FunnyPot ‐ 改造 Windows 核心，強固化、蜜罐化

Transcript

1. F u n n y P o t 改 造

   W I N D O W S 強 固 化 、 蜜 罐 化
2. None

3. Kuon 喜歡學習，特別是「安全技術」。

4. 打擊面

5. Chrome 瀏覽器 Kernel User 安全沙盒 (Multi-process) 權限弱化 (Privilege) 功能限制 (Police

   Enforce)

6. Chrome 瀏覽器 * 攻擊路徑 (一) 沙箱逃逸 Kernel User

7. Chrome 瀏覽器 * 攻擊路徑 (二) 正常繪圖函數 Kernel User GDI win32k

   核心漏洞

8. 威脅情報

9. 360/K33n

10. APT 就是寄寄 Mail?

11. APT 就是打打 Web?

12. None
13. None
14. None

15. 還有多少 RCE ?

16. 永恆之藍

17. 升級到 Windows 10?

18. 老百姓看的是弱點 駭客看的是利用方法

19. 攻擊的根本問題 Eternal Family

20. 老協定 SMBv1

21. 老軟體 1. SMBv1 2. WINS 3. NetBIOS 4. win32k 5.

    … Kernel win32k

22. 端點安全軟體 vs. WannaCry ?

23. 系統核心 安全進化 時間差

24. 技術情報 (Kernel ASLR)

25. 用備戰思維防守

26. 動態目標防禦 Moving Target Defense

27. 防禦策略多樣性 記憶體*陷阱* • 強化記憶體屬性，核心入侵感測 記憶體*毒餌* • 記憶體配置邊界隨機化，利用攻擊手法對齊敏感 性 核心入侵*捕捉* •

    從預警到捕捉樣本，沒有樣本如何應變？
28. None

29. 以 EternalBlue 為例 * 防禦策略 • 系統核心邊界細緻化 • 控制流控管 (Control-Flow

    Enforcement) Kernel KeInitializeApc HAL Heap

30. Kernel ROP Gadget * 防禦策略 • 等價指令替換 攻擊利用 Gadget

31. 蜜罐沙盒

32. 系統架構 QEMU 系統 虛擬 模擬 協定 FunnyPot 工具 屬性 沙盒

    蜜罐 沙盒 蜜罐 強固 蜜罐 通用 程度 實作粒度 硬體功能 弱點特定 系統核心 運作 環境 Lab Production Lab Lab Production Lab

33. 建立好的防守 比攻擊更困難

34. 法泥系統 » Funny Systems 1. 安全編譯器，自動抑制攻擊 • • • 2.

    協定滲透、弱點研究 • 大規模影響 • 自動化攻擊 • 至少覆蓋全球 10 % [email protected] 記憶體漏洞 密碼側通道 嵌入式故障

35. QQQ 謝謝