使用chatgpt对blackhat asia 2023 https://www.blackhat.com/asia-23/briefings/schedule/ 议题做了一下概述,可以方便找到自己感兴趣的议题。
黑帽大会议题内容总结:隐蔽地从安卓应用程序收集敏感信息。该议题由来自UQ的白光东,以及来自字节跳动的张清和夏广帅进行演讲。主要内容包括:介绍演讲人员背景;数据监管越来越重要;安卓隐私数据保护的演化历程;研究问题;我们的工作;绕过系统和应用层的保护机制。具体细节如下:
About us
介绍演讲人员背景
Background
数据监管越来越重要,介绍安卓隐私数据保护的演化历程。
Our work
介绍研究问题以及我们的工作
2.通过GitHub限制只搜索.java或.kt文件,并搜索onGeolocationPermissionsShowPrompt和onPermissionRequest函数,发现639个正例。
3.对广告ID(GAID)和OAID的研究表明,广告ID实际上已经成为永久或长期的存在,OAID更容易在许多Android手机上绕过审计。
4.介绍通过官方AOSP提供的通道,Java反射,本地代码调用,Binder间接调用和OEM提供的隐蔽通道来获取敏感数据的方法。
5.演示了通过hook String构造函数来检测敏感数据的方法。
通过Webview无限制访问隐私信息的危险性。演示了Webview能够访问敏感信息的代码。
Summary
总结我们的发现和关键思路。
1.系统级保护: 从安卓10开始,第三方应用程序无法获取设备的唯一标识符。如果一个应用程序这样做了,那就意味着这个应用程序已经利用了某些漏洞(0-day 或 n-day)。
2.应用级保护: 如果应用程序的Webview没有正确处理权限,任何URL都可以使用它来获取用户数据。
3.碎片化灾难: 一些OEM没有严格遵循AOSP的权限策略,许多自定义的API可以用来获取设备的唯一标识符。
4.新的挑战: 广告ID在某种程度上成为了一种持久标识符。用户可以从第一次开机开始连续跟踪,直到手机恢复到出厂设置。
Q&A
回答听众的问题。
议题内容:
本次BlackHat议题内容主要涉及到固件攻击这一领域,包括固件及硬件的供应链问题、固件攻击的时间轴、BMC&C攻击的具体情况、固件漏洞及可能的影响、存在类似漏洞的系统类型、供应链攻击可能影响到的所有人、以及我们需要采取的措施。
具体小标题及分点如下:
固件是什么(What is firmware?)
固件及硬件的供应链问题(Firmware (& Hardware) Supply Chain)
客户无法看到底层组件
这些组件天生具有高权限
对于这些组件的安全性和更新管理缺乏标准化
漏洞传递效应可以被放大多倍
固件攻击的时间轴(Firmware attacks timeline)
固件攻击变得越来越容易(What’s new here? These attacks are becoming easy)
BMC&C攻击的具体情况(BMC&C)
勒索 EXX IP 泄漏
以芯片为供应链开端
具有远程可访问的 API 的芯片
具有非常高的特权。是一个完美的目标!
可以公开几个服务
Redfish,在 443/tcp 端口上公开
Web UI 服务,在 443/tcp 端口上也公开
IPMI 服务,623/udp 端口
SSH 服务,22/tcp 端口(但不是完整的 bash shell)
UPnP 及其他发现服务
一些其他服务,用于不同的功能(kvm、snmp 等)
存在于 Redfish 服务中,面向 443 端口。
要求使用最低级别访问权限的用户进行身份验证(post-authentication)。
漏洞代码:
在 URL 路径中存在命令注入
关键点:没有url解码
${IFS},选择你
开启和关闭服务器电源
更新 BIOS
监视系统硬件
记录日志,发送警报。
KVM 控制台
挂载远程媒体
帮助安装操作系统
恢复系统的最后一道防线
等等
植入 BIOS
走私 KVM 镜像
在管理网络中移动,并攻击其他 BMC
攻击 Active Directory
在 OS 上部署恶意软件(可能以多种方式),回避 AV/EDR
扰乱运营(我们的演示 :) )
…(想象一下)
UID = 0 用户的默认凭证(CVE-2022-40242) - 具有与上述相同的后果,但是需要预验证。
通过 API 进行用户枚举(CVE-2022-2827)
密码重置拦截(CVE-2022-26872)
Redfish 和 API 的弱密码哈希(CVE-2022-40258)
大规模披露过程
很多受影响的供应商
很难检测到防御者的漏洞设备
实际上存在很多易受攻击的设备(全球数百万?)
外部暴露的表面位于成千上万的设备中
所有被利用的问题都是经典的 Web 应用程序问题和系统配置错误。
企业系统(IP KVM)
串口转以太网
密码在横幅中显示
无密码帐户
Shell 脚本作为 shell
Shellshock(严重)
Heartbleed
默认凭证
SMB 漏洞
供应链攻击对每个人都有影响(Supply Chain Attacks Affect Everyone)
阐述(Takeaways)
固件只是一种软件,和 90 年代的软件一样复杂且不安全。
攻击者正在向下移动计算堆栈。
要从固件攻击中获得的权限等级不容低估,可能会带来长期的灾难性影响。
“安装补丁”想法正在变得过时
我们需要供应链问责制和标准
我们还需要一种方式来跟踪供应链中使用的组件(“SBOM”?)
