不是所有高级持续性威胁都显得" 高级", 不是所有"高级"都是攻击者的"自身能力",商业化的工具和样本会更多的出现在国家与政经集团的相互的APT攻击当中。
本报告以"塔防"游戏场景引发听众对网络纵深防御的思考,并通过介绍"用户"和"对手"的装备体系,反思了当前泛化威胁中的防御"制高点"。报告最后指出,当面对攻击方制造的不确定性"地雷阵"时,安全厂商需要具备超越"火力支援"的传统战场视野和新视野。
本报告以安天安全事件地理场景浮现模块还原Hangover事件为线索,通过找寻更多样本,运用传统方法、同源性及可视化比对方法,关联从样本中找到的事件,并为样本集建立一系列度量指标,总结出样本集合的特点。
唯有可信架构、主动防御、反病毒能力、软件生态体系等因素都得到充分强化,才能够带给我们一个相对安全的系统环境。单凭可信“包打天下”的做法是不实际的。本报告通过分析微软系统的整体安全思路,主要安全特性及安全保护机制,指出Win7/8系统可信计算技术应用在BitLocker,安全启动和签名机制的价值。通过验证关键技术的实战效果与价值,点明可信的困局。最后探讨了安全规律体系中体现的反病毒价值,总结出反病毒与可信计算的关系。
本报告通过分享移动安全领域逆向对抗、加壳、Rootkit和更高级技术的案例与攻击场景,对“4G网络时代的安全变化”和“移动安全防御链条不断延展和关联”问题导致的威胁与安全挑战,做出前瞻分析,指出要从技术升华到思想的全面对抗。
本报告从四个维度,介绍了RSA展会的移动安全部分。主要回顾了自2011年起RSA移动安全领域四年的关键词,热点企业及其技术特点。展现了国内外恶意代码家族变迁史,并简要分析了恶意代码技术脉络。通过盘点历年移动安全企业,总结海内外移动安全团队及技术特点,比对国内外安全需求和技术的巨大差异,指出当前移动安全领域面临的机遇与挑战。最后分享了演讲者作为移动安全工作者的思考。
本报告通过列举XP停服后的威胁分布,包括系统漏洞不再得到官方修复,IE8的0day攻击及Office版本封顶格式溢出带来的APT攻击风险问题,系统内置安全机制不再更新将导致的定向攻击成功率及僵尸网络挂马增加等问题。进而介绍了微软的安全应对措施(开发周期中引入SDL),事件响应层次和应急体制并构筑了微软安全版图。最后,演讲者提出了我国自主安全厂商应该优先卡位,基于安全发力速度更快的特点,能够为基础信息化争取更长时间的思考及观点。
本报告对PLC、SCADA和PCS三条现代工业控制系统主线及应用实例做出概述,并简介目前广泛应用的集成控制系统(DCS)和未来发展方向的现场总线控制系统(FCS)和应用实例。在DCS的攻击实例中,重点介绍了震网(Stuxnet)蠕虫攻击伊朗核设施的案例,并结合安天实验室发布的《对Stuxnet的综合分析报告》,说明了工控系统中的安全薄弱点。总结了工控系统的漏洞,特点及相应工具。最后,演讲者提供了工控系统系统安全性的可行性建议和解决办法。
本报告首先对过去三年样本数量,平台分布特点,造成的主要危害,样本分类,传播途径,恶意代码产业利益传输链及家族处置等移动代码的概述。分析了历年Adrd、KungFu、FakeInst、Skullkey和支付宝大盗的移动端恶意代码的典型案例。分享了静态和动态恶意代码分析工具,并总结出一套恶意代码分析方法。
“向左走、向右走”是演讲者在 2012 年 XDef 的报告《木马雪崩到 APT 的关联与必然》中提出的一个观点,《木马雪崩到APT的关联与必然》是演讲者针对反病毒方法反思的第一篇;而在2013 年 XDef 的报告《走出蠕虫木马地带》则是第二篇,主要是关于前提化的思考;本文主要讨论关于整个反病毒技术基本走向的问题,偏重于方法论的思考,同时也是反病毒方法反思的最后一篇。
本报告回顾了自2010年起恶意代码分析典型案例及原创恶意代码利用。通过温故知新,分析广告件中的隐私泄漏,资费消耗、流氓推广及非广告实例,提出安全与非安全常伴左右,对抗永存的观点与思考。
APT不是一夜之间诞生的,它与其他攻击技术的发展史一脉相承。本报告通过考证APT的起源、明确历史定义和现有标准,让我们从恶意代码的历史中寻找它的前身,探寻APT的关键词。通过重新思考APT“高级”与“持续”的内涵,讨论了围绕APT展开的争夺话语权的情况。
