智慧型HIPS

我最近在做部分智慧型HIPS的測試，發現不少廠商都有所進步，像是：DriveSentry和AVG Identity Protection。

雖然說智慧型HIPS的攔截能力大多不如手動型HIPS，但是透過白名單與恰當的規則，智慧型HIPS也是毫不遜色的！

智慧型HIPS的優點在於不用使用者決定（部分情況仍需要），可以避免使用者遇到警告時就怕的不知所措，甚至是亂點允許（不過新手也都是選擇攔截居多）。

一個完整的智慧型HIPS應該要有回滾（Rollback）或虛擬（Virtual）的功能，否則可疑程序執行到最後才被攔截，那麼之前的行為豈不是會損害電腦？

目前已有成熟智慧型HIPS技術的資安廠商有：Kaspersky、Panda、F-Seucre、AVG、DriveSentry等...。

未來智慧型HIPS將會是主要的發展重點，畢竟自動化一直都是人類追求的目標！

ClamWin 即時監控程式-RC129

這是我最近寫得一個程式，功能主要是實現CalmWin的即時監控功能

來彌補目前CalmWin沒有即時監控的缺陷

目前只簡單的實現了即時監控的基本功能

攔截時機在病毒被執行時才會攔截(包括程式載入有毒的DLL時)，這時候病毒還

沒開始執行，不會對電腦造成傷害

不包含自我保護

屬於測使版本

程式內由於使用了一些硬編碼，所以目前只相容Windows XP

Windows XP SP2和SP3 都有測試過

Widnows 7版本正在準備(因為手邊沒Vista)

由於使用VC++ 2008編譯Client端程式，必須安裝.Net Framework 3.5

使用方法

1.如果沒有.Net Framework 3.5 先至http://www.microsoft.com/Downloads/details.aspx?displaylang=zh-tw&FamilyID=333325fd-ae52-4e35-b531-508d977d32a6下載安裝

2.安裝CalmWin http://www.clamwin.com/ 並且

讓他更新一次病毒碼

3.將ftp://192.192.45.70//clamwinrtRC129.zip壓縮檔中的APP.exe 和 clamwinrt129.sys複製到 ClamWin安裝資料夾下的bin資料夾中

4.執行APP.exe，會跳出黑框框，監控就開始了，黑框框不要關掉

5.關掉黑框，監控就停止

儘管在完成基本功能的那天，就發現CalmWin官方的即時監控已經在Alpha了，源碼已釋出，不過還沒有bin

APP.exe執行時

執行一個記事本

發現病毒被執行

按"是" 阻止病毒執行的結果，病毒執行失敗

TMSPN上市發表會心得

這次趨勢Smart Protection Network(以下簡稱SPN)上市發表會，讓我挺身受感動的。

等2010出來之後，大概就會買一套TIS盒裝。接下來就開始回憶錄:
原訂1:30的會議，到2:00才開始。幸好燈光美氣氛佳，一邊填問卷順便把自己的問卷放進袋子，等會議開始。
現場最後也是爆滿，在別人談話中，發現有南投，台中的政府部門與會。