议题内容:黑帽大会的议题内容主要围绕供应链安全漏洞展开,其中包括VSCode插件、Repojacking、Package Planting、公开CI/CD日志和时间攻击等方面。参与议题研究的分别是来自Aqua Security安全研究员的Yakir Kadkoda和Ilay Goldman。
小标题及分点阐述:
1.我们的研究思路
通过研究供应链漏洞,提高安全研究意识
2.开发流程
讲解了从IDE到Runtime的五个开发阶段
3.IDE阶段
介绍了Visual Studio Code Extensions插件和npm包
提出了恶意款VSCode插件和npm包的存在问题
4.Repojacking
介绍仓库劫持的概念并演示了如何实现
给出了缓解和处理建议
5.Package Planting
介绍包植入的概念和现象
介绍npm验证机制的漏洞
给出了缓解和处理建议
6.公开CI/CD日志
介绍公开CI/CD日志的风险和安全问题
演示了如何获取敏感信息
给出了缓解和处理建议
7.时间攻击
介绍时间攻击的概念和操作
演示如何进行时间攻击
提出了缓解和处理建议
8.总结
强调加强安全意识和保护工作,并提出未来研究的方向。
Blackhat议题内容总结:
背景:智能锁的使用越来越普遍,但安全性存疑
问题:智能锁易受物理攻击和远程攻击
技术要点:通过破解硬件和软件获得对智能锁的控制
解决方案:完善智能锁固件和物理结构,提高安全性
结论:智能锁需要更加可靠的安全机制
背景:现代家庭和工业网络中涉及大量嵌入式设备
问题:嵌入式设备存在漏洞,可能被攻击者利用
技术要点:分析嵌入式设备的硬件、固件和通讯协议
解决方案:加强嵌入式设备的安全设计,包括固件更新、身份认证等
结论:提升嵌入式设备的安全性,可以保护设备所在的网络
背景:越来越多的工业设备通过物联网连接到互联网
问题:工业物联网面临的安全威胁日益增加
技术要点:探究工业物联网通讯、协议和硬件结构等方面
解决方案:加强物联网设备的安全设计、网络隔离和入侵检测等
结论:工业物联网安全是保障生产和社会稳定的重要问题
背景:无线通讯系统越来越广泛,特别是移动通讯系统
问题:通讯系统存在信号注入攻击的风险
技术要点:分析接收机侧信号注入攻击的原理和方式
解决方案:加强无线通讯系统的安全设计,采用身份认证等安全机制
结论:信号注入攻击需要更好的防护手段
背景:智能汽车技术正在发展,需要考虑安全性
问题:智能汽车面临的攻击威胁需要解决
技术要点:研发安全智能车辆的硬件和软件
解决方案:完善车辆安全设计,加强信号加密、身份认证等
结论:智能汽车可以为人们带来便利,但安全是首要问题
背景:工控系统是保障能源、交通、通信等行业正常运转的关键
问题:工控系统严重受到攻击威胁
技术要点:探究工控系统的硬件、软件和通讯结构
解决方案:加强工控系统的安全设计和入侵检测
结论:工控系统的安全漏洞需要得到及时识别和治理
黑帽会议议题内容总结:
背景介绍:域名系统(DNS)是许多互联网活动的入口和多个应用服务的安全保障,但域名也被用于犯罪活动,如僵尸网络、网络钓鱼、恶意软件分发等。
域名吊销机制:通过域名吊销删除或更改域名注册以防止域名被控制。
Ghost Domain攻击:即使域名已被吊销,攻击者仍能在解析器上解析域名,从而逃避域名下架或过期。
Phoenix Domain攻击:即使实施了Ghost Domain攻击的修复,攻击者仍能够发起Phoenix Domain攻击,插入新的NS记录或子域名的NS记录,从而使吊销的域名仍可在解析器上解析。
受影响的软件:Phoenix Domain攻击影响所有DNS实现,其中包括许多公共解析器和开放解析器。
解决方案:包括RFC编辑沟通和提出新的补丁或重新设计某些结构等方法。
声音描述:DNS RFC和规范无法提供对每个操作的明确定义,不同软件实现方案不一致,需要对潜在风险进行详尽的研究和评估,DNS机制需要进一步改进。
工具和论文:议题演讲者是来自清华大学的Xiang Li,TA提出的Phoenix Domain攻击涉及的工具和研究论文可供参考。
绕过健身社交网络隐私保护:以健身追踪社交网络中的端点隐私区域为例
背景
• 健身追踪社交网络允许用户共享健身活动、位置、运动路线等信息,但这些信息可能会泄露用户的隐私。
• 端点隐私区域(Endpoint Privacy Zones,EPZs)是健身追踪社交网络中引入的一种隐私保护措施,它允许用户将他们的活动隐私保护,但是这种保护并不完善。
问题与威胁模型
• 利用公开的元数据,攻击者可以利用推理攻击技术发现并跟踪用户的活动区域。
• 攻击具有以下威胁模型:
只基于普通用户的能力。
只基于公开元数据。
攻击技术要点
• 发现EPZ:利用适应的K-Means算法,将端点划分到最适合的相应簇的圆圈中。
• 找到EPZ内的受保护位置:使用两种方案:内部距离和总距离。
内部距离方案:泄露在EPZ内覆盖的距离。
总距离方案:由EPZ覆盖的距离等于总距离减去轨迹距离。
• 预测位置:对于每个中间点的插入路线图节点,使用l-最小角回归拟合这些观察距离,以预测隐私区域的受保护位置。
• 隐私度量:攻击的成功率、准确率、缩减度和正确性等。
结论与建议
• 数据最小化:设计时扫描数据最小化方法,例如轮廓法、剪切和平均噪声等。
• 避免内部距离方案:调整API泄漏、匹配数据精度等。
