阿碼外傳-阿碼科技非官方中文 Blog: 2008/8/6

2008年8月6日

準備去美國駭客年會--Black Hat USA Briefings

終於到了旅館,再過幾小時今年的briefings就要開始了!

阿碼科技過去12個月以來參加了非常多駭客年會和資安年會,從舉辦OWASP Asia 2007照片),參展並派7位同事參加OWASP US 2007照片),參展並派7位同事參加資安產業最大年會RSA 2008,參展並演講於2008世貿資安展,到舉辦並演講於2008 SySCAN亞洲前瞻技術論壇照片),到等一下就會開始的Black Hat 2008,一路著實累積不少心得!

可是也因為這樣,我們發覺一場年會要讓我們興奮的新東西越來越少了。今年如果不是Jeremiah大力推薦,說今年Black Hat跟以往不一樣,特別精彩,我原本是沒有想要來的。所以拖到最後一刻才買機票,訂旅館...

來到旅館後,竟然跟我說over booking,沒有非吸煙房...那還得了,抗議一下之後,免費升級suite(一天貴三百多美金),這還差不多!





時間不多,就快天亮了,趕快把這次為了要blog帶來的裝備整理一下。Black Hat背太多東西很呆,還要帶筆電,所以這次簡配出征,只帶一機三鏡-40D / 24-105L / 10-22L / 100-400L:

開火測試一切正常,四張8G SanDisk,彈藥充足,一切OK!接下來就是最難的了:選今天要聽的talk。



大家會發現,Jeremiah選他今年聽的talk,很多都和他自己做的沒太大關係。其實我們大都這樣,因為跟我們做相關研究的人,我們大都很熟了,他們要講什麼,不是在別場會聽過了,就是早就私底下交換過研究了。一個人一年各大資安年會都講,每一場要生出新的東西,沒那麼容易,其實有時難免都有相當程度的重複。

像是今天第一場要選誰,Jeremiah選Nitesh Dhanjani和Billy K Rios,他對這場talk的評語真是一針見血,可是我今年RSA 2008已經聽過一遍了。

這就是不當speaker的好處。Jeremiah是RSA 2008的speaker,當speaker壓力不小,也會很忙(應付媒體等),所以別人的演講會漏聽很多。我在RSA 2007是speaker,RSA 2008我沒有講,輕鬆許多,聽到比較多場,但是公司有展場,畢竟還是有壓力。

這次純粹來聽演講還有跟這些朋友碰面,又更輕鬆了,真好!

經過一番掙扎,我選了以下的演講:

9:00 -10:00: Keynotes 沒得選

10:00-11:00: Jared DeMott, AppSec A-Z: Reverse Engineering, Source Code Auditing, Fuzzing, and Exploitation

11:00 -12:00: Dan Kaminsky, Black Ops 2008: Its The End Of The Cache As We Know It

13:45-15:00: PDP, Client-side Security

15:15-16:30: Robert Hansen (RSnake) & Tom Stracener, Xploiting Google Gadgets: Gmalware and Beyond 可惡題目被你們先講了!

16:45-18:00: Paul Royal, Alternative Medicine: The Malware Analyst's Blue Pill

好,準備出門了,聽完後再跟各位分享!

作者 Crane 為阿碼科技 CEO


繼續閱讀全文...

一切都是在騙人

今天早上收到朋友傳來的MSN,隔沒多久同事也收到類似的訊息,看了一下,原來是透過MSN傳播的惡意程式,實在是個不太稀奇的東西。


那為何會寫這篇blog呢?一切都是人性啊~

就像我總是跟朋友說的:『 社交工程才是王道啊! 』,所以這篇沒有多少技術細節,只是希望給個提醒,希望大家告訴大家(尤其是那些不太有警覺心的親朋好友),不要被騙到了。


這個訊息用了正體中文字,後面竟然還跟上了注音文,嗯嗯,騙人的技巧有進步,以前看到類似的信,用簡體中文不說,語氣也不對,所以比較不容易上當,這是第一個陷阱。

這個連結用到了一些會讓人產生錯覺或是疏忽的字串,例如msn、index.asp、hgtht.jpg等,很多網站都有類似的圖檔連結方式,又是從MSN收到跟"msn"有關的連結,因此順手就點下去了。

這裡就是第二個陷阱,www.tw-msn.com與MSN相關服務根本八竿子打不著,事實上,這個網站還在建設中呢!


點選這個連結後會下載一支名為ilove.scr的程式,附檔名是scr就已經夠怪了,存檔後長這樣:



這是我最愛的陷阱!用folder icon講檔案偽裝成folder,稍一不注意就會點進"folder"裡看看有什麼內容,實在是可愛啊!