趨勢還挺重視這次發表會的，一開始就是趨勢台灣區總經理"Bob"介紹目前的網路威脅發展，以及SPN的簡單架構。

其中他提到幾點蠻重要的:
1、趨勢透過SPN蒐集的資料反推，層層搜索，找到威脅作者甚至地下組織。並通報警方抓人，打擊犯罪。

2、SPN比的就是速度，全球各地都有威脅出現，SPN不是只分析一個威脅，而是1000位專家都在分析，因此使用者能得到最迅速的更新。

3、SPN是透過HIPS，啟發式，演算法(數學公式)，異常行為來抓取樣本。並非是使用者中毒之後才抓取樣本。

4、SPN擁有34000台以上的伺服器，高速處理取得的大量資料。

5、SPN當初創立的原因是為了"不誤判"又"不放過"，這種兩難的情形。

6、最後Bob秀出了趨勢花在SPN上的相關人力和資金。

最精采的莫過於台灣SPN開發總經理"Eric"的介紹了，他很有個性，會場中還帶著MacBook，桌面就是Eric和小孩的合照。

Eric接著又詳細介紹目前的網路威脅情勢，他挑出比較重要的細節來講:
1、SPN透過"社群智慧"，"關連性分析"，"整合回報"架構起來：
其中社群智慧有"Smart Feedback"。它可以記錄全球網路上的可疑行為，再透過演算法來過濾，最終以雲端技術達到立即分享給用戶最新資訊。

還有"User Query Info"。在發現可疑行為時，透過查詢FRS(檔案信譽)、WRS(網頁信譽)、ERS(電郵信譽)的方式來檢查是否已經入庫。

2、SPN的"關連性分析"，有"Monitor And Select"透過演算法從大量資料來選取需要的資訊。"Incident Trigger"標記優先權程度。
"Correlate"交叉比對尋找眾多檔案之間的關聯性。"Intelligent Scoring"最後給樣本打分數，評斷可疑和信任指數。

3、其中Eric舉了三個例子"大量用戶可疑行為"，"大量用戶瀏覽類似網紙"，"瀏覽順序"。我覺得比較特別的是"瀏覽順序"：
當SPN發現大量用戶短時間(幾分鐘內)瀏覽一個網址時,SPN會自動搜尋分析,是不是都被指向相同的惡意網址.

但是也有可能指向類似的網址，威脅作者為了逃過追蹤，設定亂數網址。此時SPN也會做一個統整，把相似度高的網址一起做關連性分析。

而發現大量用戶短時間內瀏覽順序都是ABC(假設網站)或CBD時，SPN也會做分析，以確認是否被控制瀏覽相關網頁。

4、Eric為了方便我們了解趨勢每天分析用戶50億次查詢、每天處理大於1.2TB的資料有多大。
他說有次市場行銷部門來找他們希望能從用戶的瀏覽方式去分析，Eric基於同公司就說可以並問說要多久的資料，他們就說先拿前一小時的資料。
結果Eric就拿了兩片DVD給他們，他們當場傻眼，用人工分析的方法根本看不完。現場很多MIS也是一聲驚呼。

5、思考中我腦海產生了論壇上各位的疑問：先讓用戶中毒才分析？只分析大量用戶？
剛好到了休息時間，上完廁所剛好Eric正要用iMac上網，抓住勇氣和機會上前詢問。
Eric一開始就先打量我一番的樣子，也許他不太相信，那麼多MIS裡只有我這學生會來問他問題吧。

我一開始就針對"是否只分析大量用戶的可疑行為"問他，他說：我們只是為了方便解釋所以才舉一萬用戶五千人同時做某些行為的例子。
並不是SPN不分析單一用戶的行為，SPN會自動分析所有的網址，當然不是只靠用戶瀏覽網頁時才做分析。
他又舉例說：當SPN找到一個網站，其中JS或CSS裡有EXE結尾的網址就會優先分析，當然他們也考慮到有些是假的EXE、非EXE結尾的網址，SPN都會分析。

之後我又問了"那麼趨勢有沒有打算進一步發展HIPS"，此時另一個像是SPN開發成員的也靠過來聽。
Eric說：我們在SPN裡面當然也有運用到HIPS和啟發式等嚴謹的分析方式。等一下我們會在Office Scan和Worry-Free的產品介紹中提到HIPS的部份。
另一人說：對於用戶端的HIPS我們不敢做太過嚴密，容易發生誤判(趨勢在2010裡已經預設HIPS自動處理)，但是在SPN我們一樣會運用各種方式分析。