• 减少推理的可能性:考虑在设计时考虑到推理,例如“平滑轨迹”或“随机矢量”等。
• 满足用户的隐私保护需求:提供针对用户的隐私保护选项,例如在默认情况下启用隐私区域和密度提示等。
• 证明概念服务:提供服务进行隐私保护与运动活动的无害化处理。
黑帽技术要点
1.彻底测试API实现以防止泄漏。
2.在算法设计中考虑到推理。
3.提供用户明确的隐私选项。
黑帽大会报告:IoT访问控制的困境——揭示Mobile-as-a-Gateway IoT中的新攻击和设计挑战
背景:Mobile-as-a-Gateway (MaaG) IoT设备使用手机作为“Internet网关”与IoT云/服务器通信,且缺乏持久的互联网连接。
问题:MaaG IoT明显复杂化了访问控制,将访问控制扩展到云和设备上,并涉及不同的访问控制语义/模型。
技术要点:
1.攻击和结果概述:对十种智能锁等常见的MaaG IoT设备进行了终端到终端的攻击,揭示了它们访问控制的安全关键漏洞。
MaaG访问模型翻译中的安全设计漏洞:如在MaaG访问模型翻译中丢失身份,角色权限的代理和控制,未同步的离线键盘密码等问题;导致访问控制存在问题。
MaaG策略同步中的安全设计漏洞:IOT云必须维护访问控制策略的主要副本,而IoT设备可以独立执行离线访问,产生不匹配问题;需要解决异构设备的访问模型同步问题,等待最终的一致性。
解决方案:已向10家IoT供应商报告了所有产品漏洞,其中8家供应商承认了漏洞,至少有4家供应商修补了其产品。
结论:MaaG IoT的访问控制模型翻译和同步是必须考虑的关键问题,对MaaG IoT产生的访问控制数据一致性问题进行适当的建模,以便能够识别任何错误或歧义。
议题:内部人员窃取公司数据
背景:
公司中有一些具备窃取公司敏感数据可能性的内部人员,这些敏感数据被窃取后对企业的损害非常大,因此需要一种方案来预测、检测和防止这种内部人员行为。
问题:
如何建立有效策略,预防内部人员向个人云存储上传敏感信息?如何监测内部人员对公司数据的活动,以及如何检测他们的行为是否为异常?
技术要点:
定义和提取信号;
建立云流量监测架构;
应用标签到云流量;
数据流量分析和识别异常行为;
构建数据丢失防护策略并设置DLP(数据丢失预防);
监测敏感数据的运动轨迹,分析出不同的数据和行为模式;
开发飞行风险信<号/strong>号的其他信号;
降低总体商业活动量;
展望未来,扩大分析的应用范围。
解决方案:
建立完整的监测机制,细分内部人员,不止依赖单一特殊行为的发现;
多方位地考虑敏感数据泄漏的发生场景;
降低商业活动的激烈程度,减少数据出口的一切威胁。
黑帽大会议题内容总结:利用基于流媒体的异常检测和Sliceline阻止分布式机器人攻击
背景:
随着机器人攻击越来越普遍和危害的程度不断加深,网站和应用程序需要找到新的方法来检测和预防这种攻击。因此,黑帽大会提出了利用流媒体的异常检测和Sliceline来阻止分布式机器人攻击的议题。
小标题及分点阐述:
1.介绍(坏)机器人
什么是机器人
机器人攻击的类型
2.机器人技术:HTTP客户端和自动化浏览器
HTTP客户端概述
自动化浏览器概述
3.如何检测机器人
签名/(浏览器/TLS/ HTTP)指纹
行为分析
威望
上下文
4.使用Selenium检测机器人
5.机器人使用的绕过技术
伪造TLS指纹
伪造浏览器指纹和HTTP头部
分布式攻击使用代理服务器
6.社区驱动的反检测框架
通用框架,适用于自动化浏览器
用于进行凭据填充攻击
7.未来的坏机器人:总结
8.检测和阻止分布式攻击
手动检测
检测流量峰值
洞察不同特征
导出规则
定义非常规行为规则
9.利用Sliceline自动生成规则
Sliceline介绍
指定规则
用Sliceline生成规则
10.Sliceline内部:匹配规则与矩阵乘法
11.Sliceline内部:切片错误
12.开源软件包
Python实现Sliceline
兼容pandas的语法不受限制,可用于任意规则引擎
如何应用算法的代码示例
13.案例分析:封堵游戏平台的凭据填充攻击
拦截超过3百万的请求
分布式攻击包括超过187K个IP地址
结论:
利用流媒体的异常检测和Sliceline可以有效地检测和阻止分布式机器人攻击。Sliceline不仅可以应用于生成规则引擎,还可以应用于其他安全用例,从而加强网站和应用程序的安全性。
议题内容:通过 IIoT 云解决方案威胁关键基础设施的漏洞。
小标题:
工业 4.0
工业移动路由器和网关
基于云的管理平台
预测未来的云管理设备数量
单一供应商
单一供应商提供的远程管理和云平台
资产注册
安全配置
外部 API 和接口
资产注册
安全配置
外部 API 和接口
Teltonika Networks 云平台
将所有内容链接在一起的漏洞
Teltonika Networks 云平台的安全配置
用户应该关闭云功能或者在使用前进行注册
厂商应该为注册提供额外的“秘密”方式
工业 IoT 不等同于 IoT
设备的强度取决于它的最弱服务
云管理设备是巨大的供应链风险
一个供应商的妥协会影响成千上万的受害者
议题:Dirty Stream Attack - Turning Android Share Targets Into Attack Vectors
