蔡一郎的部落格

Yilang's Blogger

2012台北國際發明暨技術交流展紀要

Published by Yi-Lang Tsai under , , on 9/29/2012 08:09:00 上午
維基百科的解釋:「發明」是指一種新的事物或技術首度出現,台北國際發明暨技術交易展,正是國內凝聚能量的重要展覽,經常我們可以在媒體上看到台灣在國際上的一些發明展上獲得佳績,這次是中心的資安團隊第二次參與,有了上次的經驗,在這次展示內容的準備上,可以提供更符合需要。

這次的展示作品為台灣惡意程式分析網 TWMAN (TaiWan Malware Analysis Net) ,如往年一樣安排在國科會的展示館,在這也有許多不同的學校與研究單位的作品在此一起展出,目前國內面對國外的競爭,需要投入更多的能量,提高創新的能量,才能夠將研發的成果,實際應用到產業鏈中,這也是技術交易的主要用意,可以將研發的成果,透過授權或技轉的方式,提供國內的產業使用,或是引起國際上的注意。


國科會的展區,吸引了許多的人潮,當然不是只有發表會的時候,平時也是有許多的參觀者到展區中尋找有興趣或相關的主題。


國科會的展區涵蓋了許多學校的研發成果與專利,而且因為太多了主題需要展示,還分成了兩個梯次,前兩天與後兩天的主題是不同的。


到了目前服務的單位,展區也是結合了多個不同中心所發展的成果,其中地震中心所發展的預警系統,對於地震頻傳的台灣將會發揮許多的助益,可以避免災難發生時所造成的人身安全上的遺撼。

這次參展以TWMAN(台灣惡意程式分析網)為主,在會場展覽了兩個主要的系統,第一個是用來分析惡意程式行為的Sandbox,為實體系統的分析架構,當伺服器上放入了由前端Honeynet所收集的惡意程式樣本之後,就能夠自動化的排程與進行惡意程式感染後的行為分析,其中亦包括了對於系統的影響以及產生的網路通訊行為。


四天的展期,安排了研發團隊的同仁在會場進行架構的說明,讓更多的人瞭解TWMAN所具備的惡意程式偵測、惡意程式Sandbox、惡意程式行為知識庫,以及視覺化的展示平台。自動化的惡意程式行為分析,可以大量的節省分析惡意程式所需要的時間,但是發展系統的過程中,需要留意系統的運作以及報告的可信度,以目前釋出的TWMAN v2沙箱測試平台,





團隊歷經三年多的研發,目前已有初步的成果,也整合以往分散的系統,未來將持續建置台灣惡意程式分析網,以結合國內學研界的力量,降低因為資訊安全事件所造成的影響,目前在國內網路上的殭屍網路活動仍然活躍,這也是令人憂心的,期望可以透過資訊安全研究的投入,降低台灣在全球上的網路惡意威脅來源國家的排名。

相關資訊:
2012 台北國際發明暨技術交易展 http://www.inventaipei.com.tw/zh_TW/index.html
TWMAN(台灣惡意程式分析網) http://twman.nchc.org.tw/index.php/tw/
國網中心資訊安全研發服務 http://www.nchc.org.tw/tw/rd/cyber_security/

淺談惡意程式之沙箱測試技術

Published by Yi-Lang Tsai under , , on 9/09/2012 06:50:00 上午
許多人問我:「什麼是惡意程式?」,這是個好問題,大多數的人對於「程式」這兩個字其實是很陌生的,畢竟大多數的人並不是就讀跟資訊相關的科系,以直覺來說就是電腦中所安裝的應用軟體,從這個角度來談的話,惡意程式可以等同於惡意軟體,不過其中最大的差別在於,一套在Windows平台中的應用軟體,大多由主程式、動態連結檔、相關的函式庫以及設定檔所組成,讓軟體可以提供使用不同的功能,例如:文書處理軟體、繪圖軟體等等,簡單來說就是一堆的程式所組成的「程式集」,提供使用者需要的功能,如果只是被稱為「程式」的話,則大多指的是只有一個可以在系統上執行的程式,不會有其它附屬的檔案需要配合這個程式來運作,而今天幾乎所有被歸類在「惡意」的程式,都是很簡單而且很輕巧的,可能小到不容易被使用者查察。

人工分析
採用人工分析的方式,是最辛苦的,但卻是可以獲得最多資訊的,不過因為是以人為主的分析,因此分析人員的專業能力就是影響結果的關鍵,而具備可以進行程式分析的專業人力並不容易培養,如果採用人工分析的方式,可以使用IDA Pro之類的工具軟體,將想要分析的程式載入由軟體所建立的執行環境。
Source: Hex-Rays

