第二十届亚洲反病毒大会(AVAR 2017)在京成功召开
12月6日-8日,由国际知名第三方网络安全测评机构——赛可达实验室联合国家计算机病毒应急处理中心、亚洲反病毒研究者联盟(Association of Anti Virus Asia Researchers, AVAR)共同主办的第二十届亚洲反病毒大会(AVAR 2017)以“不忘初心——对抗日益严重的网络犯罪”为主题在北京·丽晶酒店成功举行。来自全球20多个国家和地区的100多家全球知名安全企业的200多位顶级专家学者汇聚一堂,共议反病毒前沿技术及发展趋势。40多位权威安全专家围绕“APT、攻击代码和威胁情报分析、大数据和AI、网络黑产分析、IoT安全、手机APP安全”等热门话题展示了各自的最新研究成果。
近年来,网络攻击手段变化多端,从勒索软件到物联网僵尸,从利用网络漏洞攻击到APT攻击,从恶意广告到钓鱼欺诈,网络犯罪愈发严重。在此背景下,反病毒行业不断通过机器学习、主动防御、联动防御、信息共享等技术手段来应对这些网络犯罪行为,多措并举,但仍面临严峻挑战。在过去的19年中,一年一度的AVAR大会已成为全球最权威的反病毒技术交流大会之一,对遏制病毒在全球的传播发挥了重要作用。
盛大开幕 大咖云集
AVAR 2017主席、赛可达实验室主任宋继忠在开幕式上表示:“这是AVAR大会首次在北京举行,也是承上启下的第二十届,具有里程碑性特殊意义。本届大会为期两天,由主题峰会与分论坛组成。多年以来,虽然大会探讨内容早已超出了传统杀毒的范围,但AVAR 2017不忘保护用户的初心,将更广泛的探讨网络安全挑战和技术创新,致力于使网络空间更安全、更美好”。
赛可达实验室主任 宋继忠
亚太反病毒研究者联盟(AVAR)主席 Allan Dyer
国家计算机病毒应急处理中心常务副主任 陈建民
国家计算机病毒应急处理中心常务副主任陈建民代表公安部网络安全局对大会的召开表示了祝贺,并以“建立警企联动处置机制 携手共建移动应用安全”为主题,围绕移动应用状况进行了分析,总结出移动应用所面临的缺乏统一的管理规范、应用市场众多,安全标准不统一、移动应用缺乏规范化的安全标识、用户无法清晰明了获知应用是否安全、移动安全风险已影响到国家信息安全等诸多市场挑战,最后详尽阐述了应对的思路和措施。
腾讯副总裁马斌展开了关于“开放、合作、共享、共建数字经济时代的网络安全生态”的讲述,展望了网络安全发展趋势,阐述了腾讯公司战略及腾讯安全能力,提出了共建安全新生态的愿景。
来自VirusTotal的资深顾问Karl Hiramoto着重介绍了VirusTotal近期的发展计划,包括“multisandbox”、深入分析和共享样本之间的关系。他介绍了VirusTotal和安全厂商加强合作的计划,其指出,作为全球最大的在线病毒实时分析和全球最大的病毒样本库,VirusTotal将加强与安全厂商的合作。
微软(中国)CSO邵江宁围绕“人工智能助力网络威胁防御”表示:“当今革命性的AI技术和基于数据驱动的业务模式创新催生了许多新的产品形态和服务内容。为了应对威胁进化的速度,规模和复杂性,需要不断增强产品的安全免疫功能,包括先进和智能化的恶意代码检测和防御性解决方案,积极探索并利用人工智能特别是机器学习来提升全平台的安全能力。”
来自国际知名信息安全测评机构的圆桌对话把上午大会推向了高潮。AV-Test CTO Maik Morgenstern,NSS Labs 产品总监Bhaarath Venkateswaran,Virus Bulletin编辑Martijn Grooten,SKD Labs CEO 宋继忠从测试机构的角度,围绕网络安全热点问题展开了深入讨论。主要观点包含:用技术创新加大对安全产品的反勒索功能、AI和大数据应用的有效性进行检测验证;已形成对IoT设备安全性检测的有效方法;测试尽可能模拟真实环境;检测必须是持续的、实时的验证过程;咨询服务和数据服务已成为第三方测评机构的业务组成部分;将更加关注企业用户的需求;安全问题实际上是信息不对称,第三方测评机构的产品和服务的作用将日益扩大。
圆桌对话现场
热门话题轮上阵 精彩内容看不停
黑客组织分析和追朔
近年来,网络攻击变得日益频繁、规模也与日俱增。大公司重要数据被盗窃,政府网站、非政府组织遭受网络攻击已成常态,分析和追朔地下黑客网络组织日显重要。
ESET公司病毒分析师Filip Kafka在演讲中,对FinSpy恶意软件进行了详细分析,特别详细阐述了它近期的攻击渠道、攻击技术、技术演变和样本变异。来自Bitdefender的病毒分析师Chili Ivona-Alexandra,对今年活跃的有组织的网络攻击“PZCHAO”的各种特征进行了分析,包括攻击链、使用的基础设施和传播渠道,并将攻击朔源到Iron Tiger APT。
海莲花(OceanLotus)是高度组织化的、专业化的境外国家级黑客组织。自2012年4月起针对中国政府的海事机构、海域建设部门、科研院所和航运企业,展开了组织精密的网络攻击,这很明显是一个有国外政府支持的APT(高级持续性威胁)行动。ESET的病毒分析师Romain Dumont通过对该组织的持续追踪,对他们的攻击特征和攻击活动和近期动向进行了综合阐述。
ESET病毒分析师 Romain Dumont