背景:Android系统有多种方式可以在不同应用程序之间共享数据和文件。其中之一是Content Provider,它提供了许多安全方式以与其他Android应用程序之间安全地共享数据。Share Targets是一种Android应用程序,可以接收其他应用程序的数据或文件。
问题:由于接收方无法完全控制发送方发送的数据,因此攻击者可以发起Dirty Stream Attack,将Android Share Targets转换为攻击向量。
技术要点:
Content Provider和Content Resolver的使用方式;
文件提供者的使用方式,包括子类和共享目录的定义;
Share Targets的使用方式和发送文件的过程;
Dirty Stream Attack的攻击模式,包括定制文件提供者和最小化用户交互;
漏洞的具体影响,例如代码执行和文件读写权限的滥用;
接收方如何确保数据类型匹配和安全处理文件名等。
解决方案:应将所有来自应用程序私有领域之外的数据视为不可信。在处理文件名时,应规范化并过滤特殊字符。避免从数据目录加载库,dex文件等,如果可以替换,请用干净的副本替换。
结论:应用可以通过采取措施,包括限制应用程序对文件和目录的读写访问权限,限制与未公开API的交互,以及遵循最佳安全实践来保护自己并降低风险。
议题:寻找隐藏Shellcode的踪迹
背景:
在Windows x64上,Microsoft已经增强了内核,声明了虚拟机监控程序,并使私有可执行内存成为内核模式安全产品无法防御的边界,因此内存扫描成为了唯一的安全防御层。
问题:
如何检测和追踪恶意代码的隐藏Shellcode行为?
技术要点:
内存扫描的概述,包括通用扫描工具(YARA, PE-sieve, Moneta)和特定的工具(Patriot, Hunt-Sleeping-Beacons, TickTock)
恶意代码逃避检测的技术手段,包括Gargoyle、FOLIAGE、Shellcode Fluctuation、DeepSleep、Ekko等方法。
Immutable code page principle的错误使用会导致可执行代码页被更改,可以利用anomalous call stack detection和Microsoft-Windows-Threat-Intelligence PROTECTVM_LOCAL ETW events来进行检测。
Control Flow Guard bitmap可以用来检测改变了内存保护的Shellcode,这一点可以用于探测恶意代码。
通过构建进程行为概要,可以识别异常行为,并对其进行更加详细的调查。
解决方案:
通过以上的技术要点,可以实现对隐藏Shellcode的检测追踪工作。同时,可以尝试采用一些逃避手段将代码隐藏在内存中以避免检测,例如对代码进行混淆、对数据页进行加密和在每次启动时启动一个新进程等。
结论:
在Microsoft没有介入的情况下,内核模式安全产品可能无法防御黑客入侵,因此我们需要借助现有的工具和技术来提高系统的安全性。
标题:黑帽大会:数据安全之旅
背景:随着数字经济的发展,数据被视为一种关键的生产要素,如何在保障数据安全的同时,实现数据的有效利用成为亟待解决的问题。
问题:
目前数据安全领域面临的挑战有哪些?
如何在保障数据安全的同时实现数据的有效利用?
数据安全建设在不同行业的进展如何?
技术要点:
数据分类和分级:对公共数据、个人数据和企业数据进行分类和分级。
访问控制:采用零信任架构,从基于角色的访问控制(RBAC)发展到基于属性的访问控制(ABAC)等。
数据传输:采用数据丢失防护(DLP)和虚拟专用网络(VPN)等技术来保证数据在传输过程中的安全。
数据存储:使用数据库加密、文档加密和云访问安全代理(CASB)等技术对存储的数据进行加密保护。
数据交换:通过使用API监控、安全多方计算、同态加密和数据脱敏等技术来实现安全的数据交换。
解决方案:
制定数据安全法规,包括网络安全法、密码法、数据安全法和个人信息保护法等。
加强企业数据安全建设,推动数据安全技术在不同行业的应用,如电信、金融、医疗等。
持续创新数据安全技术,实现数据安全与业务解耦,提供更完善的数据安全防护。
结论:数据安全是一个将与网络安全相辅相成的庞大产业,未来5至10年将面临巨大挑战和机遇,人工智能等技术有可能为数据安全领域能带来重大突破。
标题:黑帽议会:APT组织如何监视媒体行业
背景:
黑帽会议(BlackHat)是一个关注全球信息安全的顶级会议。本文讨论的议题主要关于针对媒体行业的APT(高级持续性威胁)攻击,对这些攻击的现状、性质和相关技术点进行了分析。
问题:
媒体行业面临多种安全问题,如电子邮件、过时的硬件和软件、社交媒体、信息安全人员配置不足等。这些问题导致APT攻击的增加和蔓延。
技术要点:
APT攻击涉及的技术包括钓鱼、滥用云服务、利用软件漏洞等。
各种APT组织针对媒体行业进行大规模攻击,尤其在政治事件期间。
针对媒体行业的APT攻击方法独特,例如分析敌方的网络策略、制定攻击策略、设计攻击工具等。
解决方案:
加强员工网络安全教育。
实施强有力的安全控制措施。
及时更新和修补软件漏洞。
定期进行漏洞扫描和测试。
结论:
媒体行业不仅要关注自身业务发展和竞争对手,还应重视网络安全问题。通过采取一系列综合性举措,确保网络安全防护体系不断更新迭代,从而更好地应对APT攻击和其他网络安全挑战。
