金山(參數檢查) 現場demo因投影機不清楚所以不知道在做啥…

32. 雲@金山：一種不同的思路做雲安全

34. 心得 1.我實在不知道新思路在哪…. 2.很像產品說明會 一鍵查殺…99%(?)

35. 雲安全體系下的安全技術對抗 金山雲端 客戶端 • 手法 • 斷網 • 切斷、修改 • 變形 • MD5變形 • MISC • Rookit、MBR

36. Day2 • …我都在玩wargame • Web • 分析 • Misc • 加解密 • Binary • 行動 (手機) 鑑識技術及實務分享 • Iphone+Hacker眾怒(??)= 砲轟

37. 心得 • 越來越多人研究智慧型手機 • Wargame • 誘因 • 獎金 • 限時 • 金牌在台灣(@交大)