11/14王團研究室—安全大師王團論毒 in台中

必修課程 -無止盡的正邪大戰

安全威脅的近況這幾個月來，上網衝浪有什麼危險？

早期技術和傳統技術磁碟捲土重來

現今 USB 隨身碟傳播惡意軟體的途徑與過去的軟式磁碟片如出一轍

透過開放式檔案分享途徑散播惡意軟體

垃圾郵件和即時通訊管道

安全威脅的近況這幾個月來，上網衝浪有什麼危險？

漏洞

盜用作業系統，瀏覽器以及第三方應用程式之漏洞感染使用者電腦，而無需使用者執行任何作業

例如 : 媒體檔案漏洞以及 PDF 刺探利用缺點

安全威脅的近況這幾個月來，上網衝浪有什麼危險？

透過社交網路詐騙誘騙使用者

典型的攻擊媒介駭客會危及合法網站的 URL

新手段！攻擊者可透過社交網路詐騙技術 (偽裝編解碼器 ) 讓使用者受到感染

網站可以利用漏洞

（偷渡式下載）來攻擊使用者的瀏覽器

5

合法網站

該認清的事實變種已成為現實問題

軟體打包程式和模糊技術可以導致一種威脅繁衍成數萬種獨特的檔案變種，每天都有上萬種新威脅誕生！

被動防護 ==Enough?X

2007 全年的特徵數

986,4632008 年新增的特徵數

1,656,2272008 年偵測到的獨特檔案數

1.2 億

威脅更加複雜！

Dll Injection

瀏覽器仍是罪魁禍首？

• 無論是新漏洞還是舊漏洞，都經常會被攻擊者利用

1. Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness (BID 10514)

2. PDF Collectemailinfo (BID 27641) 3. Snapshot Viewer for Microsoft Access ActiveX 控制項任意檔案下載漏洞 (BID

30114) 4. Windows Media Encoder 9 遠端程式碼執行漏洞 (BID 31065) 5. RealPlayer ierpplug.dll ActiveX 控制項匯入播放清單名稱堆疊緩衝區溢位漏洞

(26130) 6. Adobe Reader 'util.printf()' JavaScript 函式堆疊緩衝區溢位漏洞 (BID 30035) 7. RealNetworks RealPlayer 'rmoc3260.dll' ActiveX 控制項記憶體損毀漏洞 (28157) 8. Apple QuickTime RTSP URI 遠端緩衝區溢位漏洞 (21829) 9. Adobe Flash Player 多媒體檔案遠端緩衝區溢位漏洞 (BID 28695) 10. Microsoft Internet Explorer CreateTextRange 遠端程式碼執行漏洞 (17196)

