第二天的主講人包含邱春樹(Roger Chiu from Malware-Test.com)、馮祥安(Sean Feng from TrendMicro)、邱銘彰(Birdman from Armorize)、PK(PK from 警政署)、Kuon Ding(Kuon Ding from Armorize)與Nanika(Nanika from COSEINC)六位,其主講內容包含:
1. Roger - Gotcha! Most Effective Ways to Catch Malware Behaviors on Live Systems
利用偵測惡意程式常用的行為與數位鑑識的概念與方法,找出系統遭受惡意程式感染的任何蛛絲馬跡,以期發現惡意程式之存在。因為目前惡意程式通常會試著躲過某些安全軟體,甚至隱藏自己的行蹤,因此要完全根據其使用的技術加以偵測總會有遺漏之處。所以Roger透過各類資訊的收集與比對,找出不一致的地方,點出可能是惡意程式存在的證據。但是因為很多牽扯到作業系統核心資訊的收集與解析,這方面是有很高的難度。原因在於微軟的作業系統並沒有提供各式資訊的資料結構說明,所以必須靠逆向工程的方式去找出資料的意義。
2. Sean Feng - Enbedded Script Attacks
介紹目前將程式碼內嵌於各種檔案格式的攻擊方法,並試著偵測出已經被內嵌惡意程式碼的檔案。目前內嵌程式碼的攻擊目標包含可執行檔、多媒體檔與文件檔,可透過程式本身的執行能力或是處理檔案的應用程式臭蟲而達到執行程式的目的。這類惡意程式碼本身主要功能為連上網路下載真正的惡意程式,所以內嵌的惡意程式碼不大,也不會產生其他惡意行為,所以很難被現有的防毒軟體加以偵測到。因為光靠下載網址或是下載檔案的內容很難有效判斷是否為惡意程式,因此Sean利用這類程式都會動態找出下載檔案API記憶體位址的動作,試著去找出惡意的內嵌程式碼。雖然這樣的方法可以面對現在大多的內嵌惡意程式碼,但是當惡意程式發現此一偵測方法,如果有其他的實作方式,就有可能造成判斷的失效。此一技術目前還在Lab階段,並沒包含在TrendMicro的正式產品中。
3. Birdman - Crimeware Forensics Analysis using Toolmarks
利用分析惡意程式特徵值的方式,試圖找出惡意程式的相關性(Grouping),據此找出惡意程式可能的來源。講解方式生動有趣,不過我要轉成文字說明就不容易了。分析方法為透過Sandbox的方式,實際觀察惡意程式的行為,並據此轉換為特徵值。此Sandbox可模擬網路環境的存在,已欺騙部分惡意程式會透過檢查網路連線與否而反制Sandbox的機制。
4. PK - CSI Live: Windows Memory Forensics
主要介紹Windows記憶體內的資料鑑識。之前的數位鑑識比較多著重在非揮發性設備(如硬碟)的資料上,而記憶體內資料的鑑識則是比較缺乏。除了記憶體內容的鑑識,休眠檔也因為存有記憶體內的資料,同樣也可以提供鑑識。鑑識時可以使用1394的DMA功能,直接透過1394介面將另外一台電腦的記憶體內容複製下來。現場有兩個展示,一個是利用1394的DMA功能,直接Patch記憶體內的指令,將檢查登入密碼的程序置換指令,達成不需要密碼就可以登入作業系統的目的。另外一個則是放置一個Patch過的休眠檔,同樣將檢查登入密碼的程序置換指令,達到不用密碼直接登入的目的。PK主講經驗應該果然豐富,講的雖然算不上活潑生動,但是具有相當的知識性與效果。
5. Kuon Ding - Python Makes You Fly Safely
介紹Python程式語言相關的安全議題。包含Python與C程式語言的結合、Python Bytecode、Deassembler、Decompiler與JIT (Just In Time) Compiler等。雖然曾經寫過一陣子的Python,不過後來沒再接觸,而大多的與會者也沒接觸過Python,算是比較沒有辦法引起共鳴的議題。講的東西有些多,所以顯得有些雜亂(Sorry for that)。
6. Nanika - The Powerful Evil On Mobile Phones
另外一場跟Mobile Mobile安全相關的議題,不過談的內容並不侷限於Rootkit。只是後來有一大段時間在講解怎麼寫ShellCode,這部分如果不是真的寫過的人,還是很難引起共鳴。不過還好有展示(透過模擬器),展示的程式是將名稱符合特定字串的檔案或目錄隱藏起來。另外一個是透過Rootkit將Mobile Device的位置回報,並顯示在Google Maps上。只不過這部分並沒有實際的展示。因為講的東西比較多,同樣顯得有些雜亂了(Sorry again)。
沒有留言:
張貼留言