這裡就要為趨勢稍微平反一下，趨勢的HIPS並不是完全沒用，我有好幾次不小心執行威脅的情況，趨勢都有攔截到。

也算是得到了一個相當滿意的回復之後，我就先謝過他們回會議廳寫筆記。

下半場是整整一個小時的企業產品介紹，我是比較沒做筆記，不過對於一些部分還是有留意到：
1、一開始主講人(我忘了名字)就先秀出一張趨勢的統計資料，說每兩秒就有一隻新威脅產生。他就問說去年趨勢的統計是幾秒一隻啊？
在場沒人回答，我想了一下就說四秒，就拿到了趨勢小水壺一個。

2、企業產品中都有應用程式管控的功能，也就是HIPS中的AD，方便MIS管理員工使用應用程式的情形。

3、USB管控。趨勢這個新功能很特別，趨勢說這個功能可以讓我們可以任意存取USB又不用擔心裡面的AutoRun會發作。

4、最後是有關於TDA和TMS這兩個服務的介紹。TDA很特別，它類似硬體防火牆閘道，但是卻是拿來抓企業內部的問題。
它會自動分析企業內部的封包，找出可疑的行為，然後回報給MIS，透過這樣就能找出哪台電腦是中了毒。當然還有其他功能，只是我沒詳記。

我認為趨勢的SPN到今年才真正完成了統一，也就是那三個循環FRS、WRS、ERS。之前只有WRS和ERS的查詢。
FRS的整合應該會加強趨勢在誤判上還有分析偵測上的表現，當然這些功能都個人版上都有！

對於這次的發表會，我可說是相當的滿意，對趨勢也有了相當的信心！至少我可以認同他們的理念，而趨勢也已經實作了。

開發人員對於學生的我也是有所重視，願意傾聽和解答，明年的發表會我應該也會參加吧，看到時有沒有新技術的發表囉。

後記：
現場的點心我都沒碰，只覺得是來學知識的，不知道現場MIS是不是都真的懂。還有人坐第一排，下半場累得頻頻跟主講人點頭。

如何使用Winpcap取得網卡的MAC位址

Winpcap在一般的pcap_開頭的函式中似乎沒有提供網卡MAC資料的取得方法，但是其實在Winpcap函式庫更底層的Packet.dll中有導出相關函式

Packet.dll的頭文件為Packet32.h，lib為Packet.lib

它似乎是比wpcap.dll更底層(wpcap.dll似乎是透過packet.dll跟ring0中的NPF驅動作溝通)

packet.dll少數的範例文件存在於winpcap原始碼包中的Examples\PacketDriver

裡面有一個範例就是取得MAC(GetMacAddress.c)

下面是一小段我寫出來的程式，主要參考GetMacAddress.c 部份文件是參考packet32.h和ntddndis.h

temp=4096;

PacketGetAdapterNames((PTSTR)dev_names,&temp); //列舉網卡名稱

i=0;

j=0;

oid_data=(PPACKET_OID_DATA)new u_char[sizeof(PACKET_OID_DATA)+6]; //取得資訊用的緩衝區

RtlZeroMemory(oid_data,sizeof(PACKET_OID_DATA)+6);

while(dev_names[i]!='\0' || dev_names[i+1]!='\0'){

dev_name[j]=dev_names[i];

if(dev_names[i]=='\0'){

dev_adapter=PacketOpenAdapter(dev_name); //開啟網卡

oid_data->Oid=OID_802_3_CURRENT_ADDRESS; //要取得的資訊類型，

oid_data->Length=6;

PacketRequest(dev_adapter,FALSE,oid_data); //送出請求

printf("%sMAC=%02x:%02x:%02x:%02x:%02x:%02x\n",dev_name,

oid_data>Data[0],

oid_data->Data[1],

oid_data->Data[2],

oid_data->Data[3],

oid_data->Data[4],

oid_data->Data[5],

j=0;

}

i++;

j++;

