演讲者 | 演讲者介绍 & 议题介绍 |
Chong Xu、nEINEI |
Chong Xu:美国杜克大学博士学位,网络安全技术研究方向。Intel Security/McAfee Labs IPS team总监。领导McAfee Labs进行漏洞研究,恶意程序分析,僵尸网络检测及APT检测,并且将安全内容和高级检测功能提供给McAfee Network IPS, Host IPS , Firewall,全球威胁情报(GTI)产品当中。
nEINEI:Bytehero Team成员,Intel Security/McAfee Labs安全研究员。Bytehero未知病毒检测引擎设计者之一,VirusTotal /OPSWAT平台BDV反病毒引擎提供者。拥有多年信息安全领域研究经验。感兴趣方向:病毒/漏洞研究,反病毒引擎设计,网络攻击技术,逆向工程等。曾在XCon2010,XCon2013,AVAR2012,CanSecWest2014等国际安全会议上发表过议题演讲。
议题简介:防御高级内存利用攻击:检测ROP及内存信息泄露
尽管当前内存防御技术发展迅速,但仍然落后于漏洞利用开发者。例如:ROP + Memory Info leak可以很容易的绕过DEP+ASLR防护。虽然有第三方防护工具(例如EMET等)提供了针对ROP的检测,但这样防护依赖于假设shellcode代码必须要调用某些关键API函数。然而shellcode是可以使用一些技巧绕过这些检测的,例如Hook hopping 或者使用system call方式。议题中,我们讨论了一个创新的解决方案。尤其是绝大多数配合Memory Info leak的ROP方式。首先,新的解决方案要能够覆盖所有的流行的高级利用技术,例如,ROP,Memory Info leak,hook hopping。其次,它容易部署,是一个运行时的解决方案,没有任何OS/译器的改变,同时性能稳定,兼容性好对系统无负面影响。新方法能检测并立刻停止第一条ROP gadget指令的执行。并进一步精确的定位漏洞的触发位置。应该说明的是,这个方法不同于其它的检测机制,例如指令插桩或者指令仿真的方式。它不仅对应用程序影响甚微,也比其它的已知方案更有效。此外,在此检测工作模式下,也可以试图去了解整个漏洞的利用过程。例如,UAF漏洞的利用,相关对象的操作会背记录下来。这些记录可以帮助安全研究人员快速的了解一个漏洞产生的根本原因。
该议题中,我们将演示用新方法检测及阻止最近的2-3个真实的0-day利用。据我们所知,目前还没有其它的检测方案能捕获0-day最开始的利用指令(大多数情况下,1st ROP gadget),准确定位漏洞触发点及背后可能的根本原因。
|
褚诚云 |
褚诚云:微软安全响应中心工程部首席安全领队。于2001年加入微软。他和其团队负责对微软的安全补丁提供变通和缓解方案,对MSRC案例提供详细的技术文档,在微软公司范围的软件安全应急响应流程中代表工程技术团队等(http://www.microsoft.com/security/msrc/incident_response.mspx#ESB)。
议题简介:微软的0day对抗策略IV
基于0day漏洞的攻击是微软客户和微软的安全响应团队所面临的最为困难的问题之一。四年前在XCon 2009,微软阐述了其对0day漏洞的对抗策略:增加攻击者的成本和降低其回报。在XCon 2011,XCON 2013,微软又做了后继讲演讨论微软取得的进展。我们面临的安全挑战在不断变化。今年我们演讲对抗策略IV来讨论微软的最新进展,包括IE 的安全防御技术,EMET 5.0工具等等。
|
胡文君(MindMac)、Claud Xiao |
胡文君(MindMac):西安交通大学硕士研究生,主要方向是Android应用程序行为分析、Android恶意代码分析与检测。xKungfoo 2012、xKungfoo 2013、HitCon 2014讲师。SandDroid(http://sanddroid.xjtu.edu.cn)与AndroMalShare(http://202.117.54.231:8080)系统作者。
Claud Xiao:安全研究员,主要方向是Android和iOS平台的反病毒和软件安全。看雪学院“Android安全”版版主,HITCON、XCON、ISC、xKungfoo等会议讲师。
议题简介:Guess where I am: android模拟躲避的检测和应对
Android模拟器在动态检测中的使用十分普遍,然而对真实样本数据的分析发现,很多应用程序具有模拟器检测的功能。