2008 年發現的頂級 Web 漏洞

2008 年發現的漏

洞

2008 年發現的漏

洞

2004 年發現的漏

洞

2004 年發現的漏

洞

22

PPI

PPI

PPI

PPI

$49.95

攻擊者利用依安裝次數付費 (PPI) 成員散佈誤導型應用程式

29

PPI

PPI

PPI

PPI

1000 個 1000 數量成員 變種 驚人X =

30

長尾效應

2002 年，有 5043 個樣本。2006 年，有 22911 個樣本。

長尾效應

長尾效應

2002 年，有 5043 個樣本。

愈低調的威脅，愈危險！

分層防護

40

老方法 vs

新典範

OPEN BOOK 隨堂測驗+

問卷時間

固態硬碟可靠度調校心法

分層防護尋找磁碟上儲存的檔案中存在的惡意軟體技術包含：

隨選檔案防毒掃描技術 即時防毒技術靜態檔案啟發式技術雲端定義

41

隨堂測驗解答時間

固態硬碟可靠度調校心法

分層防護在威脅侵入電腦之前就將其阻止阻止未經授權的連線尋找網路流中存在的惡意軟體偵測惡意軟體並阻止其透過漏洞感染您的系統包含：

防火牆IPS防網路釣魚 42

分層防護尋找使用者系統中的可疑行為如果檔案和網路防禦失敗，那麼行為偵測技術將提供最後一道防線包含：

HIPS行為分析系統行為特徵

43

( 2 ) Q1. 下列何者為揮發性記憶體 (Non-volatile memory) 的種類 ？ (1)PROM (2)SRAM (3)EPROM (4) Flash memory ( 3 ) Q2. 對於 NAND 快閃記憶體與 NOR 快閃記憶體 的敘述，下列何者為非？ (1)NOR 快閃記憶體為 Intel 發明 (2) 電晶 體的結構在 NAND 為串聯，在 NOR 為並聯 (3)NAND 快閃記憶體允許在晶片內執行程 式 (XIP) (4)NOR 快閃記憶體發明時間比 NAND早

分層防護根據「群體智慧」得出檔案和 URL 的安全信譽等級 ，從只關注惡意檔案這一模式轉向提供各檔案的相關資訊包含：

有關檔案和 URL 的雲端信譽資訊

效能測試

F2 = 設定F10 = 開機功能表

正在啟動 Windows…

只測開機速度？別鬧了！

將 DVD 檔案轉換 為 IPOD 格式

複製家庭照片 和文件

瀏覽網際網路下載檔案

安裝應用程式

安排任務的執行時間 資源使用量 開機 /重新啟動 自動化

基本上，我們要做這麼多事。

實驗 1 ： 效能物件 (TypePerf)

實驗 2 ： 閒置時的效能 (TypePerf)

實驗 3： HTTP 下載 (WGET)

實驗 4： 壓縮 / 解壓縮 (7ZIP)

實驗 5： 檔案複製 /移動 /刪除

實驗 6： 實驗 6：應用程式安裝 /移除 (MSI)

實驗 7 ： 網頁瀏覽 (HTTPWatch)

實驗 8 ： 電影檔案轉換 (HandBrake)

實驗 9 ： 開機時間測試 (Perflog)

實驗 10 ： XPerf for Windows 7 和 Vista

SS BBGG

諾頓 產品 A 產品 B

諾頓

諾頓

諾頓

諾頓

諾頓

產品 A

產品 B

檔案作業

壓縮

HTTP 下載

Web 瀏覽

電影檔案轉換

開機速度

\Processor(0)\% Processor Time\Processor(1)\% Processor Time

\Processor(0)\% Idle Time

中央處理單元

\Memory\Available Bytes\Memory\Committed Bytes

\Process(explorer)\Virtual Bytes

記憶體

\PhysicalDisk(0 C:) \Disk Writes /sec\PhysicalDisk(0 C:) \% Idle Time

\Process(explorer) \IO Write Bytes /sec

磁碟

效能數據從何判別？

免費免費Gnu WGET

7-ZipHandBrake

HTTP-WatchSTOPKYPerflog

Microsoft MSIXPerf 工具組

其實你不必一直待在電腦前

typeperf -qx >

..\perfmon\all_avail_perf_objects.txt

all_avail_perf_objects

perfmon.ini

其實你不必一直待在電腦前

typeperf

–cf ..\perfmon\perfmon.ini

-si 1 -f csv -y

-o ..\perfmon\test_name.csv

ini+ =

START /min 「 test_name」

那麼，時間呢？

請善用自動化工具

檔案的下載速度呢？

別再相信Windows內建的下載進度列了！

WGET http://www.pcadv.com.tw/xxx.zip

www.pcadv.com.tw …

41%12%100%76%

你用碼錶測網頁載入時間嗎？

HTTPwatch

HOW?

