狠狠撸

狠狠撸Share a Scribd company logo

11/14王團研究室—安全大師王團論毒 in台中

?Download as PPT, PDF?
?
罢客邦
罢客邦

研究主題:安全大師王團論毒 1.必修課程:無止盡的正邪大戰 2.菁英課程:雲端鑑識更勝反恐特勤組 詳情請上罢客邦:http://www.techbang.com.tw/?p=25904

1 of 103
必修課程 - 無止盡的正邪大戰
安全威脅的近況 這幾個月來,上網衝浪有什麼危險? 早期技術和傳統技術磁碟捲土重來 現今 USB 隨身碟傳播惡意軟體 的途徑與過去的軟式磁碟片如出一轍 透過開放式檔案分享途徑散播惡意軟體 垃圾郵件和即時通訊管道
安全威脅的近況 這幾個月來,上網衝浪有什麼危險? 漏洞 盜用作業系統,瀏覽器以及第三方應用程式之漏洞感染使用者電腦,而無需使用者執行任何作業 例如 : 媒體檔案漏洞以及 PDF 刺探利用缺點
安全威脅的近況 這幾個月來,上網衝浪有什麼危險? 透過社交網路詐騙誘騙使用者
典型的攻擊媒介 駭客會危及 合法網站的 URL 新手段! 攻擊者可透過 社交網路詐騙技術 ( 偽裝編解碼器 ) 讓使用者受到感染 網站可以利用漏洞 (偷渡式下載)來攻擊使用者的瀏覽器 ? ? ? 5 合法 網站
該認清的事實 變種已成為現實問題 軟體打包程式和模糊技術可以導致一種威脅繁衍成數萬種獨特的檔案變種, 每天都有上萬種新威脅誕生! 被動防護 ==Enough? X
?
2007 全年的 特徵數 986,463 2008 年新增的 特徵數 1,656,227 2008 年偵測到的獨特檔案數 1.2 億
威脅更加複雜! Dll Injection
?
?
?
?
瀏览器仍是罪魁祸首?
無論是新漏洞還是舊漏洞,都經常會被攻擊者利用 Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness (BID 10514) PDF Collectemailinfo (BID 27641) Snapshot Viewer for Microsoft Access ActiveX 控制項任意檔案下載漏洞 (BID 30114) Windows Media Encoder 9 遠端程式碼執行漏洞 (BID 31065) RealPlayer ierpplug.dll ActiveX 控制項匯入播放清單名稱堆疊緩衝區溢位漏洞 (26130) Adobe Reader 'util.printf()' JavaScript 函式堆疊緩衝區溢位漏洞 (BID 30035) RealNetworks RealPlayer 'rmoc3260.dll' ActiveX 控制項記憶體損毀漏洞 (28157) Apple QuickTime RTSP URI 遠端緩衝區溢位漏洞 (21829) Adobe Flash Player 多媒體檔案遠端緩衝區溢位漏洞 (BID 28695) Microsoft Internet Explorer CreateTextRange 遠端程式碼執行漏洞 (17196) 2008 年發現的頂級 Web 漏洞 2008 年發現的漏洞 2004 年發現的漏洞 22
?
$49.95 攻擊者利用依安裝次數付費 (PPI) 成員散佈誤導型應用程式 29 PPI PPI PPI PPI
1000 個 1000 數量 成員 變種 驚人 X = 30 PPI PPI PPI PPI
长尾效应 2002 年,有 5043 個樣本。 2006 年,有 22911 個樣本。
长尾效应
长尾效应 2002 年,有 5043 個樣本。 愈低調的威脅,愈危險!
分層防護 40 老方法 vs 新典範
OPEN BOOK 隨堂測驗 + 問卷時間 固態硬碟可靠度調校心法 分層防護 尋找磁碟上儲存的檔案中存在的惡意軟體 技術包含: 隨選檔案防毒掃描技術 即時防毒技術 靜態檔案啟發式技術 雲端定義 41
隨堂測驗解答時間 固態硬碟可靠度調校心法 分層防護 在威脅侵入電腦之前就將其阻止 阻止未經授權的連線 尋找網路流中存在的惡意軟體 偵測惡意軟體並阻止其透過漏洞感染您的系統 包含: 防火牆 IPS 防網路釣魚 42
分層防護 尋找使用者系統中的可疑行為 如果檔案和網路防禦失敗,那麼行為偵測技術將提供最後一道防線 包含: HIPS 行為分析系統 行為特徵 43
