包括電網惡意軟件Industroyer2深入分析、全新Android漏洞利用鏈披露、現代安全芯片漏洞研究、APT雇傭兵披露、近五年CI/CD違規真實案例分析……
前情回顧·聚焦Black Hat
- Black Hat 2021主要議題介紹
- 安全風向標:2020黑帽大會亮點議題&技術觀察 – 安全內參 | 決策者的網絡安全知識庫
- Black Hat 2018 | 10大網絡安全熱點趨勢 – 安全內參 | 決策者的網絡安全知識庫
一年一度的安全盛會黑帽大會(Black Hat)正在拉斯維加斯召開,本周大家都將把目光聚焦到炎熱的索諾蘭沙漠,關注會場上的技能培訓、黑客演示、學術演講及令人眼前一亮的最新安全産品。
第25屆黑帽大會正在美國時間8月6日至11日舉行,其中主峰會將在10日(今天晚上)開始。今年的大會將組織超過80場演講,主題涉及硬件/固件黑客攻擊、零日惡意軟件發現,以及重量級APT前沿研究等廣泛領域。
本文爲大家篩選出本屆黑帽美國大會上最值得關注的10場演講。下面,就讓我們一窺這些即將登上新聞頭條的重要專題:
RollBack:針對汽車無鑰匙系統
與時間無關的新型重放攻擊
演講人:新加坡大學與NCS Group的研究人員
汽車遠程無鑰匙進入(RKE)系統采用的是一次性滾動代碼,意味著我們每次按下遙控鑰匙所發射出的指令都獨一無二,能夠有效防止簡單的重放攻擊。然而,事實證明RollJam可以破壞一切基于滾動代碼的系統。
通過精心設計的信號幹擾、捕捉與重放序列,攻擊者能夠預測出尚未被實際使用的後續有效解鎖信號。而RollJam唯一的缺陷就是需要始終保持“待機”,直至被實際使用。否則,只要合法車主在RollJam監視之外使用過遙控鑰匙,它之前捕捉的信號就將失效。
本次演講提到的RollBack,是一種針對當前大多數無鑰匙進入系統的新型重放與重新同步攻擊方法。研究人員發現,即使滾動代碼系統中的一次性代碼已經用完失效,也仍有辦法利用並重放之前捕捉到的信號,用以觸發無鑰匙系統中類似于回滾的機制。換句話說,滾動代碼可以被重新同步爲繼續使用先前代碼,這樣已知被使用過的後續信號也將再次正常生效。另外,受害者的正常使用感受不受任何影響,所以察覺不出攻擊前後會有任何差異。
爲何值得關注?根據之前的相關報道,這些針對現代汽車的實際攻擊已經出現,相關研究將幫助我們在受到廣泛沖擊之前,盡早發現並修複這類問題。
Industroyer2:Sandworm團夥發起
網絡戰再次針對烏克蘭電網
演講人:ESET公司,Robert Lipvsky與Anton Cherepanov
Industroyer是目前公開領域唯一真正引發電力中斷的惡意軟件。作爲它的後繼者,新版本Industroyer2在本次俄烏戰爭期間被部署使用。與2016年初的Industroyer一樣,2代版本的目標也是通過網絡攻擊引發大規模停電。這次的組件設計威脅更大、影響範圍超過200萬人,也讓恢複變得愈發困難。研究人員們認爲,該惡意軟件的作者與攻擊策劃者正是臭名昭著的Sandworm APT團夥。美國司法部將該團夥歸因爲俄羅斯情報機構GRU。
本演講涉及大量技術細節:對Industroyer2的逆向工程,以及2代與原始版本間的比較。Industroyer的獨特之處,在于它能夠使用專用工業協議和變電站工業控制系統硬件(斷路器與保護繼電器)進行通信。Industroyer中包含四種協議實現,而Industroyer2只保留一種協議:IEC-104。
期待這場演講能對攻擊方的作案過程展開更加宏觀的分析,並討論攻擊爲何大多未能成功。Industroyer最令人費解的一點,就是極高的複雜性與非常一般的攻擊實效間的倒錯:夜間連續停電一小時,絕對不是這樣一種強大惡意軟件所能達成的破壞力極限。而Industroyer2甚至還沒達到初版的攻擊效果。