本次议题主要关于黑帽大会上关于针对Chrome WebSQL的攻击,内容包括:
一、引言
实现对WebSQL数据库进行攻击,容易触发且难以防御。
介绍了WebSQL的用途和结构,表述了漏洞利用的原理。
二、BNF Fuzz
使用BNF Fuzz生成与渗透具有很强关联性的SQL语句,提高渗透效果。
相关案例:演示了如何使用BNF Fuzz发现漏洞CVE-2022-3039。
三、AST(抽象语法树) Fuzz
AST Fuzz优化了攻击策略,增强了攻击语句的质量及场景还原。
相关案例:展示了使用改进后的Fuzz发现漏洞CVE-2022-3195。
四、结论
SQLite作为Chrome的薄弱环节,难以防御这类外部库带来的安全风险。
通过构建不同目标所需的上下文分析,提高了攻击效果。
提出SQL Fuzzer增加语法与语义有效性,扩大到更多平台或目标。
通过本次议题报告,参与者能够更好地理解在Chrome WebSQL环境中如何进行SQL漏洞利用,以及如何提高漏洞利用效果。
黑帽大会议题分析:Sweet Dreams: Abusing Sleep Mode to Break Wi-Fi Encryption & Disrupt WPA2/3 Networks
概述:该议题介绍了一些新的攻击方法,能够突破Wi-Fi加密和破坏WPA2/3网络。主要议题包括:
WEP,WPA1/2和WPA3的概述,以及针对WPA1/2的两种已知攻击(KRACK和Kraken)和针对WPA3的一种新的Dragonblood侧信道攻击。
Kr00k漏洞的实现缺陷和如何管理“安全上下文”的问题。介绍一种新的攻击方法,通过泄漏帧来窃取缓冲区中的数据。
介绍如何通过控制缓存来泄漏Wi-Fi帧,如何连接到远程客户端的密钥。
介绍两种熟悉的DoS攻击:去认证和去关联,并探讨如何绕过网络管理框架保护(802.11w)的防御方法。
介绍Wi-Fi客户端隔离的工作原理,并介绍一种攻击方法,可以在不影响其他客户端的情况下连接到网络并窃取数据。
通过这些方法可以对Wi-Fi网络进行攻击,这些攻击方法需要客户端和AP供应商的更新来解决。
标题:基于Linux内核的黑帽漏洞找寻
背景:黑帽议题内容旨在分享使用模糊测试技术找寻Linux内核NTFS文件系统驱动程序中的漏洞。
问题:传统模糊测试方法在处理复杂软件上受限,对于新的文件系统效率较低,因此如何找到更有效的方法进行漏洞测试?
技术要点:
挑战:文件系统模糊测试有诸多弊端,包括影象文件大,需要针对不同文件格式设置解析器以提取元数据,需要适应不断更新的新内核等。
解决方案:设计了称为Papora的高效NTFS文件系统模糊器,通过影象解析器与系统调用模糊器相结合进行漏洞测试。
评估:针对Linux NTFS驱动程序,将Papora与传统模糊器Syzkaller进行对比,测试结果显示,Papora更高效地找到并修复漏洞。
解决方案:
Papora影像解析器:通过对影像解析器进行定制,可从元数据替换影像文件的元数据,以提高模糊测试效率。
Papora系统调用模糊器:根据系统调用生成策略,实现对系统调用的模糊测试与参数突变。
优化执行器:通过LibOS执行器实现快速执行、便于管理和扩展等优点。
结论:模糊测试技术在挖掘复杂数字系统中的漏洞方面具有明显的优势。Papora提供了一个针对NTFS文件系统驱动程序漏洞测试的高效解决方案,帮助文件系统维护者关注元数据完整性,提高文件系统的安全性。
黑帽大会议题内容概括
本次黑帽大会主要涉及到以下三个工具,分别为EtwTi-FluctuationMonitor、CFG-FindHiddenShellcode、Etw-SyscallMonitor,这三个工具的主要作用是监控以及检测恶意软件的行为和入侵攻击。
EtwTi-FluctuationMonitor
该工具是基于Windows事件追踪(ETW)日志技术开发的,用于监控计算机资源利用率的波动情况,以及检测CPU占用率,进而判断系统是否被异常占用,从而发现CPU密集型恶意软件。
CFG-FindHiddenShellcode
该工具主要是用于检测隐藏的Shellcode,通过对二进制文件的CFG(Control Flow Guard)结构进行分析,从而发现其中嵌入的Shellcode,依据该方法可以有效地识别和防御各类恶意程序的入侵攻击。
Etw-SyscallMonitor
该工具依托Windows事件追踪技术,用于监控检测恶意软件对系统调用的使用情况。它主要通过监控系统的ETW日志来跟踪和记录系统调用的使用情况,从而可以更好的判断系统是否遭受了攻击,并及时采取相应的防御措施。
结论
本次黑帽大会重点介绍了以上三个工具,这些工具的开发都是基于二进制分析以及系统日志监测等技术,用于发现和防御各类恶意软件的攻击和入侵。同时,这些技术和工具的研究对于网络安全领域的发展也起到了积极的推动作用。
黑帽大会议题内容总结:Alice in Kernel Land: Lessons Learned from the eBPF Rabbit Hole
背景:
本次议题探讨了eBPF技术的安全性问题。eBPF是一项技术,允许用户模式应用程序在内核中运行代码,可以用于跟踪、调试、过滤数据包等操作。然而,eBPF也存在漏洞和安全风险,比如越界访问、逻辑漏洞和提权攻击等。
技术要点:
eBPF - what is it?