本议题我们将主要讨论以下问题:
- Android模拟器检测技术的研究现状和应用情况
- 真实世界中,哪些应用程序会进行模拟器检测
- 它们模拟器检测的主要方法是什么
- 它们在模拟器和真机中的行为差异有哪些
- 它们进行模拟器检测的目的是什么
- 怎样将模拟器改造得更接近于各种不同的真机
- 这种改造对行为触发的效果如何
- 其他模拟器检测方法
|
Peter Hlavaty |
Peter Hlavaty (@zer0mem):目前在KeenTeam (@K33nTeam)担任安全研究员职务,他的工作内容是针对内核漏洞利用的研究。Peter在IT安全界工作了4年多,工作涉及的领域有:病毒研究、APT检测解决方法的开发、内核漏洞研究等。这几年来在全球各大安全会议例如SyScan360、ZeroNights等做过演讲,他同时也在github以及个人博客http://zer0mem.sk上发布过个人研究成果。
议题简介:Windows内核链表的奥秘
这几年来利用Heap/Pool管理机制漏洞来攻击内核内部链表结构的方法非常普遍。然而随着现代操作系统中对内存管理机制的改进,目前传统的内核攻击方法变得效率低下。
但是当我们仔细研究这些针对内核内存管理的改进点后,就会发现它们并不是想象中那么强大和安全。
在这个议题中,我们通过分析经典的内核漏洞CVE-2013-3660来揭示Windows内核链表的奥秘,以及我们如何一步一步绕过各种最新系统内核中的安全检查,最终实现完美利用。
|
TBsoft |
TBsoft:安天实验室微电子与嵌入式研发中心高级研究员,在90年代末期开始进行DOS系统下的反病毒、数据恢复等方向的研发,后逐步转入硬件安全的研发方向。曾在xcon做相关无线键盘监听获取等技术报告。
议题简介:信号的可发现性——Wifi之外我们还能做什么?
物联网时代,无处不在的信号承载着人们的衣食住行,甚至每时每刻的心跳、血压信息。本报告概括总结了多种信号传输形式和探测手段,探讨了相关的隐私泄露和保护问题。报告展示了研究小组对Wifi之外的多种信号的检测、定位和通信载荷特征识别的尝试,并附带了对可穿戴设备信号定位和识别的演示。
|
郭天放、张亮 |
郭天放:Trustlook创始团队成员,目前专注于Android平台的恶意软件沙盒检测技术及漏洞研究。郭天放已有7年的网络安全研究经验,学生时代便自学安全,曾是北京大学网络与信息安全实验室“V组”的成员;毕业后曾在安全公司Palo Alto Networks任研究员。涉猎过Web security,Windows漏洞研究及Android漏洞和恶意软件分析。
张亮:Trustlook创始人兼CEO,业界顶尖的安全专家与创业者。张亮有12年的网络安全研究经验,精通漏洞与exploit,network security等领域,曾就职于Lucent Technology和nCircle Network Security,并参与了Palo Alto Networks的早期创业。2013年7月,张亮在美国硅谷创办了Trustlook,一家致力于前沿的Android恶意软件检测技术的公司。
议题简介:安卓应用市场中的大规模漏洞发掘
Android正处于爆发期,但开发者的安全意识还远远没有跟上。
本议题将介绍一种在Android应用市场的漏洞批量挖掘技术,我们在AWS上搭建了一个分布式挖掘系统,目前已从互联网及各大应用市场获取了300万以上的apk样本。通过对这些样本的批量静态分析,我们发现到了惊人数量的安全问题,数百APP泄露了AWS云端的连接凭据,可导致黑客完全控制其服务端,还有更大数量的其它敏感信息泄露,如开放平台Secret_Key,数据库密码,甚至是APP签名私钥。有WebView挂马漏洞等问题的APP更是不计其数。
我们将披露一些应用的敏感信息泄露和应用安全漏洞。旨在引起开发者及安全研究者足够的重视。
|
玩命 |
玩命:标准IT屌丝,常年研究计算机病毒与软件保护技术。看雪论坛安全编程版主,现任北京娜迦信息科技有限公司CTO。
议题简介:链接器与加载器技术在保护壳上的应用
本议题介绍了链接器与加载器技术在android so文件保护中的应用,首先探讨了如何将动态库so文件作为一个第三方开发库并且通过编译链接技术链接到另外一个so文件上。 随后详细探讨了android so文件的动态加载流程,并且讨论了加载器技术在自定义格式方面的应用。以及使用加载器技术进行简单的so脱壳操作,并探讨了在脱壳以后对于ELF头的一些修复操作。
|