近年來,網絡攻擊手段變化多端,從勒索軟件到物聯網僵尸,從利用網絡漏洞攻擊到APT攻擊,從惡意廣告到釣魚欺詐,網絡犯罪愈發嚴重。在此背景下,反病毒行業不斷通過機器學習、主動防御、聯動防御、信息共享等技術手段來應對這些網絡犯罪行為,多措并舉,但仍面臨嚴峻挑戰。在過去的19年中,一年一度的AVAR大會已成為全球最權威的反病毒技術交流大會之一,對遏制病毒在全球的傳播發揮了重要作用。
盛大開幕 大咖云集
AVAR 2017主席、賽可達實驗室主任宋繼忠在開幕式上表示:“這是AVAR大會首次在北京舉行,也是承上啟下的第二十屆,具有里程碑性特殊意義。本屆大會為期兩天,由主題峰會與分論壇組成。多年以來,雖然大會探討內容早已超出了傳統殺毒的范圍,但AVAR 2017不忘保護用戶的初心,將更廣泛的探討網絡安全挑戰和技術創新,致力于使網絡空間更安全、更美好”。
賽可達實驗室主任 宋繼忠
亞太反病毒研究者聯盟(AVAR)主席 Allan Dyer
國家計算機病毒應急處理中心常務副主任 陳建民
國家計算機病毒應急處理中心常務副主任陳建民代表公安部網絡安全局對大會的召開表示了祝賀,并以“建立警企聯動處置機制 攜手共建移動應用安全”為主題,圍繞移動應用狀況進行了分析,總結出移動應用所面臨的缺乏統一的管理規范、應用市場眾多,安全標準不統一、移動應用缺乏規范化的安全標識、用戶無法清晰明了獲知應用是否安全、移動安全風險已影響到國家信息安全等諸多市場挑戰,最后詳盡闡述了應對的思路和措施。
騰訊副總裁馬斌展開了關于“開放、合作、共享、共建數字經濟時代的網絡安全生態”的講述,展望了網絡安全發展趨勢,闡述了騰訊公司戰略及騰訊安全能力,提出了共建安全新生態的愿景。
來自VirusTotal的資深顧問Karl Hiramoto著重介紹了VirusTotal近期的發展計劃,包括“multisandbox”、深入分析和共享樣本之間的關系。他介紹了VirusTotal和安全廠商加強合作的計劃,其指出,作為全球最大的在線病毒實時分析和全球最大的病毒樣本庫,VirusTotal將加強與安全廠商的合作。
微軟(中國)CSO邵江寧圍繞“人工智能助力網絡威脅防御”表示:“當今革命性的AI技術和基于數據驅動的業務模式創新催生了許多新的產品形態和服務內容。為了應對威脅進化的速度,規模和復雜性,需要不斷增強產品的安全免疫功能,包括先進和智能化的惡意代碼檢測和防御性解決方案,積極探索并利用人工智能特別是機器學習來提升全平臺的安全能力。”
來自國際知名信息安全測評機構的圓桌對話把上午大會推向了高潮。AV-Test CTO Maik Morgenstern,NSS Labs 產品總監Bhaarath Venkateswaran,Virus Bulletin編輯Martijn Grooten,SKD Labs CEO 宋繼忠從測試機構的角度,圍繞網絡安全熱點問題展開了深入討論。主要觀點包含:用技術創新加大對安全產品的反勒索功能、AI和大數據應用的有效性進行檢測驗證;已形成對IoT設備安全性檢測的有效方法;測試盡可能模擬真實環境;檢測必須是持續的、實時的驗證過程;咨詢服務和數據服務已成為第三方測評機構的業務組成部分;將更加關注企業用戶的需求;安全問題實際上是信息不對稱,第三方測評機構的產品和服務的作用將日益擴大。
圓桌對話現場
熱門話題輪上陣 精彩內容看不停
黑客組織分析和追朔
近年來,網絡攻擊變得日益頻繁、規模也與日俱增。大公司重要數據被盜竊,政府網站、非政府組織遭受網絡攻擊已成常態,分析和追朔地下黑客網絡組織日顯重要。
ESET公司病毒分析師Filip Kafka在演講中,對FinSpy惡意軟件進行了詳細分析,特別詳細闡述了它近期的攻擊渠道、攻擊技術、技術演變和樣本變異。來自Bitdefender的病毒分析師Chili Ivona-Alexandra,對今年活躍的有組織的網絡攻擊“PZCHAO”的各種特征進行了分析,包括攻擊鏈、使用的基礎設施和傳播渠道,并將攻擊朔源到Iron Tiger APT。
海蓮花(OceanLotus)是高度組織化的、專業化的境外國家級黑客組織。自2012年4月起針對中國政府的海事機構、海域建設部門、科研院所和航運企業,展開了組織精密的網絡攻擊,這很明顯是一個有國外政府支持的APT(高級持續性威脅)行動。ESET的病毒分析師Romain Dumont通過對該組織的持續追蹤,對他們的攻擊特征和攻擊活動和近期動向進行了綜合闡述。
ESET病毒分析師 Romain Dumont
APT28組織相關攻擊時間最早可以追溯到2007年。其主要目標包括國防工業、軍隊、政府組織和媒體。期間使用了大量0day漏洞,相關惡意代碼除了針對windows、Linux等PC操作系統,還會針對蘋果IOS等移動設備操作系統。來自Bitdefinder的技術總監Tiberius Axinte詳細分析了在macOS上最新發現的后門程序xAgent。
IoT安全
隨著萬物互聯時代的來臨,IoT安全問題已經成為萬物互聯征途中的軟肋。