( 2 ) Q 1 . 下列何者為揮發性記憶體 ( Non-volatile memory ) 的種類 ? (1) PROM (2) SRAM (3) EPROM (4) Flash memory ( 3 ) Q2. 對於 NAND 快閃記憶體與 NOR 快閃記憶體 的敘述,下列何者為非? (1)NOR 快閃記憶體為 Intel 發明 (2) 電晶 體的結構在 NAND 為串聯,在 NOR 為並聯 (3)NAND 快閃記憶體允許在晶片內執行程 式 ( XIP ) (4)NOR 快閃記憶體發明時間比 NAND 早 分層防護 根據「群體智慧」得出檔案和 URL 的安全信譽等級 ,從只關注惡意檔案這一模式轉向提供各檔案的相關資訊 包含: 有關檔案和 URL 的雲端信譽資訊
效能测试
正在啟動 Windows… 只測開機速度?別鬧了! F2 = 設定 F10 = 開機功能表
將 DVD 檔案轉換 為 IPOD 格式 複製家庭照片 和文件 瀏覽網際網路 下載檔案 安裝應用程式
安排任務的執行時間 資源使用量 開機 / 重新啟動 自動化
基本上,我們要做這麼多事。 實驗 1 : 效能物件 (TypePerf) 實驗 2 : 閒置時的效能 (TypePerf) 實驗 3 : HTTP 下載 (WGET) 實驗 4 : 壓縮 / 解壓縮 (7ZIP) 實驗 5 : 檔案複製 / 移動 / 刪除 實驗 6 : 實驗 6 :應用程式安裝 / 移除 (MSI) 實驗 7 : 網頁瀏覽 (HTTPWatch) 實驗 8 : 電影檔案轉換 (HandBrake) 實驗 9 : 開機時間測試 (Perflog) 實驗 10 : XPerf for Windows 7 和 Vista
S B G 諾頓 產品 A 產品 B 諾頓 諾頓 諾頓 諾頓 諾頓 產品 A 產品 B 檔案作業 壓縮 HTTP 下載 Web 瀏覽 電影檔案轉換 開機速度
效能數據從何判別? rocessor(0) Processor Time rocessor(1) Processor Time rocessor(0) Idle Time 中央處理單元 emoryvailable Bytes emoryommitted Bytes rocess(explorer)irtual Bytes 記憶體 hysicalDisk(0 C:) isk Writes /sec hysicalDisk(0 C:) Idle Time rocess(explorer) O Write Bytes /sec 磁碟
Gnu WGET 7-Zip HandBrake HTTP-Watch STOPKY Perflog Microsoft MSI XPerf 工具組 免費
其實你不必一直待在電腦前 typeperf -qx > ..erfmonll_avail_perf_objects.txt all_avail_perf_objects perfmon.ini
其實你不必一直待在電腦前 typeperf – cf ..erfmonerfmon.ini -si 1 -f csv -y -o ..erfmonest_name.csv + = START /min 「 test_name 」 ini
那麼,时间呢?
请善用自动化工具
檔案的下載速度呢? 別再相信 Windows 內建的下載進度列了! WGET http://www.pcadv.com.tw/xxx.zip
www.pcadv.com.tw … 41% 12% 100% 76% 你用碼錶測網頁載入時間嗎?
HTTPwatch
HOW? 1. 從 URL.TXT 中讀取要造訪的下一個 URL 2. 在記錄 模式下 啟動 HTTPwatch 3. 指示 網頁瀏覽器 上載 URL 4. 將效能衡量標準記錄成 CSV 格式 BROWSE.VBS url.txt
CSCRIPT BROWSE.VBS 重做 n 次
轉檔程式多有耗時統計 HandBrakeCLI -i input.wmv -o output.mp4 --preset=“iPhone & iPod Touch”
F2 = 設定 F10 = 開機功能表 正在啟動 Windows… 開機時間呢?
開機時間呢? 何時 真正完成開機?
一樣不必拿碼錶 透過 WMI 查詢「 到達桌面時間 」 每秒輪詢一次 CPU 佔用百分比 計算每個時間間隔,前提是 CPU 小於 5% 當 CPU 小於 5% 時,連續等待 10 秒 如果 CPU 達到峰值, 重新開始 計算 完成上述作業之後,記錄 目前時間 計算 兩個時點 之間的差值 開啟指標檔案 ( REPEAT.COUNT ) 按 1 遞減,並儲存檔案 BOOTTEST.VBS
