SESSION
09 月 20 日 14:45 - 15:15 資安威脅研究室
現代攻擊者免殺心法:以時間鉗形戰術打穿即時防護
即時查殺(Real-Time Protection)為當代各個防毒與端點防護必備的設計,一但程式被執行時便能立刻掃描該次執行請求、達到即刻阻止並清除惡意程式。為達成這項防護,各家安全大廠皆採用了微軟提供的 API 得以在系統 Kernel 層埋下監控,然而這場貓捉老鼠的遊戲就結束了嗎?
在這場議程中,我們將以逆向工程角度理解 Windows 系統如何創建 Process、Userland IRP、與驅動監聽設計 來理解現代攻擊者免殺心法。並在議程尾聲以多個在野行動用過技巧為例,來說明攻擊者如何濫用時間線問題來展開鉗形攻勢打穿安全掃描,並提供相關緩解措施與用戶如何挑選防護產品的建議。
LOCATION
臺北南港展覽二館
7F
703
LEVEL
進階等級
SESSION TYPE
現場演講
LANGUAGE
中文
SESSION TOPIC Malware ProtectionAPTExploit of Vulnerability
SPEAKER
TXOne Networks 產品資安事件應變暨威脅研究團隊 資安威脅研究員
馬聖豪(@aaaddress1)目前為 TXOne Networks 產品資安事件應變暨威脅研究團隊 資安威脅研究員,專研 Windows 逆向工程分析超過十年經驗,熱愛 x86、漏洞技巧、編譯器實務、與作業系統原理。 此外,他目前為台灣資安社群 CHROOT 成員。並曾任 DEFCON、HITB、Black Hat USA、VXCON、HITCON、ROOTCON、CYBERSEC 等各個國內外年會講者與授課培訓,並著有熱銷資安書籍《Windows APT Warfare:惡意程式前線作戰指南》。