來自微步在線高級研究員楊晉分享了他對藍牙4協議漏洞的研究成果。他指出,“blueborne”安全問題近期被披露。它不是一個漏洞,而是八個藍牙漏洞,其中四個處于高危險級別。這表明,BlueBorne是非常強大的,它可以攻擊蘋果iOS、Android、Windows和Linux。
Bitdefender的Ciprian Oprisa團隊對來自不同廠商的25個物聯網設備進行了研究,在初始安裝階段,至少有三分之二種類型的漏洞存在。此外,對于其中一些設備,該階段可以在任何時候由外部攻擊者觸發。文中給出了在分析設備上成功執行的一些實際攻擊,并給出了保證初始設置的協議。該協議保證了物聯網設備和執行安裝的智能手機之間的相互信任,使模擬成為可能。該協議是加密的安全(基于對藝術的密鑰交換和對稱加密狀態),確保敏感數據如Wi-Fi密碼不能通過第三方閱讀。
Bitdefender資深病毒分析師 Cristina Vatamanu
NewSky Security資深研究員Ankit Anubhav解析了”物聯網威脅的演變與傳統惡意軟件的比較研究”。“智能攻擊”就是尋找安全鏈中最薄弱的環節。他們團隊發現了Mirai樣本的一個新變種,該變種有三個模式:cve-2014-8361漏洞,tr-64和默認密碼攻擊。惡意軟件將首先嘗試通過使用已知密碼表控制設備的簡單方式。如果不成功,它將嘗試運行兩個已知的漏洞來獲得對物聯網的控制。他詳細介紹了QBot,它可以將一個物聯網變為僵尸網絡。
騰訊高級工程師楊經宇和清華大學博士黨凡介紹了團隊開發的一種用于惡意軟件取證的物聯網蜜罐設備。相對于傳統的蜜罐技術,它是一種高交互蜜罐(HIH),為物聯網的惡意軟件調查取證提供了更多的信息。首先,雙向網絡流量將被獲取,這意味著記錄的數據不僅包括攻擊設備的流量,而且還包括被感染設備本身初始化的流量。其次,常見的網絡提供服務,包括SSH、Telnet、HTTP、UPnP、甚至視頻流。所有服務都包含專用的遠程代碼執行漏洞。一旦他們被攻破,攻擊和惡意行動將被監控并報告給管理中心作為數字取證。最后,可以在前端層部署可選的流代理模塊。該模塊將重定向和總攻擊流量預設置蜜罐增加捕獲攻擊全球覆蓋。
來自G Data 的Andrew L. Go 和Wren Fer M. Balangcod 分享了如何利用現有的、開源的概念、技術甚至目的,設計出一種創新的方法,從而開發出實用的虛擬物聯網蜜罐。
來自OPSWAT的Jianpeng Mo全面分析了物聯網APT的演變,通過現場實例演示,揭示了物聯網APT入侵IoT設備的過程。
人工智能和大數據
傳統的網絡安全防御技術已無法抗衡新的安全威脅,大數據與人工智能是網絡安全治理的關鍵。
來自卡巴斯基的Alexander Chistyakov分享了基于機器學習(ML)的病毒檢測模型的最新研究成果。越來越多的安全廠商開始使用機器學習(ML)的惡意軟件檢測模型,這些探測器的建設基本管道通常是一樣的:收集的數據集的良性和惡意樣本,訓練一個分類器預測正確的標簽,使用該模型的一個積極的預測來檢測新的惡意軟件。然而,這種方法沒有考慮到一個重要的自然屬性:在注入任何新功能之后,沒有惡意代碼可以變得干凈。作為一個結果,入侵者往往可以避免檢測,只需加入一些混淆或干凈的有效載荷為惡意軟件樣本。在演講中,他解釋了如何變換ML結構(Deep NN, tree-based ensembles, kernel SVM, etc.)使靜態或動態的惡意軟件檢測模型更安全更有效。
McAfee的移動惡意軟件研究員Daisuke Nakajima在會上作了“基于人工輔助和自動機器學習的安卓惡意軟件檢測”的演講報告。其指出:基于機器學習(ML)的惡意軟件檢測,可以實現對已知的和未知的惡意樣本的高檢測率。但它也可能帶來潛在的更高的誤報率。為解決這一問題,他提出了一種結合機器學習、傳統特征碼和網絡信用的實用模型。
瑞星首席科學家葉超 “基于機器學習的惡意軟件檢測“。介紹了如何構造一個基于機器學習的、有效的惡意軟件檢測模型的實踐經驗。
手機和APP安全
手機應用的發展與普及,極大地方便了我們的日常生活,而在APP日益增多的同時,惡 Sophos公司的Jagadeesh Chandraiah分析了最近在谷歌應用商店所發現的惡意軟件,解析了惡意軟件所使用的傳播和感染技術,提出了應對技術的措施。
McAfee公司的Irfan Asrar在“2017年手機惡意廣告“的演講中,著重分析了手機惡意廣告/木馬點擊器的演變趨勢和技術,通過實例演示,提出對抗惡意廣告的有效方法。
AVAR會員大會
在AVAR會員大會上,選舉產生了新一屆的理事會,賽可達實驗室主任宋繼忠再次當選理事,并因對AVAR發展所做出的貢獻被授予AVAR年度主席獎。
頒獎現場
歷屆AVAR大會的舉辦為網絡安全行業的發展搭建了國際性的溝通交流平臺,AVAR 2017的圓滿成功更是為亞洲反病毒大會成立20年來的發展交上了一份滿意的答卷。據悉,AVAR 2018將在印度舉辦。
大會官網:http://avar.skdlabs.com/
大會官網:http://avar.skdlabs.com/
