AVAR 2007 第10屆亞洲病毒研究者協會會議特報

2007年11月28號，第10屆亞洲反病毒研究者協會(AVAR)國際會議在韓國首爾市舉行，本人有幸參加此次資安界盛會，也是第一次到韓國玩，所以就當遊記，記錄下這次的經驗跟感想，與大家分享一下。
首先，可能很多人還不清楚甚麼是AVAR（亞洲反病毒研究者協會），這個協會成立於1998年6月。協會的宗旨是預防電腦病毒的傳播和破壞，促進亞洲的反病毒研究者間建立良好的合作關係。該協會是獨立的、非營利性組織，主要是以亞太地區為主。會員大都來自以下國家和地區資深的反病毒專家：澳大利亞、中國、香港、印度、日本、韓國、菲律賓、新加坡、台灣、英國以及美國。成員都是以防毒廠商與亞洲各政府的資安防護單位為主。主要的工作是有：
●發佈AVAR電子資訊，主要是與安全相關的方面
● 為反病毒產品提供評估測試
●對反病毒產品以及反病毒從業人員進行認證
●改進與加強與其它的國際反病毒組織的溝通和合作
言歸正傳，隔天開始AVAR 2007會議。我們先參加了歡迎酒會，各大資安處理單位也出席，有Microsoft、ICSA、AV-TEST、日本的IPA、JCSR/JCSA、韓國的KISA、大陸的國家電腦病毒應急處理中心、反毒產品監督檢驗中心，印度的Proland Software。當然各防毒公司也都沒有缺席，趨勢、瑞星、江民、金山、Kaspersky Lab、AhnLab、CA、McAfee、Symantec、ESET LLC、Websense與Fortinet等，幾乎全都到齊。
議程主要分為兩天，第一天主要是以資安或是病毒的趨勢為主，第二天講了比較偏防毒技術方面。小弟我研究病毒技術從以前讀書時期到現在也有蠻長一段時間，S先生更是魔人等級，差不多有15年，從早期的TPVO組織（現在應該沒有幾個人知道TPVO，知道的人應該都像是我們這樣的老骨頭資安人），當然我們兩個對於第二天比較有興趣，期待能有讓我們為之一亮的內容。
一開始由AVAR現任主席Seiji Murakami開場，他也是日本的JCSR/JCSA成員，講的是日文，加上開場應該都是官話，所以我就沒仔細聽了XD。
第一場的Keynote Speech是由Symantec的Vincent Weafer，他是賽門鐵克資安反應中心高級發展總監（Senior Director of Development, Symantec Security Response），是一位非常資深的資安人。
他提到了越來越多的駭客都是為了錢，就如同電影「瞞天過海Ocean''s Eleven」一般。現今的惡意程式已經變成是交易的貨品，可以在網路上買賣發信軟體、後門程式、Rootkit/Virus、各式各樣的Exploit Code等。他在投影片引述駭客Jeanson James Ancheta（他因曾經發動過DDoS攻擊而被FBI逮捕）說過的話“It''s immoral, but the money makes it right.＂用白話翻譯就是「有錢能使鬼推磨」。Weafer繼續提到他觀察到的資安趨勢，有高達46%的惡意程式都是透過Email附件散播，接下來是網芳與P2P。另一個惡意程式發展重點是在Web Browser，越來越多的攻擊或是Exploit都是針對Browser弱點，其中IE為最主要目標，約有77%的Exploit針對IE而來；Firefox等約有12%。Weafer在總結中提到，我們所面對的威脅已經轉變了，Botnet不再只是以前熟知的IRC Botnet，已經發展出各式各樣的Botnets，這是大家需要警覺的。
在這天議程中，另一個重頭戲就是鼎鼎大名的Eugene Kaspersky，他是Kaspersky的創辦人，也是我很景仰的一位名人。講題是 “The Cybercrime: Fact, reasons, trends”，他提到現在駭客目標都是一些個人資料或帳號密碼等。 
接下來他列出造成重大駭客攻擊或是撰寫病毒的6位駭客，其中前三位讓我突然嚇一跳，都是病毒史上大紅人：
YES！你應該要認識左邊那一位，如果不認識話，就是白混了。沒錯，來自台灣的CIH寫了一隻名為CIH的病毒，轟動全世界！剛好呢，他是我大同的學長，晚上回到飯店後，我立即MSN跟學長說「哈~學長你又被報出來了，這次是尤金卡巴斯基的投影片上提到你，又出名一次，」學長苦笑了一下說，「都已經多久了，還被挖出來報。」至於中間那位，看起來像是外星人的胖子Jeffrey Lee Parson，據說就是Lovesan（又名衝擊波）病毒的作者；而右邊的那位Sven Jaschan就是知名的Netsky跟Sasser病毒的作者，Sasser病毒又名 「殺手」病毒，就是讓當年台灣1/3郵局終端機癱瘓的病毒，讓全世界1,800萬台電腦癱瘓，甚至讓澳洲新南威爾斯鐵路交通因為火車駕駛員無法和控制中心通話而中斷，導至了30萬名乘客被困車站，雖然Jaschan在2004年5月被德國警方逮捕，但是據說同年9月被一家德國資安公司請去上班了。
他提到掃毒軟體接下來應該要朝下面幾個方向繼續加強：
●Signature scanner(with quick reaction time)
●Generic detection routines(“smart” signatures)
●Heuristic scanner (emulation) 