1. 從 URL.TXT 中讀取要造訪的下一個 URL

2. 在記錄 模式下 啟動 HTTPwatch

3. 指示 網頁瀏覽器 上載 URL

4. 將效能衡量標準記錄成 CSV 格式

BROWSE.VBS

url.txt

CSCRIPT BROWSE.VBS

重做 n 次

轉檔程式多有耗時統計

HandBrakeCLI -i input.wmv -o output.mp4

--preset=“iPhone & iPod Touch”

F2 = 設定F10 = 開機功能表

正在啟動 Windows…

開機時間呢？

開機時間呢？

何時何時真正完成開機？真正完成開機？

一樣不必拿碼錶 透過 WMI 查詢「到達桌面時間」

每秒輪詢一次 CPU 佔用百分比

計算每個時間間隔，前提是 CPU 小於 5%

當 CPU 小於 5% 時，連續等待 10 秒

如果 CPU 達到峰值，重新開始計算

完成上述作業之後，記錄目前時間

計算 兩個時點 之間的差值

開啟指標檔案 (REPEAT.COUNT)

按 1 遞減，並儲存檔案

BOOTTEST.VBS

一樣不必拿碼錶

啟動時執行 CSCRIPT BOOTTEST.VBS

CALL SEND-RESULTS.BAT

如果我們的指標檔案存在 (REPEAT.COUNT)，

那麼執行 SHUTDOWN –r –t 1

否則，從 StartUp 資料夾中刪除捷徑，以防陷

入無休止的迴圈當中

BOOTTEST.BAT

步驟整理

COPY BOOTTEST.lnk \%USERPROFILE%\

Start Menu\Programs\StartUp

COPY REPEAT.INI REPEAT.COUNT

SHUTDOWN –r –t 1

StartUprepeat.in

i

步驟整理

CSCRIPT BOOTTEST.VBS

CALL SEND-RESULTS.BAT

Decrease REPEAT.COUNT

SHUTDOWN –r –t 1

StartUprepeat.count

取得開機時間 在 CPU 小於 5% 時等待

10 秒取得目前時間計算差值

取得開機時間 在 CPU 小於 5% 時等待

10 秒取得目前時間計算差值

番外篇─了解開機程序及效能耗用

Xbootmgr

Xperf

Xperfview

Windows Vista Windows 7

Xbootmgr 正在重新啟動

PC

F2 = 設定

F10 = 開機功能表

正在收集

活動

Xperfview

Xperf

1. Process Explorer用於檢視執行中的程序、載入的檔

案以及 DLL 的工具2. Regshot

登錄快照工具3. EventTracker（What

Changed for Windows）檔案和登錄變更監控工具

4. TCPView列出所有開啟的 TCP 和 UDP 連

線5. Wireshark

網路封包擷取工具6. GMER

Rootkit 偵測和刪除工具

菁英課程 -雲端鑑識更勝反恐特勤組

以信譽為基礎的雲端鑑識技術Kurt Wang

課程 – 以信譽為基礎的雲端鑑識技術

• 問題點• 信譽的概念• 實作信譽• 結論• 問答

2

問題點

3

惡意程式的攻擊手法不斷進化更新

4

4

2009 年

2008 年

2007 年2006 年

2005 年2004 年2003 年2002 年2001 年

靜態檔案掃描

入侵預防

行為監控

需要更多新技術 ...

防火牆

這是一場貓鼠遊戲

• 在我們增強技術的同時，惡意軟體編寫者也在進化

• 他們的技術很簡單 – 漏洞利用、加密、部署和重複

5

• 假設我們知道 :– 現今世界上所有的檔案…– 每個檔案各有多少拷貝數量– 還有哪些檔案是可靠的和哪些檔案是惡意的

• 現在我們依照普及度來排列– 惡意的在左邊– 可靠的在右邊

在我們繼續討論之前，先來瞭解一個大問題數百萬的檔案變種 ( 可靠的和惡意的 )

62

遺憾的是，對於普及度較低的數千萬檔案，哪種方法都不管用。遺憾的是，對於普及度較低的數千萬檔案，哪種方法都不管用。

在我們繼續討論之前，先來瞭解一個大問題數百萬的檔案變種 ( 可靠的和惡意的 )