最後丟到VirusTotal看看,嗯嗯,前天就有人上傳樣本了。用NSPack加殼過,總共還有25種防毒軟體掃得到,令人意外的是NOD32竟然掃不到,Fortinet也槓龜,這兩家國內的佔有率不低啊。

執行後的行為就不分析了,不是我的專長。(那什麼是我的專長?是唬爛...XD)

病毒、木馬、蠕蟲這些惡意程式也不是第一天出現,透過MSN傳播也很常見,這隻用到的技術也不特別,重點在於它誘使收訊者執行的手段不可輕忽,沒有技術深度,可是只要你有疏忽就會中獎。未來惡意程式技術會不斷進步深入,Packer不斷改進,唯有這社交工程技巧始終利用沒有進步的警覺心,實在是.....太方便啦~~

作者 Wisely 為阿碼科技 產品經理

繼續閱讀全文...

google說的不是我說的

這兩天的新聞:
資安之眼:電子告白信「有毒」! 甜蜜情人節被殭屍病毒纏上
PCHome:電子告白信「有毒」! 甜蜜情人節被殭屍病毒纏上...
大砲開講:七夕情人節駭客來攪局,風暴病毒邀請情人加入殭屍家族
另外還有好幾則新聞都差不多...大意是:
七夕情人節前夕,現代人喜歡用電子mail傳情說愛,但根據趨勢科技最新的Trend Labs統計卻發現,最近有一批由殭屍網路所散播含有惡意連結的垃圾郵件,郵件主旨皆與愛情有關,如:「Stand by my side」、「I want to be with you」 以及 「Lucky to have you」等告白訊息。一旦收件者因為好奇,按下郵件中所附的連結,那可能會是一場夢魘。

忍不住問了google大師,但google卻說:

可以參考此連結
google大師告訴我,2008年6月11日那時就有這手法啦!
這是另一個blog說的:http://blog.trendmicro.com/storm-meddles-in-matters-of-the-heart/
所以...天天都是情人節的啦...

其實這類似手法已經存在一段時間了,也很常見:


都非常類似的,換湯不換藥,把手法說清楚才是重要的,都是用詐騙手法誘拐使用者下載惡意程式,執行後當然植入惡意程式。簡單的手法一變再變,只要畫面炫一點、漂亮些,總是能騙倒一堆人的...

作者 Crane 為阿碼科技 資安顧問

繼續閱讀全文...

歡迎光臨阿碼外傳!

各位好!

我們最近終於有時間把公司的blog架設起來了。阿碼從2006年一月成立到現在,許多朋友都一直建議我們能有公司的blog,但是由於大家都忙,一轉眼就過了兩年半。

最近我們一直覺得大家真的很想多認識我們,大家都知道我們專注於web資安產品,有源碼檢測、web惡意程式偵測、web防火牆等產品,經過兩年,很多都已經是我們的客戶,也熟悉我們的產品,但是對於我們這個團隊,卻很想有更深入的認識。阿碼很特別,團隊很年輕,但是做的是世界頂尖的產品;研發團隊設在台灣,但是除了許多優秀的台灣青年外,也有很多來自美國、加拿大、德國、愛爾蘭、波蘭、西班牙、瑞典、紐西蘭、印度、南非等地的菁英。我們都在研究什麼?我們最近做了哪些新的產品或功能?我們對於資安趨勢的看法?我們參加各地資安年會的心得?那些會議的內容值得去?哪些會議值得贊助?阿碼平均年齡多大?阿碼一天工作多久?阿碼自己的SSDLC如何做?我們收到了各式各樣的問題,讓我們覺得,大家對我們的了解其實很少,其實僅止於我們的產品,所以我們決定,在辦完今年SyScan之後,去BlackHat與OWASP India、OWASP US之前,我們要推出我們大家一起的blog,來與大家分享種種,也記錄阿碼的成長。

可是對於我們來說,推出公司的blog,大家很難寫文章。我們喜歡寫文章,表達自己對很多事的看法,或分享我們所做的研究,但是如果是公司的官方blog,那麼我們的看法,也將間接地代表了公司的看法。可是如果我們因此而多所顧忌,那乾脆不用寫blog,發正式的新聞稿就好了;即使寫了,也將會像很多公司的對外發言一樣,經過了層層的包裝與修飾,留給外界自行設法解讀背後的真相,這樣就完全失去了blog的意義,況且我們都不習慣也不擅長很正式(或說「很官腔」)(或乾脆說「很虛假」、「很噁心」)的表達方式。

所以我們一起決定推出一個很特別的blog。我們希望能透過這個blog讓大家多了解我們,多與我們互動,多與我們分享你們對於我們的看法與建議。這個blog只會由阿碼的團隊來寫,每一篇登出來的文,一定出自一位阿碼的成員,所以它絕對是屬於阿碼的blog。但是我們每個人將代表自己發聲,用自己的語氣,發表自己真實的意見,這些看法僅代表我們個人的看法,不代表公司的立場,所以它雖然是阿碼的blog,但是不是官方的blog,於是乎,「阿碼外傳-阿碼科技非官方Blog」誕生了。

感謝您光臨我們的blog!希望您喜歡我們的分享,也歡迎您多貼您的意見給我們!

Enjoy our blog,
Wayne
2008年八月五日於舊金山

繼續閱讀全文...