馬聖豪(@aaaddress1)目前為 TXOne Networks 產品資安事件應變暨威脅研究團隊 資安威脅研究員,專研 Windows 逆向工程分析超過十年經驗,熱愛 x86、漏洞技巧、編譯器實務、與作業系統原理。 此外,他目前為台灣資安社群 CHROOT 成員。並曾任 DEFCON、HITB、Black Hat USA、VXCON、HITCON、ROOTCON、CYBERSEC 等各個國內外年會講者與授課培訓,並著有熱銷資安書籍《Windows APT Warfare:惡意程式前線作戰指南》。
即時查殺(Real-Time Protection)為當代各個防毒與端點防護必備的設計,一但程式被執行時便能立刻掃描該次執行請求、達到即刻阻止並清除惡意程式。為達成這項防護,各家安全大廠皆採用了微軟提供的 API 得以在系統 Kernel 層埋下監控,然而這場貓捉老鼠的遊戲就結束了嗎?
在這場議程中,我們將以逆向工程角度理解 Windows 系統如何創建 Process、Userland IRP、與驅動監聽設計 來理解現代攻擊者免殺心法。並在議程尾聲以多個在野行動用過技巧為例,來說明攻擊者如何濫用時間線問題來展開鉗形攻勢打穿安全掃描,並提供相關緩解措施與用戶如何挑選防護產品的建議。
文件格式混用的手法,相信對於 Web 攻擊有研究的朋友再熟悉不過的經典技巧了。以任意上傳弱點將 JPG 圖檔上傳至伺服器、接著將該圖檔內容作為 PHP 的 WebShell 執行足以拿下整個伺服器。然而在網路攻擊劇烈發生的現在,這項手法就未曾出現攻擊過非 Web 的企業與家用電腦嗎?答案是有的!在這場議程中,我們將從現代惡意文件分析器談起現代資安保護的防禦模型與其 1% 的守備盲區,接著以多個野外攻擊案例解釋駭客是如何透過「混用解析器判斷的結果」來將那 1% 擴展至 100% 欺騙與取信資安產品的掃描結果。
在層出不窮新漏洞爆發的年代,主動防禦早已潰堤。而高效率的靜態掃描(Static Scan)是現代資安防禦體系對抗惡意程式最重要的功能,旨在提供 AV/EDR 遇見陌生程式文件時、能立刻斷定其文件是或不是已知的威脅從而避免遭受感染。
而這項技術也從最原始的檔案雜湊指紋比對(Hash)進步到了現在為人熟知的特徵碼匹配(YARA)甚至是啟發式學習(SVM)手段來自動化產出特徵碼,來盡可能地對抗來自攻擊者大量變異樣本。因此駭客也日 益增進了病毒免殺手法、快速定位出防毒所設的特徵碼並抹除,使得野外的變異增強的惡意程式仍然不減反增,然而這樣追在駭客背後跑的掃描技術是我們要的嗎?這得歸咎於傳統特徵碼設計從未考量語意與執行上下文而使駭客得以輕易繞過。
在這場議程中,我們將淺談最新的變種樣本如何善用混淆、花指令、FLA、RC4加密等簡單技巧,就能嚴重挫敗了現代主流的特徵碼技術。為此,我們將釋出下一代靜態掃描思路、有別於僅是對文件進行表面光學掃描,將會置入一整套反組譯器(Decompiler)來剖析程式文件中所有的靜態函數、並以符號化的方式定義惡意函數,達成具語意感知的惡意程式掃描引擎。研究員能彈性定義惡意程式的樣板、並以此引擎在多個嚴重混淆的在野樣本中表現出極佳的掃描結果。
各國的大型網軍 APT 行動中,駭客藉 Mimikatz 進行密碼竊取與轉儲憑證(Credential Dumping)得以在組織內橫向移動已是為人熟知的故事。這項技巧細節涉及本地提權、存取 LSASS、與記憶體轉儲等高敏感行為,必然成為各大端點防護產品號稱能封殺的攻擊手法。然而事實如此嗎?
在這場議程我們將會分析密碼竊取的核心原理、並站在攻擊者角度盤點現代網管與資安產品所採用防禦策略,並結合 Project Zero 的攻擊手法以多個野外實務演示如何各個擊破。議程尾聲將包含多個概念驗證(Proof of Concept)與並提供相關緩解措施與用戶如何挑選防護產品的建議。