●Behavior blocker (HIPS)
● Unpacking and unarchiving
另外一提的是，唉，一場真的不知道怎麼說才好。是由CA的威脅中心總監Itshak(Tsahi) Carmona，他的講題是 “Conventional and Advanced Generic Detections＂，但是整個投影片不到100個字，講了10多分鐘就結束了，也沒什麼內容，還有些人根本還沒坐好台上就結束了，草草結束讓台下一片嘩然，這大概是我看過最混的一場?。
第二天的議程比較多有可看性的技術議題：
這幾年惡意程式的發展，很大因素是因為加殼（Packer）技術的普及，隨著各式各樣的加殼軟體發展，越來越多的惡意程式使用加殼程式來做變型，也躲避掃毒程式的特徵檢查。如果同一隻惡意程式經過10個加殼程式的變型，就會產生出10隻不同Binary內容的惡意程式，這會使得掃毒軟體的病毒庫呈現爆發性成長；並且偵測率也會因為變種容易製作而導致下降。因此在AVAR 2007我也觀察到，解決Packer的問題對掃毒業者來說實在是刻不容緩，第二天就有幾場講到這個題目，也各自提出自己的研究，其中Chandra Prakash講題是 “Design of X86 Emulator for Generic Unpacking”，他們開發出一個Emulator系統，可以模擬的CPU來虛擬執行惡意程式，利用這樣來做通用型解殼模組，此技術實際上也已經多少應用到目前商用的掃毒程式中，但是還是有很多挑戰需要克服，例如要作到脫殼（Unpacking）還是要解決程式進入點（OEP）定位問題，因為很多殼會使用各式各樣的花招來隱藏程式進入點。另一場由Websense的Tan, Xiaodong主講 “Anti-unpacker Tricks in Malicious Code”，基本上要做事情跟Prakash一樣，也是用Emulator環境來作。看來，掃毒軟體廠商對於Packer真得是很頭痛，而這場Packing跟Unpacking的戰爭是不會停息的…。

日韓經驗可做為借鏡
下面我在介紹兩場，值得我們台灣資安當局好好參考一下。日本IPA的Shigeru Ishii主講Zero-Hour-Analysis System。
IPA（Information-technology Promotion Agency）是一個日本官方的資訊安全處理單位，在投影片中，我們看到IPA很嚴謹研究了日本的Botnet問題，各種的指數與趨勢分析都做得相當的好，而我們都是作「差不多就好了」…Orz，這真得要好好學習。有了完整的資安數據分析，政府就知道該如何去投入多少的資源到防護中。
另一個是韓國KISA的Dong-Ryun Lee，她主講KrCERT Botnet Mitigation。KISA（Korea Information Security Agency）也是一個韓國官方等級的資安事件處理單位，這場主要也跟前一個日本IPA講的問題差不多，以國家層級來看日趨嚴重的Botnet作為研究目標，也提出很多的數據分析。 
這兩場給我很大的感觸。殘念的是，我們是「大陸駭客攻擊的Honey Island」，世界級的指標。
日本IPA跟韓國KISA有十分完整的資安監控系統，因為面對大陸駭客的猛烈攻擊，新型態的Botnet不再只是歐美常見的IRC Botnet，而是各式各樣不同的Protocol的Botnet，這些都是大陸駭客跟網軍擅長的攻擊型態。對台灣來說，我們也跟日本韓國一樣是十分資訊化的國家，也是駭客的重點目標。台灣經常是大陸駭客的練兵場，在我們這打過一輪，練完新的後門程式後，再去攻擊其他國家。老實說AVAR 2007所提到的攻擊趨勢，老早在台灣就發生過，我們也司空見慣了?。但這些卻是很有價值的情報，也是我們跟國際資安單位交流時很重要一點，不過台灣政府當局卻忽視這個有用的合作優勢。
我們的優勢：全世界中CERT單位最密集的一個島。
像是KISA，它是一個政府單位，有足夠的Power可以指揮全國的資源。KISA可以過濾或是攔截各ISP中的惡意連結，許多的反連式後門都會被KISA追蹤並記錄，並透過國際交流與各國的CERT合作。台灣呢？別的沒有，CERT跟青蛙下蛋一樣，多到眼花撩亂。順便考你一下，你能知道下列CERT的不同嗎？
1. TWCERT
2. TWNCERT
3. TWGCERT
不只如此，民間單位還有一大堆像是TRACERT、ISSDUCERT、RDECCERT、TPCCERT…，抱歉因為篇幅關係無法全部列出?。以密度來說我們應該是世界第一了，因為前幾年SI廠商的塞貨，突然間大家都有CERT了。在會議後，KISA朋友要跟我們交換名片，也聊到CERT，他們也搞不清楚資安事件要通報給台灣哪個單位，我真是羞愧呀，不然請他們跟大陸的CNCERT通報好了Orz。
結論
法律是有國界，但是資安無國界，世界各地都在上場黑帽與白帽的無聲戰爭！尤其是亞太地區，這幾年來資安發展迅速，越來越多國家都開始舉辦資安會議或是駭客年會，這也是很重要的成熟度指標。這次能到韓國參加AVAR 2007，看了眾多專家的研究與心得發表，真的很不錯，也鼓勵國內的資安從業人員多多參加這類務實的研討會，不要只在為了中午送便當而參加研討會了，共勉之>_<。總之，這次韓國行收穫不少（看我行李箱中的泡菜跟海苔就知道