介绍了eBPF技术的定义和应用。
eBPF Programs
介绍了eBPF程序的编写和运行方式。
eBPF Privileges
介绍了eBPF的权限控制。
eBPF - Applications
介绍了eBPF常见应用领域。
Vulnerabilities
介绍了eBPF存在的漏洞类型和发现方式。
Fuzzing: Input generation
介绍了eBPF程序fuzzing中的输入生成方式。
Fuzzing: Error detection
介绍了eBPF程序fuzzing中的错误检测方式。
Fuzzing - A New approach
介绍了一种新的eBPF程序fuzzing方法和可扩展架构。
Other features - coverage information and statistics
介绍了eBPF程序fuzzing的覆盖率和统计信息等特点。
Black Hat Sound Bytes
总结了在eBPF技术安全性方面需要注意的问题和经验教训。
解决方案:
议题讨论了eBPF技术存在的安全风险和漏洞类型,主要包括Verifier、JIT Compiler和eBPF Kernel Runtime等方面。通过fuzzing的方式发现了eBPF的一些漏洞,并提出建议增强eBPF程序的安全性,比如在权限控
标题:PPLdump Is Dead. Long Live PPLdump!
背景:
保护性进程 (Protected Process, PP) 是在Windows 8中引入的一种新技术,旨在防止代码注入和内存篡改。
保护性轻量进程 (Protected Process Light, PPL) 在Windows 8.1中引入,作为PP的扩展。
问题:
技术要点:
内核中的EPROCESS结构体
受保护的进程类型、受保护的签名方
代码完整性签名验证
限制不具备相应权限的操作,例如PROCESS_TERMINATE,PROCESS_VM_WRITE等
引入新的有限访问权限,如PROCESS_QUERY_LIMITED_INFORMATION等
令牌信任级别
信任标签
历史上的攻击:缓存签名级别漏洞、COM对象劫持、载入脚本引擎等
当前的攻击:利用符号链接创建伪造的\KnownDlls,利用时序攻击(TOCTOU)等
解决方案:
Windows 方面:优化代码验证和分页机制,杜绝 TOCTOU 攻击的可能;
防病毒软件厂商:在进程初始化阶段启用 NoRemoteImages 策略,阻止从网络位置加载 DLL;
用户自我保护:使用 NoFault.sys 工具阻止 PPLFault 攻击。
结论:
防御管理员级别的攻击是一项艰巨任务,需要注意攻击面的细节。
不同安全边界之间的关系可能导致连锁攻击,需要更严密的安全防护措施数字。
当 MSRC 无法解决问题时,Defender团队可能会介入。
公开的工具和报告有助于引起厂商对漏洞的关注和修复。
标题:黑帽会议议题 - 原型污染导致远程代码执行
背景:
本次议题来自KTH皇家理工学院的博士生Mikhail Shcherbakov。
他的研究兴趣包括基于语言的安全性,可扩展的静态代码分析,动态程序分析等。
报告中展示了通过原型污染漏洞实现远程代码执行的多种技术方法。
问题:
原型污染,是一种JavaScript对象原型属性被不当修改导致的漏洞问题。
通过利用原型污染漏洞,攻击者能够在Node.js应用程序中实现远程代码执行。
技术要点:
原型链继承的问题:原型链继承使得攻击者可以通过修改原型的属性,进而影响到所有继承该原型的对象实例。
触发原型污染:攻击者可以通过传入带有恶意属性的对象,将其污染并作为载体实现远程代码执行。
代码分析技巧:结合静态与动态分析,使用Grep, Semgrep或CodeQL对目标代码进行筛查。
查找RCE(远程代码执行)Gadget:识别并利用已知的原型污染漏洞和其他漏洞,实现远程代码执行。
利用原型污染实现RCE:通过利用原型污染漏洞,攻击者能够在Node.js应用程序中实现远程代码执行。
Node.js团队提出的缓解措施:限制原型链污染的可能性,以及修复可能导致的RCE的漏洞。
开发者防范原型污染:从代码源头预防原型污染,避免将攻击者传入的恶意数据应用到原型链中。
解决方案:
使用无原型创建新对象:通过Object.create(null)
或设置__proto__
属性为null创建无原型对象。
使用Map和Set:以替代对象来存储键值对和唯一值。
检查来源未知的对象:验证JSON数据的结构是否满足要求,只保留对象的自有属性。
缓解Node.js中的原型污染漏洞,降低RCE风险。
结论:
原型污染导致的远程代码执行问题不容忽视。
通过结合多种技术手段挖掘原型污染漏洞,可实现远程操控应用程序。
开发者需关注原型污染漏洞的解决方案,才能确保应用程序免受远程代码执行攻击。
标题:高度自动化和自适应的可执行TTP情报安全评估
背景:
黑客越来越需要跟上攻击者的TTP(战术、技术、程序);