}

實力派歌手Lene Marlin

Lene Marlin是從挪威一個名叫"Tromso"的鄉村來的女孩(個人介紹)。

第一次接觸到她的歌是在空中英文的雜誌上介紹，於是上Youtube聽了她最新專輯的第一名歌曲"Here We Are"。

聽了不是只有感動，而是對於那獨特的腔調，不似英國或美國人那種腔調，而是北歐特有語言魅力的腔調。

不看歌詞也許會以為是別的字，但是懂了後才發覺這種腔調是如此扣人心弦！

不過真的看不太懂台灣翻譯的中文歌詞，有些虛幻過度，還是看英文歌詞比較能感受她的心意。

之後聽了她的其他歌曲，真的強力推薦她的所有專輯，等到我錢入口袋時，勢必要把她的所有專輯都入手！

Adobe Reader/Acrobat再爆新漏洞

McAfee Blog於7/22發表一篇關於Adobe Reader的新漏洞，其中夾帶兩個執行檔和SWF檔（ Flash動畫檔），PDF檔也能執行Flash動畫！？沒錯，在這個新的漏洞裡，連Flash動畫都能執行，但這個Flash動畫可是不懷好意的。

如果您開啟某個PDF檔而出現Flash Player，小心！您可能已經中毒了！

連Sophos Lab的分析師都大感意外，直呼"Flash in the PDF？"，畢竟這是第一次發現這種樣本！

目前已知影響的是Adobe Reader 9系列和Adobe Acrobat 9系列。慶幸的是，如果您使用的是Google提供的Adobe Reader，那是8系列的，不會受到此次攻擊的威脅！

但也很不幸的，目前該漏洞Adobe尚未修正，建議您近期不要開啟不明的PDF檔，直到Adobe修正漏洞！

此外F-Secure也很早就發文建議不要使用Adobe Reader作為PDF瀏覽工具，因為它的漏洞實在是太多，而且修復的速度也相當的緩慢！

假外掛真盜號

很多假外掛似乎是同一個大陸集團，雖然是不同出處，但是行為上都有類似之處。

雙副檔名的騙法

於系統資料夾下建立檔案，攔截。看來是楓之谷外掛，但是原名卻說是真三國無雙Online外掛

又建立檔案，名稱就夠可疑的了，攔截

 

死了

 

其實允許之後會發生不少事情，稍微用文字描述一下︰
允許生成那兩個執行檔後，又會產生一個"ro.dll"，測過幾個外掛都有這個行為。

然後生成一些FNE檔和FNR檔，是大陸人的作品—易語言，想必這就是為什麼易語言常常被偵測的原因，因為太常拿來做惡意行為了。

之後一直建立WinSock關聯的登錄檔，數量相當的多，命名有規則性。

期間會看到楓之谷外掛的介面，隨便輸入個帳密，都說帳密錯誤，連網行為都沒有哪可能驗證帳密正確性。

真外掛是很少的，假外掛可不少！就算真的有效果，被盜帳號也是必然的！

自己寫的PE Loader

我基於某些需求，必須不透過Windows內建的PE Loader來加載PE(為了監控所有加載流程)