此前,众多研究者更关注Android平台的恶意代码问题。演讲者从开发者面临的“应用软件、在线服务和操作系统的安全漏洞”和“对应用软件的破解和内容盗版”两个角度出发,介绍了近期Android平台漏洞攻防和软件保护层面的新进展、可预见的趋势和被忽略的问题。
本报告是全球第一个探讨 3D 打印技术安全性问题的议题,通过全面介绍 3D 打印以及开源3D 打印机的机械与电气结构、硬件设计、软件工具链、产业生态环境和应用场景,剖析三维建模与快速成型技术及其相关的文件结构、指令格式、运行环境和处理流程;并分析了3D 打印相关技术在安全性上的缺失,以及被攻击可能造成的现实影响;同时还讨论了对3D 打印机本身、以及对 3D 打印成品的具体攻击思路、攻击方法和攻击可能性,并初步探讨实现这些攻击的技术难度。
演讲摘要:Android的内核、系统、框架、应用软件出现了许多安全漏洞……回顾这些漏洞,介绍30个经典的案例和4个demo,分析产生问题的原因.希望成为进一步工作的基础:漏洞挖掘、漏洞攻击、漏洞检测、安全开发、补丁分发、系统加固、攻击缓解……
由于移动平台与APT的结合能够产生极大价值,移动端恶意代码和软件漏洞的技术进展会被用于APT攻击。出现大量如Smishing(短信钓鱼),Ssucl(感染PC并录音),Chuli(定制性利用漏洞),Obada(利用系统漏洞隐藏),SMSfraud(基于身份的欺诈),安全分析工具滥用集USB cleaver(获取PC中的密码)等典型案例。移动平台将成为APT攻击的下一个重点目标。演讲者提出了移动平台的APT威胁将打破传统移动安全模型,对当前方案存在的大量技术与非技术问题构成挑战的观点。
由于当前反病毒行业以及网络安全行业,缺少对传统反恶意代码基本规则的总结和提炼,以使之成为纲领章程;同时还缺乏对基本方法论的总结,以便对方法论及时改变来应对未来的情况;另外还缺乏对价值链的总结。这三点正是中国网络安全行业,特别是独立安全厂商目前基于弱势地位很重要的原因,所以演讲者意图通过本文将个人对反病毒基本方法的总结进行梳理。
安全威胁特别是恶意代码的发展,一向不缺乏大量的趋势预言。每一个研究者都在剖析现实的同时,预测着未来,但我们是否可以停下来,看看自己一段时间预测是否经得起推敲。2007 年 2 月,演讲者在武汉大学做了题为《后“冷战”时代的病毒捕获体制》的报告,五年过去了,演讲者披览了自己当年那些武断主观的判断,并重新思考了恶意代码的发展演进。
一个已经执行了十年的传统流程里潜藏多少危机?本报告从解析终止一个十年流程的原因开始,提出作为反病毒引擎厂商,“我们做了这些事情”,“我们仿佛做了这些事情”,“我们拒绝做这些事情”,“我们做了找麻烦的事”以及“我知道你不知道我知道的事”等系列问题。
可信是恶意代码狂潮中的屏障?反病毒引擎等安全产品究竟处于什么位置?本报告通过回顾反病毒引擎工作中的重要时刻,提出从正向看待反病毒体系的脆弱性成因,并分享了在恶意代码抗争过程中反病毒引擎的演进与点滴。
蜜罐(Honeypot)技术长期作为网络安全的热点研究方向之一。本报告按照时代划分,展现蜜罐技术的历史变迁,探究蜜罐技术研究现状的划分层次,提出目前蜜罐技术的核心挑战,并分享了个人对于这一技术的趋势判断和探索方向。
本报告是对演讲者6年前同题报告的总结、思考与批判,完整介绍了现代AV企业的病毒捕获体系和快速捕获通道的发展与现状,回顾了VX对抗的“冷战”时代与“后冷战”时代的标志性事件,并提出了我们的应对方案。
面对2000年到2004年的病毒数量增长,IDS退缩了么?本报告通过分析传统IDS解决方案,提出在面对大规模复杂事件处理的情况下采用的归一化软件方法,并介绍了VDS网络病毒监控系统的核心架构思路,体系结构及研究方法。
反病毒绝不是简单的技术对抗,AV体制包含很多逻辑和法理因素。本报告指出AV辩证法面临的挑战,并探讨了在网络安全层次不断下移,即病毒过滤体制会不断嵌入各层次设备的背景下,细粒度反病毒引擎在嵌入设备及其他环境的应用。
在蠕虫和其他网络病毒的日益蔓延和流行,网络安全技术和反病毒技术的日渐融合的大环境下,开发者扩展各类安全产品与传统反病毒厂商文件级别的检测技术结合存在一定问题。本报告提出并试图探讨网络安全技术与反病毒技术的结合点——基于流和包的病毒检测。