根据目标组织的实际情况选择合适的TTP模拟;
使用攻击路径(顺序TTP)评估目标组织的整体纵深防御。
技术要点:
自动提取TTP
利用预训练语言模型和迁移学习提取TTP
ATT&CK语义网络构建
TTP和剧本语义网络构建
输入数据:目标组织的资产信息、网络拓扑配置、防御深度拓扑配置等
TTP推理引擎:基于MITRE ATT&CK和权限级别的推理
真实世界的攻击路径示例
解决方案:
改进TTP提取的准确性
使用预训练语言模型和迁移学习提取TTP
构建面向TTP的知识图谱
推理更自适应的攻击路径以评估目标组织的整个防御深度
结论:
解决了提高TTP提取准确性的三个关键问题,有助于防御者跟上攻击者的TTP;
构建TTP为导向的知识图谱的实用方法可以帮助BAS推理出更自适应的攻击路径,以评估目标组织的整个防御深度。
一、背景
Java应用程序中存在的诸多潜在攻击面,从JDBC(Java数据库连接)接口入手,展示了一系列技术要点和漏洞攻击方法。
二、问题
JDBC接口可被滥用以攻击Java应用程序。
不同驱动程序可能存在不同的安全隐患。
某些配置属性可能导致文件写入或网络/操作系统命令的风险。
三、技术要点
滥用连接资源:对BLOB(二进制大对象)值进行SQL注入。
任意日志文件写入:通过日志记录功能进行远程代码执行。
词法语法兼容性:绕过高版本Java反射限制。
未检查的初始化类:通过未检查的类进行远程代码执行。
不正确的响应处理:利用JDBC连接错误信息泄漏敏感信息。
四、解决方案
使用最小化的允许列表筛选JDBC属性。
使用经过审查的JDBC驱动程序,不允许用户上传。
针对可能影响文件写入和网络命令的配置属性加强保护。
对用户发起的JDBC活动进行沙盒化处理。
标题:Dirty Bin Cache:一种新的代码注入中毒手段
背景:
ARM架构笔记本越来越受欢迎
二进制翻译缓存用于减少时间消耗,如 Arm-based Windows (XTA cache) 和 macOS (Rosetta 2 缓存)
问题:
研究 Rosetta 2 是否存在类似的代码注入
分析 ARM 架构下的 macOS 和 Windows 的代码注入
技术要点:
文件注入,创建 AOT 缓存,恢复,未来重用
限制:对签名的可执行文件无效
SHA-256计算文件信息(路径,头部,时间戳,大小等)
在不更新时间戳的情况下修改文件内容,触发哈希碰撞
如何绕过 Apple 和 Microsoft 的补丁
Rosetta 2和Windows x86/x64仿真使用二进制翻译缓存文件来减少二进制翻译量。这些兼容性层使用特定的哈希来检查指定的二进制是否已被翻译。这些哈希从时间戳、目标文件的标头、文件路径等计算而来。
AOT中毒和XTA缓存中毒的新代码注入技术
引入了一种新的代码注入技术(AOT中毒和XTA缓存中毒);
研究者给出了证明概念的代码;
攻击者可以利用这些代码注入技巧。
解决方案:
代码注入到未签名的可执行文件
跨文件系统绕过 Apple 的修复
对已签名的可执行文件注入,重新签名,保留原始头部信息;获得 Trust 高权限
进行其他利用,例如 TCC 绕过
通过改变时间戳绕过路径和头部哈希检查
使用文件系统降级技巧进行攻击
结论:
通过研究 Rosetta 2 和 Windows ARM架构系统,找到不同的代码注入技术
系统修复补丁并未完全解决问题,因为它依然可以使用降级文件系统进行攻击
对于已签名的可执行文件注入代码,绕过修复,实现代码执行
针对 macOS 和 Windows 的 AOT 缓存污染和代码注入依然具有威胁性
小结
研究者对Rosetta 2、Windows x86/x64仿真和二进制翻译技术的评估进行了讨论。新的代码注入技术(AOT中毒和XTA缓存中毒)加剧了对它们安全性的关注。此外,研究者提供了实验代码供安全团队和研究人员使用。
黑帽亚洲会议议题总结:安全宣传工作不应只面向安全专业人员
背景:
安全人员开始创造内容,但只有其他安全专业人员感兴趣,导致行业的安全内容并非面向所有人。
议题内容分点如下:
安全内容的定义是什么?
谁是内容创作者?
好的内容应具备什么?
专家问题
我是如何进行研究分析的?
分析结果
给自己提问:
任何人都能消费这个内容并去做这件事吗?
谁将使用这个内容,用于什么目的?
个人需要花费大量工作时间来消费这个材料吗?
材料是否有明确的开头,中间和结尾,还是四分五裂?
使用“Too Long Didn't Read”原则
从哪里开始?
安全内容不面向大多数人
非营利组织比其他行业部门更擅长创建更“易懂”的内容。
我们必须改变我们创建安全内容的方式。
使用“Too Long Didn't Read”原则,并问“我的母亲能理解这个吗?”
不要害怕给出明确的指导
解决方案:
人们可以通过编写清晰而简洁的指南和步骤,对组织的安全内容进行检查,并与内容创作者交流,以寻求更改的可能性。使用“Too Long Didn't Read”(太长了没时间读)原则,并询问自己“我的母亲能理解这个吗?”