9

以此推斷，我們可以得出下面的圖表：惡意檔案 可靠檔案

普及

度

白名單在此有效。白名單在此有效。而在這條長尾區域，需要一項新的技術。 而在這條長尾區域，需要一項新的技術。 黑名單在此有效。黑名單在此有效。

競爭對手的解決方案

• 競爭對手說的好像他們找到了那個技術

• “雲端”– 功能由網路伺服器傳遞– 但實際的情況僅僅是傳遞 “更新的特徵”

– 只是老調重彈

• 不妨把這個想成是給用戶的一條‘找朋友求救的生命線’

64

競爭對手的解決方案

• 但若你的朋友不知道的時候怎麼辦 ?• 雲端還是只能涵蓋防毒公司已知的威脅

– 今日現存多數的威脅的樣本數量都很小– 別忘了那條長長的尾巴 !– 如果一種威脅的目標只是一兩台電腦，那麼安全供應商發現它的幾率有多大？

– 很低！ 而且，如果他們不瞭解這類威脅，他們的雲端一樣無解 !

• 因此「雲端」本身並沒有多大幫助– 它只是一種以特徵為基礎的舊有模式，只是速度稍微

快些– 不具備主動預測能力

65

• 資歷 : 賽門鐵克成立至今已經超過 27 年• 規模 : 500 多人的安全團隊，與安全事業同在• 他們當中很多人在這個領域已有 10 多年的豐富經驗

– 從 DOS 病毒，到傳播迅速的病蟲，到 rootkit ，再到誤導型應用程式

• Carey Nachenberg， 14 年的行家老手– 構建了第一個處理多態病毒的模擬程式– 幾乎每個安全元件都有他的印記

• 帶著「如果……怎麼辦」的想法開始一天的工作 (他經常這麼做 ) • 富有創新的第三種選擇 – 「信譽」

「 Ah-Ha」時刻 ( 第 1 部分 )

12

「好多白髮！」

信譽的概念

13

請考慮一下，您是如何選擇餐廳的？

14

選項「 A」

選項「 B」

選項「 C」

您會考慮 ...

15

選項「 A」

選項「 B」

選項「 C」

裝潢？裝潢？

或者是 ...

16

食物食物 ??選項「 A」

選項「 B」

選項「 C」

或者 ...

17

氣氛？氣氛？選項「 A」

選項「 B」

選項「 C」

也可能您會詢問其他人 ...

18

或者…

朋友？

美食評論家 ?

...儘管如此，您仍然可以只採納一個人的意見。

如果您詢問很多人，結果會怎樣呢？

19

您會搜集到各種不同意見。

此後，您就可以集思廣益了 ...

20

1 1223 34456789一些好評 還有一些負面評論

但是，如果提供的意見足夠多的話，就會達成某種程度的一致

透過這種模式，您會知道餐廳的「信譽」如何

• 其實這種方法早已廣泛運用了

• 有大量的系統可推動這一方法的使用

21

音樂書籍 電影

那麼信譽在安全領域意味著什麼？• 引入了富有創新的全新防護層• 讓我們從僅鎖定於「惡意」檔案的模式轉換到提供全部檔案資訊的模式

• 試著運用信譽預測檔案是可靠的還是惡意的• 提供有關全部檔案的可採取行動的資料

22

這是惡意檔案 這是可靠檔案

信譽只套用至應用程式嗎？

• 不完全是。 它同樣套用至：

23

應用程式

媒體網站Web 服務 電子郵件

這裡只列舉了其中的幾種 ...

實作信譽

24

建立信譽 ...