所以我花了幾天的時間，解決一大堆問題，總算是拼湊出一個可以用的PE Loader

主要是透過執行一個程式，再把要加載的PE載入到這個程式的空間中，然後跳轉到入口執行。

先Patch 宿主程式sub8.exe

加載所需的DLL

完成加載notepad.exe

EQ Secure宣布開始收費

EQ Secure是中國近年網友自行開發的一套HIPS軟體，是一套規則式的純HIPS，不論在白名單或是智慧化上都不夠成熟。

但是由於其刁鑽的監控能力，讓許多測試病毒的網友崇尚使用它來分析病毒行為。

原本EQ Secure打著永久免費的名號，讓許多原本對純HIPS感到卻步的人使用，但沒想到近日卻傳出收費的消息。

同類型的免費HIPS有COMODO、Online Armor，但是白名單和防護能力都做的比EQ Secure好很多。

雖然說EQ Secure收費的原因不得而知，但是以一個好的HIPS的立場來看，EQ Secure還是稍嫌不佳的。

EQ Secure現在收費人民幣300元（最近特價200元），在中國市場來說，似乎有點貴。

總之，我們可以觀察看看EQ Secure今後是否還會再次改變收費制度。

透過修改內存頁表 隱藏Hook

我最近有一種想法 可以用來隱藏需要修改內存之類的Hook 如SSDT Hook 而不被Anit Rookit工具發現

主要原理是修改需要Hook的進程的PDE PTE表，把原本的虛擬位址對應到我Hook過的物理位址

由於每個進程的頁表都不一樣(包括System) 所以如果我只改某個進程的頁表 System或Anti Rookit的頁表並不會被更改 也就看不到我改過的物理內存 我的測試是用修改前五個字節的方式對notepad作Inline Hook NtCreateFile

由於NtCreateFile所在的頁是4M的Large Page 所以我先建一個PTE頁表 每個頁為4K 對應的物理位置為原本的物理內存(這個動作應該是多餘的)

然後在得到NtCreateFile所在的4K頁 把這個頁Copy一份到別的位址 並且把我建的頁表中這頁的物理位址指向Copy出來的那頁，修改Copy出來的那頁 作Inline Hook

最後修改notepad的PDE 把他指向我建立的PTE頁表

測試結果 如果直接Inline Hook NtCreateFile GMER這個工具可以輕鬆檢測

修改後 就隱藏成功了

"Sophos Lab Taiwan"真真假假？

此事件起因於Mobile01的討論版的兩篇文章"USB病毒測試"和"Sophos守護神 + 528隻USB病毒實測"，AVPClub資安論壇上也正在討論此事。

求證於Sophos台灣代理公司後得到回覆：
Hi,
這個網站不是我們公司的網站, 我們的代理商網站是 www.spontech.com.tw

Allan Lan
Country Manager, Taiwan

然而，AVPClub站長像"Sophos Lab Taiwan"詢問之後得到回覆：
先生您好：
我們是Sophos台灣零售版本的代理商，我們委託公關公司幫我們製作行銷網站，目前看到有病毒碼樣本包，發現並非由Sophos提供，經詢問後是由貴網站下載取得，至貴網站去瀏覽了一下，發現已有網友在討論此事，請問是否需要宣告出處？或是連結指向貴網站？
因為病毒碼本身的著作權人應該都非上載的網友，因屬非法行為，應該也沒人敢宣告其為著作權人，所以我們不知該如何引用，能否給我們建議。
另外，如果想與貴論壇進行其它行銷性的配合，不知是否可行？如果可行，可否拜訪進行更進一步商談。請惠予建議。
--
鄒坤霖 Iven Tsou
:: 禎霖資訊 :: 中小企業資安平台 ::
TEL 886-2-27900767 | FAX 886-2-27907081
Mobile 886-932198017
MSN iventsou@hotmail.com

首先我們可以看出"Sophos Lab Taiwan"以著作權法來打壓AVPClub的蒐集朋友。但是他們沒經過蒐集者的同意，就擅自使用於商業用途！

其次可以發現，在Mobile01發表測試文章的帳號"iventsou"和他們回信給AVPClub站長的MSN"iventsou@hotmail.com"，很巧合的一樣！難不成有人冒用帳號來宣傳Sophos？那些試用心得還不都是他們自己寫的，老王賣瓜自賣自誇！

再來"Sophos Lab Taiwan"網站上寫的聯絡方式和公司名稱都是"思邦科技"，但是真正的思邦科技並不在台北，聯絡方式也大不相同！涉有詐騙消費者的嫌疑！

由於此網站並不被Sophos官方所認可，我強烈建議消費者不要購買或試用該網站提供的任何產品！以免觸法或者危害電腦！