一、APT防御技术论坛
这个论坛自己就听了一个报告,也就是由安天实验室肖新光所作的关于“APT事件样本采集的度量”的演讲,肖在其中提到了分析的最近一次APT-HangOver针对中国攻击行为的时间链,其中通过捕捉分析到的样本,发现这是一起多达6个样本的协同攻击,每个样本分别负责记录键盘输入、特定格式文件搜索、文件信息上传等不同的任务。肖在此基础上继续分析发现的样本和已知恶意代码的同源性,提出可以从二进制文件的树形图形学上进行分析。当然,APT是一种有目标、有计划地攻击行为,其令人最大的恐惧在于其是一种完全未知的威胁。
二、WEB与应用安全
自己在这个论坛上呆了很长时间,听了三个报告,由于人比较多,全程站着听的。首先是关于移动支付安全的一个演讲,由于自己来的时候已经开始,而且并未按照事先的安排作报告,因此自己并不清楚主讲人和题目,但是看报告的内容却提到了Android平台恶意代码的对策。其中有以下几点:
-1. 移动端应用攻击方式:获得原版程序--逆向分析--植入恶意代码--重新发布--用户恶意行为或欺诈
-2. 针对以上的攻击方式,报告提出了“反逆向、反篡改、反欺诈”的“三反”策略;
-3. 具体来说,实现程序的加壳加密,加壳密钥在内存中碎片化存放,加大黑客分析的难度;程序运行代码动态化,类似于DLL,使用时才加载入内存,不用时不加载;文件存储内存化,避免直接操作硬盘,争取都在内存中分析;
接下来是林榆坚带来的“金融WEB应用漏洞分析方法”的演讲。金融系统当然对于安全的要求很高,一点疏漏都有可能造成巨大的经济损失,因此很多银行都雇佣专业的安全公司进行系统加固。漏洞扫描则是其中关键的一环,这里针对已有的fuzz自动扫描,提出了“三位一体”式的漏洞扫描体系:全自动+半自动+全被动,其实是逐次加入人工的干预进行漏洞扫描。
对于全自动扫描而言,主要的技术是利用常见的漏洞扫描器,使用fuzz自动填充各种数据,触发业务逻辑混淆,从而导致服务出错,其关键技术和难点在于WEB2.0下的自动交互以及绕过防火墙技术,常见的产品如绿盟、知道创宇等都有相关产品;其不足在于无法处理高交互会话,且只能处理暴露给用户(搜索引擎)的页面,无法实现100%覆盖;
对于半自动扫描,当然是为了改进上述问题引入的,主要思路是业务重放+URL镜像,即使用工具捕获HTTP流量,修改后实施重放攻击,可以检测水平权限绕过、订单修改等漏洞;其不足在于时间滞后、无法100%覆盖(存在孤岛页面)以及无法应对0-day攻击;
所以我们还需要全被动的扫描方法,国外做的比较好的是Nessuss PVS,这种扫描方法不会产生网络流量:
自己听的最后一个报告是董方做的关于“数据分析、关键词和地下产业”的演讲,其主题的关键有以下几点:
-1. 利用大数据平台分析网络日志,从中发现安全威胁和攻击行为;
-2. 大数据平台:Scribe + Storm + Redis + Mysql + Hadoop(全部都是开源软件)
-3. 分析的思路关键是寻找异常,从异常中找攻击;
-4. 利用访问深度、广度、频度以及参数污染度建立正常访问模型;
-5. 关键词筛选:传统关键词、人无法识别的关键词、关键词的组合筛选;
三、其他
自己主要上午听了这些技术论坛,11:00左右又去逛了另外两个论坛:电子取证和国家战略,然后吃完中饭,下午听完一场报告后就提前打道回府了,因为下午主要是闭幕式了。
这是网络战略论坛:
下面是电子取证论坛,主题是”大数据取证“:
中午吃饭的地方还是不错的,自助餐,自己全挑的鱼,还有果汁+甜品+水果,地方也很大,国家会议中心就是与众不同;但是不如去年的是,今年的T恤等纪念品只能花钱买,不如去年直接免费领了,而且饮用水也只给一瓶,明显不如去年随便拿好了:
