Hank Chen

勒索軟體自 2019 年以來對關鍵基礎設施的攻擊日益猖獗，對工業控制系統（ICS）的運行產生了重大影響。勒索軟體的肆虐與 ICS 環境的特殊性使其難以不受到勒索軟體的攻擊。在本演講中，除了分析曾經影響過 ICS 環境的數個勒索軟體行為與相關技巧外，我們更進一步的提出於 ICS 環境中相對有效的防禦方式與策略，以強化關鍵基礎設施對勒索軟體的保護。

在層出不窮新漏洞爆發的年代，主動防禦早已潰堤。而高效率的靜態掃描（Static Scan）是現代資安防禦體系對抗惡意程式最重要的功能，旨在提供 AV/EDR 遇見陌生程式文件時、能立刻斷定其文件是或不是已知的威脅從而避免遭受感染。

而這項技術也從最原始的檔案雜湊指紋比對（Hash）進步到了現在為人熟知的特徵碼匹配（YARA）甚至是啟發式學習（SVM）手段來自動化產出特徵碼，來盡可能地對抗來自攻擊者大量變異樣本。因此駭客也日 益增進了病毒免殺手法、快速定位出防毒所設的特徵碼並抹除，使得野外的變異增強的惡意程式仍然不減反增，然而這樣追在駭客背後跑的掃描技術是我們要的嗎？這得歸咎於傳統特徵碼設計從未考量語意與執行上下文而使駭客得以輕易繞過。

在這場議程中，我們將淺談最新的變種樣本如何善用混淆、花指令、FLA、RC4加密等簡單技巧，就能嚴重挫敗了現代主流的特徵碼技術。為此，我們將釋出下一代靜態掃描思路、有別於僅是對文件進行表面光學掃描，將會置入一整套反組譯器（Decompiler）來剖析程式文件中所有的靜態函數、並以符號化的方式定義惡意函數，達成具語意感知的惡意程式掃描引擎。研究員能彈性定義惡意程式的樣板、並以此引擎在多個嚴重混淆的在野樣本中表現出極佳的掃描結果。