為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

bg-inner
09 月 22 日 14:45 - 15:15 資安威脅研究室

從反組譯建立次世代語意感知特徵碼引擎

在層出不窮新漏洞爆發的年代,主動防禦早已潰堤。而高效率的靜態掃描(Static Scan)是現代資安防禦體系對抗惡意程式最重要的功能,旨在提供 AV/EDR 遇見陌生程式文件時、能立刻斷定其文件是或不是已知的威脅從而避免遭受感染。

而這項技術也從最原始的檔案雜湊指紋比對(Hash)進步到了現在為人熟知的特徵碼匹配(YARA)甚至是啟發式學習(SVM)手段來自動化產出特徵碼,來盡可能地對抗來自攻擊者大量變異樣本。因此駭客也日 益增進了病毒免殺手法、快速定位出防毒所設的特徵碼並抹除,使得野外的變異增強的惡意程式仍然不減反增,然而這樣追在駭客背後跑的掃描技術是我們要的嗎?這得歸咎於傳統特徵碼設計從未考量語意與執行上下文而使駭客得以輕易繞過。

在這場議程中,我們將淺談最新的變種樣本如何善用混淆、花指令、FLA、RC4加密等簡單技巧,就能嚴重挫敗了現代主流的特徵碼技術。為此,我們將釋出下一代靜態掃描思路、有別於僅是對文件進行表面光學掃描,將會置入一整套反組譯器(Decompiler)來剖析程式文件中所有的靜態函數、並以符號化的方式定義惡意函數,達成具語意感知的惡意程式掃描引擎。研究員能彈性定義惡意程式的樣板、並以此引擎在多個嚴重混淆的在野樣本中表現出極佳的掃描結果。

LOCATION 臺北南港展覽二館 4F 4A 展區會議室 LEVEL 通識等級 SESSION TYPE 現場演講 LANGUAGE 中文
SESSION TOPIC Malware ProtectionWindowsReversing

SPEAKER

馬聖豪
TXOne Networks 資安威脅研究員

目前於 TXOne Networks 擔任資安威脅研究員,專研 Windows 逆向工程分析超過十年經驗,熱愛 x86、漏洞技巧、編譯器實務、與作業系統原理。 此外,他目前為台灣資安社群 CHROOT 成員。並曾任 DEFCON、HITB、BlackHat、VXCON、HITCON、ROOTCON、CYBERSEC 等各個國內外年會講者與授課培訓,並著有熱銷資安書籍《Windows APT Warfare:惡意程式前線作戰指南》。

Hank Chen
TXOne Networks 資安威脅研究員

Hank Chen 目前在 TXOne 擔任資安威脅研究員,專注於惡意程式分析、產品安全及漏洞挖掘。曾擔任國立清華大學密碼學課程助教,也曾參加過多場國內外 CTF,主要擅長項目為 crypto, reverse 和 pwn。

邀好友,贏好禮 GO!