• 那麼其他人是怎麼做的呢？• 透過「詢問」他們的使用者？ -- 電子郵件、Web 等等

25

• 或許我們也可以使用類似的方法？– 我們要求使用者對他們下載的應用程式進行評比– 過一段時間，應用程式會建立起信譽– 諾頓產品僅允許使用者執行至少有「四顆星」的程式。

不過此過程不會很快

對於使用者來說，安全或不安全並不是一目瞭然的

26

很多威脅是悄無聲息的，使用者甚至對它們的存在毫無知覺

一些威脅會感染合 法程序 – 非程序威

脅 (NPT)

其他威脅會偽裝成合法檔案 ...AntiVirus 2009

這說明我們不能僅僅「詢問」使用者以獲得意見反應！

「 Ah-Ha」時刻 ( 第 2 部分 )

• 賽門鐵克目前擁有的使用者超過了 1.3 億 ( 個人用戶和企業 )

• 我們可以利用這一獨有的使用者群，要求我們的使用者自動貢獻「信譽」資料，以便相互幫助。

• 透過選擇性加入程式匿名貢獻資料，使用者可以協助我們瞭解：– 某個檔案位於多少台電腦上– 我們首次看到該檔案的時間– 有關該檔案的其他資料

• 這讓我們能夠自動計算某個指定檔案的「信譽」分數，甚至無需掃描檔案本身

• 而且，最重要的是無需詢問使用者。27

信譽的工作原理

28

賽門鐵克威脅提交伺服器

賽門鐵克信譽伺服器

檔案雜湊

可靠 / 惡意

信任度

普及度

首次看到檔案的日期

11 收集資料22 計算信譽分數

33 提供信譽分數

信譽剖析收集資料

• 將資料匿名傳送給賽門鐵克

• 產品顯示傳送給賽門鐵克的所有資料

29

檔案雜湊首次看到的日期 / 時間檔案名和路徑…

Install.exe

• 使用者下載新的可執行內容

Norton Community WatchNorton Community Watch

11

信譽剖析計算信譽分數

• 這點是我們的「秘方」

• 比方說，它跟 Google 用來確定相關性的「頁面評級」的精神相似

• 我們擁有：– 大量屬性– 大量檔案– 大量具有貢獻精神的使用者

• 無需檔案指紋

30

22

信譽剖析提供信譽分數

• 幸好我們對大型資料中心的執行並不外行

• 我們可以充分利用大規模儲存管理和可用性專業知識

31

對數百萬端點提供信譽分數需要具有雄厚的實力33

信譽發展時間表

32

2006 年 8 月

提出概念2007 年 1 月

模擬顯示信譽非常有效

2007 年 8 月

諾頓社群防衛(Norton Community Watch) 選擇性加入程式來收集匿名

資料

諾頓社群防衛

33

306,416,980*

獨特檔案的匿名資料

28,950,154*

選擇性參與者

* 自 2009 年 6 月 9 日起

信譽航程 - 時間表

34

2006 年 8 月

提出概念2007 年 1 月

模擬顯示信譽非常有效

2007 年 8 月

諾頓社群防衛(Norton Community Watch) 選擇性加入程式來收集匿名

資料

2008 年 8 月

諾頓智慧型掃描略過對高可信度檔案的掃描

諾頓智慧型掃描 大大減少了不必要的掃描作業

掃描次數減少諾頓只分析不受信任的應用程式

由線上智慧型系統提供後台支援 根據 Norton Community 或 Norton

Trust 判斷程式的可信度35

諾頓智慧型掃描可加快掃描速度

諾頓智慧型掃描傳統掃描 36

信譽航程 - 時間表

37

2006 年 8 月

提出概念2007 年 1 月

模擬顯示信譽非常有效

2007 年 8 月

諾頓社群防衛(Norton Community Watch) 選擇性加入程式來收集匿名

資料

2008 年 8 月

諾頓智慧型掃描略過對高可信度檔案的掃描

今天

諾頓「信譽」攔截新型惡意軟體

完全相符的特徵和啟發式技術

完全相符的特徵和啟發式技術

信譽的效果

38

不掃描

攔截

允許

可能會漏掉很多惡意檔案

( 行為攔截功能 和 IPS 會捕獲這些惡意檔案 )