IDA官方網站:http://www.hex-rays.com/products/ida/index.shtml

沙箱測試
沙箱測試(Sandbox)是一種常用的技術,建置一個可以執行惡意程式的環境,然後透過沙箱觀察程式造成的影響以及相關的行為,這個環境可以受到管理與控制,不會對真實的網路造成影響,分析的過程中,可留下紀錄供研究人員分析使用。
  • 虛擬平台
採用虛擬平台進行程式運作狀態的分析,是目前在沙箱測試中常用的方法,透過分析軟體的模擬,或是直接配合虛擬平台提供分析需要的環境,再將想要分析的程式,放到虛擬或模擬出來的環境中進行分析,再監測程式運作過程所產生的行為,並且產出報告,這些都是可以進行的程序。
GFI CWSandbox
CWSandbox是目前提供惡意程式分析的商業軟體中最多人使用的平台,可以提供惡意程式的自動化分析環境,除非遇到針對CWSandbox有反制措施的惡意程式,否則大多數的情況下,都可以獲得詳細的分析報告。

GFI Software:http://www.hex-rays.com/index.shtml

Cuckoo Sandbox
Cuckoo Sandbox提供惡意程式分析需要的環境,並且會自動的針對程式的運作進行偵測,包括了Windows API的紀錄、檔案系統中的檔案新增或刪除的紀錄、執行中的程序監測、惡意程式分析過程中對於視窗畫面的截圖以及分析報告的產出,產出的結果能夠支援JSON、HTML、MAEC、MongoDB以及HPFeeds,支援的範圍相當的廣泛。

Cuckoo Sandbox:http://www.cuckoosandbox.org/
  • 實體平台
實際將程式放在實體的電腦中執行,以觀察程式在受測系統端對於系統以及網路的影響狀況。
TWMAN (TaiWan Malware Analysis Net)
TWMAN是一套基於Truman所發展的自由軟體,由國網中心持續發展中,國網中心利用自行開發的Clonezilla再生龍還原系統來提昇Truman的運作效率,並透過系統流程的改良,達成全自動化的惡意程式分析平台。當初TWMAN開發的目的,是為了提供資訊安全研究人員一個自動化的惡意程式行為分析平台,至少可以完成系統的靜態分析以及網路通訊的分析為首要目標;能夠檢測與分析惡意程式對於系統與網路做造成的影響,並利用自動化資訊收集的方式,進行系統執行程序、記憶體資訊採集、網路行為與封包側錄...等工作。
目前國網中心仍將會持續發展「台灣惡意程式分析平台」(TWMAN, TaiWan Malware Analysis Net),與國外的資安組織進行技術交流,持續改善其功能,並與大尺度的Honeynet進行整合,未來亦會繼續開發新的惡意程式分析模組,以因應惡意程式的反制機制,期望可以提供更方便的惡意程式分析方式以及多元化的服務資訊來讓資訊人員以及資安研究人員參考,後續將會發展分散式分析的架構,並且導入資料中心的建置環境,讓使用TWMAN的資安研究人員,可以透過授權,取得可以做為分析的樣本並且能夠回饋自己分析的結果,共同參與惡意程式的知識庫的建立。


TWMAN官方網站:http://twman.nchc.org.tw/

問與答

Published by Yi-Lang Tsai under on 9/05/2012 09:46:00 下午
無論從小到大的求學過程,或是目前的職場環境,經常有許多討論的機會,目前有許多機會到一些場合與大家分享所見、所學與所聞,這是一個相當愉快的過程,能夠將知識傳承與分享,因為除了在這個場合所扮演的角色,就是講者與聽眾、講師與學員之間的簡單關係,出了這個場合,大家就像朋友一樣,能夠盡情的談天說地,可以聊專業技術,也能夠談精彩人生,在職場中難免有上司與下屬的關係,除了職位上的差異之外,還有專業上的不同,學歷越高被定型的程度越重,能夠跳脫出這個框架的並不多見,絕大多數的主管都是以自己的角度,來看待員工的所作所為,然後再藉此想要加諸自己的想法到別人的身上,職場上的角色不同,代表著每個人需要扮演好各自的角色,正因為所具備的專業能力並不相同,整合團隊的力量,這樣才能夠讓公司的營運上軌道,而想要擁有相同專業領域或是程度相近的團隊並不多見,尤其公司的規模越大時,越不容易讓所有的人都具備相同的專業知識,這也是每個人的價值所在;目前常見的一些問題,例如:外行領導內行的情況就經常會出現在職場中,因為職位上的緣故,而發生這樣的局面;管理的方式大致上有兩種,一種是由上而下,直接下達指令,要求員工完成任務,另一種則是由下而上,由員工提出作法,再由主管認可後執行,兩種方式各有優缺點,但需要留意不可讓這種混為一談,那就會是公司營運上的災難,之前有與許多業界的朋友閒聊,像前一陣到美國的拉斯維加斯,這邊的飯店是相當有特色的,超大的蝴蝶、花朵、昆蟲模型,希望能夠讓到訪的人以另一個角度看世界,倘若真的有這麼一天,我們是如此的渺小,其它的生物是這麼的龐大,那我們又該如何看待這個世界呢?