一樣不必拿碼錶 啟動時執行 CSCRIPT BOOTTEST.VBS CALL SEND-RESULTS.BAT 如果我們的指標檔案存在 ( REPEAT.COUNT ) , 那麼執行 SHUTDOWN –r –t 1 否則,從 StartUp 資料夾中刪除捷徑,以防陷入無休止的迴圈當中 BOOTTEST. BAT
步驟整理 COPY BOOTTEST.lnk USERPROFILE%Start MenurogramsStartUp COPY REPEAT.INI REPEAT.COUNT SHUTDOWN –r –t 1 StartUp repeat.ini
步驟整理 CSCRIPT BOOTTEST.VBS CALL SEND-RESULTS.BAT Decrease REPEAT.COUNT SHUTDOWN –r –t 1 StartUp 取得開機時間 在 CPU 小於 5% 時等待 10 秒 取得目前時間 計算差值 repeat.count
番外篇─了解開機程序及效能耗用 Xbootmgr Xperf Xperfview Windows Vista Windows 7
Xbootmgr 正在重新啟動 PC F2 = 設定 F10 = 開機功能表 正在收集 活動
Xperfview
Xperf
Process Explorer 用於檢視執行中的程序、載入的檔案以及 DLL 的工具 Regshot 登錄快照工具 EventTracker ( What Changed for Windows ) 檔案和登錄變更監控工具 TCPView 列出所有開啟的 TCP 和 UDP 連線 Wireshark 網路封包擷取工具 GMER Rootkit 偵測和刪除工具
菁英課程 - 雲端鑑識更勝反恐特勤組
以信譽為基礎的雲端鑑識技術 Kurt Wang
課程 – 以信譽為基礎的雲端鑑識技術 問題點 信譽的概念 實作信譽 結論 問答 2
問題點 3
惡意程式的攻擊手法不斷進化更新 4 4 2009 年 2008 年 2007 年 2006 年 2005 年 2004 年 2003 年 2002 年 2001 年 靜態檔案掃描 入侵預防 行為監控 需要更多新技術 ... 防火牆
這是一場貓鼠遊戲 在我們增強技術的同時,惡意軟體編寫者也在進化 他們的技術很簡單 – 漏洞利用、加密、部署和重複 5
假設我們知道 : 現今世界上所有的檔案… 每個檔案各有多少拷貝數量 還有哪些檔案是 可靠的 和哪些檔案是 惡意的 現在我們依照普及度來排列 惡意的 在左邊 可靠的 在右邊 在我們繼續討論之前,先來瞭解一個大問題 數百萬的檔案變種 ( 可靠的和惡意的 )
在我們繼續討論之前,先來瞭解一個大問題 數百萬的檔案變種 ( 可靠的和惡意的 ) 遺憾的是,對於普及度較低的數千萬檔案,哪種方法都不管用。 9 以此推斷,我們可以得出下面的圖表: 惡意檔案 可靠檔案 普 及 度 白名單在此有效。 而在這條長尾區域,需要一項新的技術。 黑名單在此有效。
競爭對手的解決方案 競爭對手說的好像他們找到了那個技術 “ 雲端 ” 功能由網路伺服器傳遞 但實際的情況僅僅是傳遞 “ 更新的特徵 ” 只是老調重彈 不妨把這個想成是給用戶的一條 ‘ 找朋友求救的生命線 ’
競爭對手的解決方案 但若你的朋友不知道的時候怎麼辦 ? 雲端還是只能涵蓋防毒公司已知的威脅 今日現存多數的威脅的樣本數量都很小 別忘了那條長長的尾巴 ! 如果一種威脅的目標只是一兩台電腦,那麼安全供應商發現它的幾率有多大? 很低! 而且,如果他們不瞭解這類威脅,他們的雲端一樣無解 ! 因此「雲端」本身並沒有多大幫助 它只是一種以特徵為基礎的舊有模式,只是速度稍微快些 不具備主動預測能力
資歷 : 賽門鐵克成立至今已經超過 27 年 規模 : 500 多人的安全團隊,與安全事業同在 他們當中很多人在這個領域已有 10 多年的豐富經驗 從 DOS 病毒,到傳播迅速的 病蟲,到 rootkit ,再到誤導型應用程式 Carey Nachenberg , 14 年的行家老手 構建了第一個處理多態病毒的模擬程式 幾乎每個安全元件都有他的印記 帶著「如果……怎麼辦」的想法開始一天的工作 ( 他經常這麼做 ) 富有創新的第三種選擇 – 「信譽」 「 Ah-Ha 」時刻 ( 第 1 部分 ) 12 「好多 白髮!」
信譽的概念 13
請考慮一下,您是如何選擇餐廳的? 14 選項「 A 」 選項「 B 」 選項「 C 」
您會考慮 ... 15 選項「 A 」 選項「 B 」 選項「 C 」 裝潢?
或者是 ... 16 食物 ? 選項「 A 」 選項「 B 」 選項「 C 」