如果行业本身改变了内容写作方式,内容将更具普及性,且将能够让更广泛的观众受益。
背景和介绍:
讲解人为阿里巴巴安全工程师,专注于Android / Chrome漏洞。
从Android 12到Android 13,介绍两个有关漏洞及其相关的PoC。
所使用的技术包括用户空间访问覆盖、内存标记扩展、内核地址空间布局随机化等。
目标是黑客能够通过使用两个漏洞之一,或两者结合起来来获得根权限。
漏洞1:
利用KBASE_IOCTL_JOB_SUBMIT接口和GPU来实现。
利用用户空间地址覆盖,使其成为仅读内存。
失败/传播和后期检测困难。
解决方案1:
重复导入,将导致两次抓取错误,但两者的不同是可控制的。
解决了导出问题,而不是导入。
漏洞2:
利用释放前未清空的磁盘页缓存来实现。
首先释放页,然后重新绑定到线程对象上,通过读操作泄漏指针。
解决方案2:
小面积的页面难以维护或管理,导致可用性和误报率较高。
在内存中分配的服务,可以使用硬件隔离来增加隔离级别和虚拟内存指导的管理。
议题内容:本次议题主要介绍了如何利用在线视频会议中的屏幕共享功能泄露用户的打字行为。通过分析键盘敲击的时间间隔、持续时间、敲击力度等参数,可以通过屏幕共享的视频轻松地恢复用户的打字行为,进而可能窃取和模仿用户的密码等敏感信息。
小标题:
在线视频会议的屏幕共享功能越来越常见,用户打字行为被暴露的风险越来越高
键击生物识别作为一种身份验证和欺诈检测技术已经得到广泛应用
如何基于屏幕共享的视频轻松地分析和恢复用户的打字行为?
如何防范这种基于屏幕共享的视频打字行为模拟攻击?
利用 OpenCV 实现光标跟踪和文本检测算法,从视频中分离出打字行为的片段;
利用 OCR 技术抽取每个字符,并通过比较坐标求解字符之间的时间间隔;
将延迟数据组合成组并恢复打字模式;
应用 Random Forest 进行预测并仿照用户的打字行为,进而窃取和模仿用户的密码等信息;
在已有工作的基础上,实现了一种对于轻、中等移动的文本的字母和数字的鲁棒方法。
在面对屏幕共享和键击生物识别技术缺陷时,我们需要特别小心在视频会议中的屏幕共享,以及在共享屏幕期间敲击敏感信息。
同时应该采用一些防御性工具或方法,如 Kloak 和 Keystroke Dynamics Anonymization System。
借助屏幕共享的视频,黑客可以轻易地模拟和恢复用户的打字模式,这种攻击成本低、隐蔽性高、效果出色;
对于防护这种攻击,用户需要加强安全意识,同时技术研究人员也需要开发更加安全、隐私友好的联机视频会议技术。
标题:BlackHat议题 - WebAssembly编译器的攻击
背景:
本议题关注WebKit中WebAssembly编译器的安全问题。WebKit作为一款开源浏览器引擎,广泛应用在不同操作系统和应用中。WebAssembly编译器在WebKit中负责将WebAssembly字节码转换为机器码,从而提高执行效率。
问题:
本议题主要关注以下问题:
WebAssembly编译器在WebKit中的漏洞分析
如何利用这些漏洞进行攻击
技术要点:
LLInt(低级解释器)
BBQ(快速字节码生成器)
OMG(优化的机器码生成器)
Air和B3-O2(用于提高优化程度)
Fuzzing技术在WebAssembly编译器中的应用
通过AFL++ Extractor插件优化Fuzzing效果
主要的安全问题:
CVE-2022-32863
CVE-2022-32885
CVE-2022-32886
解决方案:
对于发现的安全问题,详细分析了问题产生的原因,并提出了修复方案,包括:
对源代码进行修改,以避免潜在漏洞
使用更安全的编译器技术和方法
不断优化和改进Fuzzing技术
结论:
本议题通过对WebKit中WebAssembly编译器的深入分析,成功发现并解决了多个安全问题。这对于WebAssembly技术的发展具有实际意义,也为开发者提供了指导。
议题内容:《武装移动基础设施:政治动机的网络攻击对民主构成威胁?》
小标题:
内部和国家网络
信令
数据/语音
IoT设备
移动设备
SIM盒
云
IT系统
合作伙伴系统(API,供应链等)
攻击者类比和团伙
遗漏的情报
政治转变可能推动网络攻击
财务影响
工作伦理和披露
建议
间谍活动
破坏活动
D / DoS
电力网格
宣传活动
经济混乱
政治动机的网络攻击的历史纵览
遗漏情报
向全球信令发起了多次攻击
攻击对象广泛
假冒身份
零日漏洞攻击
网络探测和地图制作
漏洞负责任披露
财务影响
共享安全研究的关键情报
共享有关零日漏洞的详细信息
目标是保障运营商提供的服务
行业应学习企业并建立专注于电信的情报
议题内容: PMFault: 通过PMBus在服务器平台上进行电压故障注入
小标题:
背景: PMBus、SVID是什么?
技术要点:如何访问PMBus、如何使用libi2c发送PMBus命令、如何通过BMC获取shell、如何使用ipmitool进行攻击
解决方案:利用PMFault实现电压故障注入
结论:技术可以在服务器平台上实现电压故障注入,存在安全隐患
详细描述:
PMBus是一种半标准化协议,基于I2C,具有标准命令和自定义命令,每个设备都有一个7位地址
SVID是一种电压调节器协议,通过该协议可以读取和修改VRM的输出电压
如何访问PMBus:使用i2c_i801内核模块和i2cdetect工具
如何使用libi2c发送PMBus命令:通过libi2c库实现对PMBus的访问和控制
如何通过BMC获取shell:使用ATEN SMASH-CLP System Management Shell、SMASH/msh提供的shell、AlUpdate,ipmi_firmware_tools等工具获取shell
如何使用ipmitool进行攻击:通过ipmitool i2c发送PMBus命令