APT28组织相关攻击时间最早可以追溯到2007年。其主要目标包括国防工业、军队、政府组织和媒体。期间使用了大量0day漏洞,相关恶意代码除了针对windows、Linux等PC操作系统,还会针对苹果IOS等移动设备操作系统。来自Bitdefinder的技术总监Tiberius Axinte详细分析了在macOS上最新发现的后门程序xAgent。
IoT安全
随着万物互联时代的来临,IoT安全问题已经成为万物互联征途中的软肋。
来自微步在线高级研究员杨晋分享了他对蓝牙4协议漏洞的研究成果。他指出,“blueborne”安全问题近期被披露。它不是一个漏洞,而是八个蓝牙漏洞,其中四个处于高危险级别。这表明,BlueBorne是非常强大的,它可以攻击苹果iOS、Android、Windows和Linux。
Bitdefender的Ciprian Oprisa团队对来自不同厂商的25个物联网设备进行了研究,在初始安装阶段,至少有三分之二种类型的漏洞存在。此外,对于其中一些设备,该阶段可以在任何时候由外部攻击者触发。文中给出了在分析设备上成功执行的一些实际攻击,并给出了保证初始设置的协议。该协议保证了物联网设备和执行安装的智能手机之间的相互信任,使模拟成为可能。该协议是加密的安全(基于对艺术的密钥交换和对称加密状态),确保敏感数据如Wi-Fi密码不能通过第三方阅读。
Bitdefender资深病毒分析师 Cristina Vatamanu
NewSky Security资深研究员Ankit Anubhav解析了”物联网威胁的演变与传统恶意软件的比较研究”。“智能攻击”就是寻找安全链中最薄弱的环节。他们团队发现了Mirai样本的一个新变种,该变种有三个模式:cve-2014-8361漏洞,tr-64和默认密码攻击。恶意软件将首先尝试通过使用已知密码表控制设备的简单方式。如果不成功,它将尝试运行两个已知的漏洞来获得对物联网的控制。他详细介绍了QBot,它可以将一个物联网变为僵尸网络。
腾讯高级工程师杨经宇和清华大学博士党凡介绍了团队开发的一种用于恶意软件取证的物联网蜜罐设备。相对于传统的蜜罐技术,它是一种高交互蜜罐(HIH),为物联网的恶意软件调查取证提供了更多的信息。首先,双向网络流量将被获取,这意味着记录的数据不仅包括攻击设备的流量,而且还包括被感染设备本身初始化的流量。其次,常见的网络提供服务,包括SSH、Telnet、HTTP、UPnP、甚至视频流。所有服务都包含专用的远程代码执行漏洞。一旦他们被攻破,攻击和恶意行动将被监控并报告给管理中心作为数字取证。最后,可以在前端层部署可选的流代理模块。该模块将重定向和总攻击流量预设置蜜罐增加捕获攻击全球覆盖。
来自G Data 的Andrew L. Go 和Wren Fer M. Balangcod 分享了如何利用现有的、开源的概念、技术甚至目的,设计出一种创新的方法,从而开发出实用的虚拟物联网蜜罐。
来自OPSWAT的Jianpeng Mo全面分析了物联网APT的演变,通过现场实例演示,揭示了物联网APT入侵IoT设备的过程。
人工智能和大数据
传统的网络安全防御技术已无法抗衡新的安全威胁,大数据与人工智能是网络安全治理的关键。
来自卡巴斯基的Alexander Chistyakov分享了基于机器学习(ML)的病毒检测模型的最新研究成果。越来越多的安全厂商开始使用机器学习(ML)的恶意软件检测模型,这些探测器的建设基本管道通常是一样的:收集的数据集的良性和恶意样本,训练一个分类器预测正确的标签,使用该模型的一个积极的预测来检测新的恶意软件。然而,这种方法没有考虑到一个重要的自然属性:在注入任何新功能之后,没有恶意代码可以变得干净。作为一个结果,入侵者往往可以避免检测,只需加入一些混淆或干净的有效载荷为恶意软件样本。在演讲中,他解释了如何变换ML结构(Deep NN, tree-based ensembles, kernel SVM, etc.)使静态或动态的恶意软件检测模型更安全更有效。
McAfee的移动恶意软件研究员Daisuke Nakajima在会上作了“基于人工辅助和自动机器学习的安卓恶意软件检测”的演讲报告。其指出:基于机器学习(ML)的恶意软件检测,可以实现对已知的和未知的恶意样本的高检测率。但它也可能带来潜在的更高的误报率。为解决这一问题,他提出了一种结合机器学习、传统特征码和网络信用的实用模型。
瑞星首席科学家叶超 “基于机器学习的恶意软件检测“。介绍了如何构造一个基于机器学习的、有效的恶意软件检测模型的实践经验。
手机和APP安全
手机应用的发展与普及,极大地方便了我们的日常生活,而在APP日益增多的同时,恶 Sophos公司的Jagadeesh Chandraiah分析了最近在谷歌应用商店所发现的恶意软件,解析了恶意软件所使用的传播和感染技术,提出了应对技术的措施。
McAfee公司的Irfan Asrar在“2017年手机恶意广告“的演讲中,着重分析了手机恶意广告/木马点击器的演变趋势和技术,通过实例演示,提出对抗恶意广告的有效方法。
AVAR会员大会
在AVAR会员大会上,选举产生了新一届的理事会,赛可达实验室主任宋继忠再次当选理事,并因对AVAR发展所做出的贡献被授予AVAR年度主席奖。
颁奖现场
历届AVAR大会的举办为网络安全行业的发展搭建了国际性的沟通交流平台,AVAR 2017的圆满成功更是为亚洲反病毒大会成立20年来的发展交上了一份满意的答卷。据悉,AVAR 2018将在印度举办。