或者 ... 17 氣氛? 選項「 A 」 選項「 B 」 選項「 C 」
也可能您會詢問其他人 ... 18 或者… 朋友? 美食評論家 ? ... 儘管如此,您仍然可以只採納一個人的意見。
如果您詢問很多人,結果會怎樣呢? 19
您會搜集到各種不同意見。 此後,您就可以集思廣益了 ... 20 1 1 2 2 3 3 4 4 5 6 7 8 9 一些好評 還有一些負面評論 但是,如果提供的意見足夠多的話,就會達成 某種程度的一致
透過這種模式,您會知道餐廳的「信譽」如何 其實這種方法早已廣泛運用了 有大量的系統可推動這一方法的使用 21 音樂 書籍 電影
那麼信譽在安全領域意味著什麼? 引入了富有創新的全新防護層 讓我們從僅鎖定於「惡意」檔案的模式轉換到提供全部檔案資訊的模式 試著運用信譽預測檔案是可靠的還是惡意的 提供有關全部檔案的可採取行動的資料 22 這是惡意檔案 這是可靠檔案
信譽只套用至應用程式嗎? 不完全是。 它同樣套用至: 23 應用程式 媒體 網站 Web 服務 電子郵件 這裡只列舉了其中的幾種 ...
實作信譽 24
建立信譽 ... 那麼其他人是怎麼做的呢? 透過「詢問」他們的使用者? -- 電子郵件、 Web 等等 25 或許我們也可以使用類似的方法? 我們要求使用者對他們下載的應用程式進行評比 過一段時間,應用程式會建立起信譽 諾頓產品僅允許使用者執行至少有「四顆星」的程式。
不過此過程不會很快 對於使用者來說,安全或不安全並不是一目瞭然的 26 很多威脅是悄無聲息的,使用者甚至對它們的存在毫無知覺 一些威脅會感染合法程序 – 非程序威脅 (NPT) 其他威脅會偽裝成合法檔案 ... AntiVirus 2009 這說明我們不能僅僅「詢問」使用者以獲得意見反應!
「 Ah-Ha 」時刻 ( 第 2 部分 ) 賽門鐵克目前擁有的使用者超過了 1.3 億 ( 個人用戶和企業 ) 我們可以利用這一獨有的使用者群,要求我們的使用者 自動 貢獻「信譽」資料,以便相互幫助。 透過選擇性加入程式匿名貢獻資料,使用者可以協助我們瞭解: 某個檔案位於多少台電腦上 我們首次看到該檔案的時間 有關該檔案的其他資料 這讓我們能夠自動計算某個指定檔案的「 信譽 」分數,甚至無需掃描檔案本身 而且,最重要的是 無需詢問使用者 。 27
信譽的工作原理 28 賽門鐵克威脅提交伺服器 賽門鐵克信譽 伺服器 1 收集資料 2 計算信譽分數 3 提供信譽分數 檔案雜湊 可靠 / 惡意 信任度 普及度 首次看到檔案的日期
信譽剖析 收集資料 將資料匿名傳送給 賽門鐵克 產品顯示 傳送給賽門鐵克的所有資料 29 使用者下載新的可執行內容 Norton Community Watch 1 檔案雜湊 首次看到的日期 / 時間 檔案名和路徑 … Install.exe
信譽剖析 計算信譽分數 這點是我們的「秘方」 比方說,它跟 Google 用來確定相關性的「頁面評級」的精神相似 我們擁有: 大量屬性 大量檔案 大量具有貢獻精神的使用者 無需檔案指紋 30 2
信譽剖析 提供信譽分數 幸好我們對大型資料中心的執行並不外行 我們可以充分利用 大規模儲存管理和可用性 專業知識 31 對數百萬端點提供信譽分數需要具有雄厚的實力 3
信譽發展時間表 32 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽 非常有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料
諾頓社群防衛 33 * 自 2009 年 6 月 9 日起 306,416,980 * 獨特檔案的匿名資料 28,950,154 * 選擇性參與者
信譽航程 - 時間表 34 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽非常 有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料 2008 年 8 月 諾頓智慧型掃描 略過對高可信度檔案的掃描
諾頓智慧型掃描 大大減少了不必要的掃描作業 35 掃描次數減少 諾頓只分析不受信任的應用程式 由線上智慧型系統提供後台支援 根據 Norton Community 或 Norton Trust 判斷程式的可信度
諾頓智慧型掃描可加快掃描速度 諾頓智慧型掃描 傳統掃描 36 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü
信譽航程 - 時間表 37 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽 非常有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料 2008 年 8 月 諾頓智慧型掃描 略過 對高可信度檔案的掃描 今天 諾頓「信譽」 攔截 新型 惡意軟體
信譽的效果 完全相符的特徵 和啟發式技術 38 不掃描 攔截 允許 可能會 漏掉很多 惡意檔案 ( 行為攔截功能 和 IPS 會捕獲這些惡意檔案 ) 諾頓 2010 不掃描 掃描並允許 攔截 警告 ( 極少數使用者,最近發佈的,並非來自主流發佈者 URL) 完全相符的特徵 即時更新 諾頓可信任 諾頓信譽 惡意 諾頓信譽 安全 諾頓信譽 警告 100% 信任 100% 不信任 2009 年與 2010 年競爭對比 諾頓可信任 完全相符的特徵 和啟發式技術 即時更新 100% 信任 100% 不信任 100% 不信任 100% 信任 傳統 產品
那麼,綜合起來看呢? 傳統安全產品僅側重於報告惡意檔案。 信譽還提供有關可靠檔案的明確資訊 但是如果運用信譽也無法預測檔案是可靠的還是惡意的,又該怎麼辦呢? 39 完全相符的特徵 即時更新 諾頓可信任 諾頓信譽 惡意 諾頓信譽 安全 諾頓信譽 警告
警告有多大幫助呢? 這樣的對話方塊並不會提供真正有用的資訊來協助使用者做出明智決策 40 我們都看到過類似下面的對話方塊… 這會讓… … 使用者感到困惑和沮喪
諾頓信譽 有關全部檔案的可採取行動的資料 即使諾頓無法明確預測結果的「好」或「壞」,信譽仍能為使用者提供可採取行動的資料。 41 有多少其他諾頓使用者擁有此檔案? 諾頓使用者何時首次看到此檔案? 4 小時
諾頓信譽 使用實例 首次透過 IE 、 Firefox 等下載程式 用戶端在檔案的信譽 比較差時予以攔截。 下載是傳播新型惡意軟體的主要手段。 使用者以滑鼠右鍵按下程式圖示,可選取即時查詢「信譽」服務來取得最新的資訊。 可以隨時按需查詢任何可執行內容。 一般特徵或行為攔截功能偵測到一種新型威脅。 信譽資料可用於降低極其普遍的誤報偵測帶來的風險。 快速掃描執行時 ( 通常每天一次 ) 用戶端在檔案的信譽 比較差時予以攔截。 驗證所有執行中的程序、驅動程式以及記憶體。 本機啟發式掃描懷疑惡意軟體。 用戶端在檔案的信譽同時比較差時予以攔截。 啟發式技術和信譽是互不相關的,因此,我們將二者結合使用時,可以捕獲更多惡意軟體,而不會導致誤報率增加。 在以下時間檢查信譽: 五個不同的使用實例: 我們的與眾不同之處不在於雲端本身,而在於雲端所提供的資訊 下載時 以滑鼠右鍵 按下檔案 誤報 緩和 掃描 執行中的程序 主動 啟發式技術 雲端掃描技術 雲端一樣可用來提供傳統特徵。 這有助於解決傳統特徵更新間隔期間的問題。
結論 43
信譽改變了遊戲規則 信譽改變了惡意軟體 / 反惡意軟體遊戲的規則 我們再也不需要僅依靠傳統特徵 我們現在使用數千萬使用者提供的中繼資料來識別惡意軟體 攻擊者無法再利用惡意軟體 的伎倆來逃避我們的偵測 44
信譽:改寫遊戲規則 當今的遊戲 45 您
信譽:改寫遊戲規則 將來的遊戲 ( 借助諾頓 2010 信譽 ) 46 您 信譽 和 Norton Community Watch
結論 全面整合 信譽: 提供一個全新的端點安全保障方法 它增強了我們目前的防護技術提供的保護功能 將局面扭轉為對我們有利,而對惡意軟體編寫者不利 47
問題 48
谢谢大家!

More Related Content

11/14王團研究室—安全大師王團論毒 in台中

Editor's Notes

  1. 1
  2. 2
  3. 3
  4. 4 4
  5. 5
  6. 12
  7. 13
  8. 14
  9. 15
  10. 16
  11. 17
  12. 18
  13. 19
  14. 20
  15. 21
  16. 22
  17. 23
  18. 24
  19. 25
  20. 26
  21. 27
  22. 28
  23. 29
  24. 30
  25. 31
  26. 32
  27. 33
  28. 34
  29. 35
  30. 36
  31. 37
  32. 38
  33. 39
  34. 40
  35. 41
  36. 42
  37. 43
  38. 44
  39. 45
  40. 46
  41. 47
  42. 48
  43. 49