2014年3月19日 星期三

2013 美國黑帽大會之鳥人不正經遊記


Yes~ We are alive!

這陣子好多朋友遇到我都在問說:你們公司是放長假去還倒店了?怎麼好久沒更新Blog了?的確,我欠大家很多文章,但我們還活著.自從我們去年20137月參加了Blackhat USA就一直想把一些所見所聞還有心得跟台灣資安圈的朋友們分享,因此我打算趁這陣子的空閒,以我的個人觀點寫一些Blog跟大家分享。


美國黑帽大會之鳥人不正經遊記


好啦,我知道現在已經是2014年了,但是這是半年多前去Blackhat 2013的一些心得,各位看官就當做是我補交作業好了 >_<

首先有幸投稿上了Blackhat,感謝大會 J

這次團隊除了我跟Benson之外,還跟中研院的兩位好朋友PKFyodor,一起做了一個APT相當深入的研究,這也是台灣第一次在國際資安圈展示APT駭客集團的研究,目前線上也可以觀看錄影

一下飛機最緊張時刻來臨,因為我們發現Fyodor的美國簽證居然只剩10天!
天呀,這樣他都敢來美國,實在太有種了~不是我在說,因為再加上他長相

(照片來源:鋼鐵人三劇照)

抱歉我找不到他的大頭照,所以用滿大人照片,基本上他樣子應該就是年輕時期的滿大人,這樣情況下,觀眾到這邊應該猜到他會很難過海關,海關基本上都是以貌取人(其實Fyodor是一個很好的人,目前正要歸化中華民國國籍,不過政府一直刁難他)。但是我們這場talk原本預計就是由Fyodor主講,我們也很擔心計劃會生變.於是過海關前,我跟PK, Benson都跟Fyodor一一擁抱告別希望他好好待在拘留所,保護自己,不要隨便跟室友聊天或是撿地上的肥皂,我們會另外想辦法救他的。


結果不知道他使用什麼了妖術,居然一下就過了海關,反而是PK被帶去旁邊搜包包… XD
因此遠征軍隊伍又恢復成4
看到了機場的吃角子老虎機就知道到了 Las Vegas


Las Vegas 我們也不陌生,之前也投稿過Defcon,也來玩過幾次,都很熟悉的街道跟賭場.但這次有來參加Blackhat/Defcon的台灣人應該是最多的一次,其他台灣的資安圈朋友加上我們一整群也快20人,除了我們四個之外,還有我們好朋友 TT與他Team T5的成員,TT他們也上過Blackhat USA 20112012,在台灣上過Blackhat/Defcon的人基本這次都到齊了,也互相分享了一下自己的投稿演講的經驗。另外也有遇到威播的榮太、國高的一郎哥,技服中心朋友與資安辦長官,還有幾位在美國發展的YM長輩跟好朋友。於是大家約一約,在異鄉與好朋友們聚餐感覺真是不錯 J

很明顯,站起來的這位人兄,對於美國的食物有一種執著

我們提早約3天到美國,這次住的飯店因為有投稿上BH,所以大會安排了不錯的飯店,只不過我們大都在房間趕製投影片


遠遠還看到游泳池辣妹

但是我得抱怨一下,Fyodor每天晚上都去Party喝酒,喝到半夜3,4點,回到飯店都是Disabled狀態,而Benson 則不知是水土不服還是吃壞東西,前幾天都是瀕死的狀態,只剩我跟PK繼續趕製投影片哭哭

我們的研究前半部在2013 HITcon已經做過也報告過,後半部準備在Blackhat講,大都是跟展示有關的。先前我們研究了一個APT駭客集團,他們是在台灣活動的APT駭客集團的其中一團,因為我們對這群有比較完整的資料,所以選擇它做為研究材料。
到了Blackhat 實在有被嚇到,門票一張約2300美金,本來以為只有2千人,現場據說有7000人參加,11tracks.贊助商部分更是全部的資安公司都到了,非常壯觀,來朝聖果然是對的。
Blackhat開場的Keynote 是美國網路作戰指揮官Alexander 將軍

我們在Blackhat的講題是
Hunting the Shadows: In Depth Analysis of Escalated APT Attacks



大會在 Youtube上也有放出議程影片:https://www.youtube.com/watch?v=8cTCbihPfDo 

他們的場次有三種大小的Meeting Room我們這間算是中型的,來聽我們這場的觀眾整個滿出來,後面空間都站滿滿的,原來外國(尤其是美國這邊)對於亞太地區資安與大陸的駭客活動一直都很有興趣,畢竟這是大市場,但是他們對於我們這地區的駭客活動卻理解有限,透過這場我們也做了很好的資安交流,讓國外看到台灣資安研究的實力,這才是台灣之光,顆顆


宿醉的Fyodor 還是講得眉飛色舞 J

我們台灣這場大爆滿~

這張圖純粹是證明我有在台上 XD

一開頭,就提到我們來自台灣,也都是Chroot/HITcon成員,我說台灣並不是鬼島,Taiwan is the island of APT ! 台灣很小而且只有2300萬人,但是不管是跳板數量,後門程式數量,以及在許多國際資安文獻上,我們總能站上前4強,別忘了VirusTotal 上的病毒上傳統計,我們排第二名,全世界上傳VirusTotal的病毒接近 ¼的量居然來自台灣

台灣可以說是Malware輸出大國,這是除了Notebook與腳踏車之外另外一個重要出口產業.所以本草綱目有記載:「台灣病毒淹腳目」。感謝各位在台灣的耕耘 >_<

針對我們研究內容我就不多說了,反正在Youtube上都有實況錄影。我們主要研究了一群APT駭客,而跟以前所有的APT活動不同的地方是:以往的研究都在受害端或是中繼站上的流量分析,或是惡意程式後門族群分析,很少有人可以看到駭客的完整大後台運作方式。我們研究了一群駭客的後台,我稱它為LStudio,因為程式裡面有一些有趣的字串,這個族群操控過約超過5000台電腦,這龐大的養雞場是以台灣與美國的受害電腦為主。駭客的營運方式非常有趣,使用了4種不同的後門系統。這個研究在目前公開的APT文獻來說都是空前的,會後也有很多美國的資安專家留下來問了很多問題,果然APT還是業界的一個很重要的題目。

這遊記很不正經,主要原因是我們其實沒去聽幾場別的,大部份都在跟美國廠商或是朋友聊天,基本上都一直在喝酒,所以照片也不多 XD
每天晚上都有各式各樣的Party可以玩跟喝酒,最開心的人應該是Fyodor了,完全變成酒鬼,所以我們也沒認真去聽其他場次,只好回到台灣後聽聽別場的Youtube議程影片。

其實我們也有投稿Defcon,但是審稿的委員說我們已經上了Blackhat,居然因此不給我們上Defcon。據說這幾年來Defcon一直想要跟Blackhat切割,也許是這個緣故.不過我們一行人也去參加了Defcon,這是非常好玩的駭客聚會,很多資安相關社團有在裡面辦活動。下次如果有機會再專門寫一篇Defcon遊記給各位。整體來說,在Blackhat這場盛會中,整個業界、技術研究專家與美國政府相關的單位都到了,看得出來業界跟官方支持駭客大會的力道。這對於資安技術發展與人才培育都是很好的平台,大家加油吧~

聽說HITcon 今年會舉辦 10 週年大會
拭目以待 !


Birdman/Xecure Lab 2014


沒有留言:

張貼留言