諾頓2010

不掃描

掃描並允許

攔截

警告 (極少數使用者，最近發佈的，並

非來自主流發佈者 URL)

完全相符的特徵完全相符的特徵

即時更新即時更新

諾頓可信任諾頓可信任

諾頓信譽惡意

諾頓信譽惡意

諾頓信譽安全

諾頓信譽安全

諾頓信譽警告

100% 信任

100% 不信任

2009 年與 2010 年競爭對比

諾頓可信任諾頓可信任

完全相符的特徵和啟發式技術

完全相符的特徵和啟發式技術

即時更新即時更新

100% 信任

100% 不信任 100% 不信任

100% 信任

傳統產品

那麼，綜合起來看呢？

• 傳統安全產品僅側重於報告惡意檔案。

• 信譽還提供有關可靠檔案的明確資訊

• 但是如果運用信譽也無法預測檔案是可靠的還是惡意的，又該怎麼辦呢？

39完全相符的特徵完全相符的特徵

即時更新即時更新

諾頓可信任諾頓可信任

諾頓信譽惡意

諾頓信譽惡意

諾頓信譽安全

諾頓信譽安全

諾頓信譽警告

警告有多大幫助呢？

這樣的對話方塊並不會提供真正有用的資訊來協助使用者做出明智決策 40

我們都看到過類似下面的對話方塊… 這會讓…

… 使用者感到困惑和沮喪

諾頓信譽有關全部檔案的可採取行動的資料

• 即使諾頓無法明確預測結果的「好」或「壞」，信譽仍能為使用者提供可採取行動的資料。

41

• 有多少其他諾頓使用者擁有此檔案？

• 諾頓使用者何時首次看到此檔案？

• 有多少其他諾頓使用者擁有此檔案？

• 諾頓使用者何時首次看到此檔案？

4 小時

諾頓信譽使用實例

下載時以滑鼠右鍵

按下檔案誤報緩和

掃描執行中的程序

主動啟發式技術

首次透過IE、 Firefox 等下載程式

用戶端在檔案的信譽比較差時予以攔截。

下載是傳播新型惡意軟體的主要手段。

使用者以滑鼠右鍵按下程式圖示，可選取即時查詢「信譽」服務來取得最新的資訊。

可以隨時按需查詢任何可執行內容。

一般特徵或行為攔截功能偵測到一種新型威脅。

信譽資料可用於降低極其普遍的誤報偵測帶來的風險。

快速掃描執行時 ( 通常每天一次 )

用戶端在檔案的信譽比較差時予以攔截。

驗證所有執行中的程序、驅動程式以及記憶體。

本機啟發式掃描懷疑 惡意軟體。

用戶端在檔案的信譽同時比較差時予以攔

截。

啟發式技術和信譽是互不相關的，因此，我們將二者結合使用時，可以捕獲更多惡意軟體，而不會導致誤報率增加。

在以下時間檢查信譽：

五個不同的使用實例：

我們的與眾不同之處不在於雲端本身，而在於雲端所提供的資訊 雲端掃描技術

雲端一樣可用來提供傳統特徵。這有助於解 決傳統特徵更新間隔期間的問題。

結論

43

信譽改變了遊戲規則

• 信譽改變了惡意軟體 /反惡意軟體遊戲的規則

• 我們再也不需要僅依靠傳統特徵

• 我們現在使用數千萬使用者提供的中繼資料來識別惡意軟體

• 攻擊者無法再利用惡意軟體的伎倆來逃避我們的偵測

44

信譽：改寫遊戲規則當今的遊戲

45

您

信譽：改寫遊戲規則將來的遊戲 (借助諾頓 2010 信譽 )

46

您 信譽

和

Norton Community

Watch

結論全面整合 信譽：

• 提供一個全新的端點安全保障方法

• 它增強了我們目前的防護技術提供的保護功能

• 將局面扭轉為對我們有利，而對惡意軟體編寫者不利

47

問題48

謝謝大家！