「針對問題,努力去想」,這是一個簡單的過程,但卻是一個需要經過學習的方式,在課堂上許多的問題,往往與發問者的工作環境有關,但卻不一定與課堂講授的內容有關,這代表著有能力進行聯想,提問必須與需要解決的問題相關,才能夠讓問題找到真正的解答,在複雜的環境中,總有一些脈絡可尋,在色彩繽紛的佈景中,仔細深究仍然可以看出其中的規律,但往往我們在觀察事物時,卻容易被突發而來的景色,或是被突然發生的事物所震撼,但靜心而看其它許多的事物會更為清晰,一些原本被認為非常緊急的事,也可以不急不徐的解決它,正所謂「急事緩辦」,可以在慎密思考後,整理出直接且有效用來處理事情的方法,但需要掌握處理事情的時效。

在我們的教育環境中,「發問」這件事就不容易發生,在大學以前的求學過程,大多數課堂教學的方式,都是老師上課,學生聽課,打鐘下課,所以在課堂上的互動是較少的,前幾年有機會到大學兼課,修我課的同學有時候的壓力不小,常常會被我問一堆看似簡單,但是又需要複雜思考後,才能夠找到答案的問題;另一個在人生的歷程中,需要學習的就是多看、多聽與多想,同樣的問題一定會有兩個以上的答案,尤其是在會議當中進行議題的討論時,互動是重要的,但不能夠帶入個人的情緒,也不應離題,這只會讓真正需要答案的人,摸不著頭緒罷了。

認真的過每一天,可以讓我們每一天的生命活得更為精彩可期,當我們遇到問題的時間,本能的會想要找到問題的答案,不論身處何種環境中,最重要的能夠包容大家所提出的答案,再透過互動的過程,找到處理事情的方法,這些能力是需要持續學習的。

無線網路偵察站-WiFi Explorer

Published by Yi-Lang Tsai under on 9/03/2012 11:31:00 下午
「無線」帶來無限的可能,對於大多數的人而言,在家裏或是工作的場合中架個無線網路,以往主要的使用對象是筆記型電腦,而目前因為行動裝置的大量增加,包括智慧型手機、平板電腦、數位電視機等,都開始使用無線網路當做資料傳遞的主要管道,帶來了許多的方便,但也讓我們隨時身處於無線網路所涵蓋的環境中,

這次要介紹的主角是WiFi Explorer,這個也是我在MacBook Air中付費買的第一套軟體,價格相當便宜但是實用性卻是最高的,尤其像我需要經常出差在外的人而言,有時候為了連上當地的無線網路,常常得費一番功夫,當然所說明「功夫」,不是去破解別人的無線網路來用,大家別想歪了;WiFi Explorer的主要用途正如其名,主要是用來分析目前所在位置的無線網路環境,包括偵測到的SSID、無線網路基地台的資訊等,如果在一個密度高的無線網路環境,有時為了選擇要使用那一個無線網路,常常得花上許多嘗試的時間,因此如果可以先使用無線網路的分析軟體,瞭解一下目前的無線網路環境,就可以省下許多的時間,當然也可以利用分析後的結果,知道有那些無線網路的安全有問題。

針對所偵測到的Access Point,可以進行訊號的分析,包括了所使用SSID、設備的MAC位址、訊號的強度、頻道、頻率、支援的標準以及是否有進行通訊上的加密,這些對於掌握無線網路的環境而言,是相當重要的。

無線網路的訊號是影響通訊品質相當重要的因素,大多數的行動裝置或通訊設備,都會選擇訊號最強的存取點(Access Point)當做最優先的連接點,不過如果在目前的環境中,充斥著許多的的無線網路存取點,往往會造成頻道衝突的情況。

有許多無線網路的防禦機制,當發現不屬於合法架設的存取點,就會以「蓋台」的方式,使用相同的頻道,將對方的設備覆蓋掉,目前許多的建築物彼此之間的距離是相當接近的,或是在同一棟辦公大樓中,樓上樓下彼此的無線網路訊號也會互相干擾,因此瞭解設備所使用的頻道是相當重要的,可以避開許多人使用的頻道,而改用其它較少使用的頻道,對於網路的品質而言,因為干擾少了,相對的品質也可以獲得提升。


在辦公大樓或是都會區,找到一、二十個無線網路存取點是相當常見的,如果再配合外接式的高功率無線網路裝置,能夠接收到的訊號就更多了。


WiFi Explorer的設定是相當簡單的,提供與無線網路偵測相關的設定功能,這些大多使用預設值即可。


目前到處充斥無線網路的環境中,資訊安全的問題是許多人忽略的事,但卻是最重要的事,以最常見的溢波問題,可以讓有心人士在公司外部就能夠使用無線網路,或是對於我們所架設的無線網路進行探測或是攻擊,都可能的會因此造成資訊安全上的威脅,所以利用簡單的軟體來瞭解目前的無網路環境,對於網管人員而言是相當重要的一件事。