NO.60 | 2019.10.31
banner
title有備而來 友善列印>>
Hacks In Taiwan Conference 參與心得_資通安全組 宋駿瑋助理工程師

  Hacks In Taiwan Conference (HITCON) 台灣駭客年會為我國最大的駭客與資安技術研討會,是駭客們的聚會,駭客們一年一度的 Party。
 

圖1:HITCON 2019現場
(圖片來源:HITCON Facebook官方粉絲專頁)

  這次參與HITCON 2019收穫甚多,從開場的 Keynote 到各個議程的分享,每一場演講,都讓人發出「哇,原來還可以這樣!」的驚嘆聲。在此次研討會中,看到了許多有趣且從前沒有想過的攻擊手法,講者除講述、分析攻擊流程以外,也分享他們自身的經驗和心法。無論是做滲透測試或者惡意程式逆向工程,都需要大量的時間和耐心,仔細觀察每一個細節,很多漏洞就出現在這些沒人注意到的細節中。現今網路的攻擊手法巧妙多變,公司該如何應對這樣的變化呢?只能仰賴構建全體員工對於資訊安全的認知,且須對公司所使用的各項設備瞭若指掌,並隨時更新軟韌體,做好事前的預防措施及事後的復原措施,以將風險程度降到最低。僅靠資安工程師,是無法徹底做好資訊安全防護,因為許多攻擊是由非資訊人員的無心舉動所導致。
 

圖2:HITCON現場
(圖片來源:HITCON Facebook官方粉絲專頁)

  此外,由於我主要的工作責任為惡意程式分析,因此也參與了相關議程。大會邀請了來自日本卡巴斯基、McAfee及
NTT-CERT的三位講者,共同講述有關通過域名系統(DNS)劫持技術傳播的 Android 惡意軟體。在演講結束後,我也與講者進行交流,了解他們如何分工合作進行惡意程式分析。例如:其中一位負責情資整合分析的講者不熟悉惡意程式分析,因此就由另一位擅長惡意程式分析的講者進行分析,最後共同梳理出整個惡意程式的脈絡。由此可見,做惡意程式分析的過程中需要集體作戰,團隊合作非常重要!透過這樣的機會,我也發現,交流必須建立在雙方有彼此想知道的訊息上,你有我想知道的情報,而我也有你想知道的資訊,這樣的交流、分享才有意義,才能擦出不一樣的火花。
 

圖3:HITCON現場
(圖片來源:HITCON Facebook官方粉絲專頁)

  同樣是惡意程式,另外還有BackSwap分析的議程;BackSwap 是 2018 年新型態的網路銀行木馬,透過監聽 Windows 內建的 GUI 視窗事件與訊息,注入惡意 Javascript 到瀏覽器中,達成盜轉金額的目的。講者提到市面上資安公司的分析報告,內容常僅呈現最終分析結果,其背後的分析方法與脈絡皆未著墨,常使報告讀者有「知其然,而不知其所以然」之感受。為此,他們花費數月時間,深度分析 BackSwap 這隻惡意程式,了解其程式架構與執行邏輯,並成功觸發 BackSwap 之完整惡意行為。講者透過各方面的分析,將惡意程式所有的行為展露無遺。講者也與我們分享,要做到如此深入別無捷徑,唯有專心、專注,紮實自身的基本功,並持續到成功。必須在這個領域做到最強,或者發現獨一無二的攻擊手法、漏洞,才有機會投稿上HITCON 這樣的研討會。

  再從另外一個角度切入看此研討會,在各個議程的主題比例上,可發現紅隊(負責發動模擬攻擊以找出風險)的投稿比例佔了多數,因為紅隊的議題相對吸引大家的目光。但我認為藍隊(於模擬攻擊中進行資安應變、處理)也一樣重要,因為藍隊扮演著找出問題根源的角色,其工作包含事後處理、資安事件的應變與處理及分析惡意程式攻擊。公司並不能只依靠緊急事件處理的資安人員,也需長期投資資安人才,因此無論藍隊或紅隊均缺一不可。而平時的攻防演練、分析技術,資安研發和員工的教育訓練都非常重要。
 

圖4:HITCON現場
(圖片來源:HITCON Facebook官方粉絲專頁)

  最後也非常鼓勵大家參與這樣的技術研討會,除了瞭解最新穎的攻擊手法和分析技術,也是最能認識講者的場合,可進行交流、討論資安議題、找尋適合合作的夥伴。