爲何值得關注?演講點明了此前曾使用高破壞性惡意軟件工具的頂級惡意黑客。考慮到這些惡意攻擊引發的重大地緣政治影響,任何最新披露都應受到密切關注。
怎麽感覺有點眼熟:
揭示商業産品中的被盜算法
演講人:約翰霍普金斯大學,Patrick Wardle、Objective-See與Tom McGuire
在本次演講中,研究人員將討論影響整個網絡安全社區的一大系統性難題:由企業實體實施的算法盜竊與未授權使用行爲。而且不只是普通企業,很多網絡安全組織本身也在“知法犯法”。
首先,研究人員將介紹各種能夠自動識別出商業産品中未授權代碼的搜索技術。之後,演講還將展示如何通過逆向工程與二進制比較技術,對這些發現做出嚴格證明。
接下來,研究人員將結合實際安全討論這些方法的實際應用。作者將以來自非營利組織的一款流行工具爲例,該工具已經被多個實體進行過逆向工程,相關核心算法在未經授權的情況下被還原並應用在多種商業産品當中。
爲何值得關注?這場演講將提供可供借鑒的要點、建議和戰略方針,幫助受害者應對故意盜用算法的商業實體(及其法律團隊)。有了這些理論作爲指導,相信廠商會以更加務實誠懇的態度對待安全社區。
誰來監管間諜軟件廠商:
深挖2021年Android利用鏈漏洞
演講人:谷歌安全工程團隊
過去12個月來,谷歌威脅分析小組(TAG)及Android安全團隊已經發現並分析了來自監控提供商的多個1day/0day漏洞。
這場演講主要分享關于CVE-2021-0920漏洞的技術細節。這是一個在野0day Linux內核垃圾收集漏洞,雖然知名度不高,但也因此更顯得複雜而神秘。
演講將探討利用到CVE-2021-0920漏洞的監控服務提供商,將多個Android 0day/1day漏洞利用樣本與該提供商聯系起來。這家提供商曾嘗試向Google Play軟件商店提交惡意應用程序,並率先利用Bad Binder漏洞。
通過分析提供商的漏洞利用行爲,研究人員發現了一條針對Android設備的完整鏈條。這條漏洞利用鏈憑借CVE-2020-16040和CVE-2021-38000等1day漏洞,以及CVE-2021-0920 0day漏洞,通過浏覽器對Android設備進行遠程root。
爲何值得關注?隨著NSO Group、Candiru和Cytrox等公司先後登上全球新聞頭條,私營商業間諜軟件提供商已經卷入危險的監控渦流當中。此番谷歌研究團隊帶來的監視行業秘辛,相信能成就一場看點滿滿的火爆演講。
劍指Titan M:
現代安全芯片的漏洞研究
演講人:Quarkslab,Damiano Melotti和Maxime Rossi Bellom
Titan M芯片是由谷歌在自家Pixel 3智能手機上發布的處理器。在之前的研究中,技術人員已經分析了這款芯片,並展示了其內部結構與保護措施。以此爲背景,本次新演講將主要關注如何在信息有限的情況下,立足特定目標開展軟件漏洞研究。
演講將深入研究黑盒模糊器的工作原理及相關限制,並展示基于仿真的解決方案如何超越純硬件方案的限制。通過將覆蓋引導的模糊器(AFL++)、仿真器(Unicorn)和針對目標的特定優化結合起來,研究人員成功發現了一個有趣的漏洞。該漏洞只允許將單個字節設置爲1,在偏移量方面也有著諸多限制。盡管看似難以利用,但研究人員還是設法借此實現了代碼執行,並暴露出芯片安全模塊中隱藏的秘密。
爲何值得關注?Quarkslab移動安全研究團隊堪稱全球最強團隊之一,他們在演講中展示的Pixel RCE相信會引爆全場。
美國網絡安全審查委員會:
研究事件,推動系統性變革
演講人:美國國土安全部副部長、網絡安全審查委員會主席,Rob Silvers
有史以來第一個網絡安全審查委員會(CSRB)項目,關注的是影響範圍極廣的Log4j漏洞危機。他們將確定哪些差距會持續存在,並爲組織提供可操作建議,盡量避免今後出現類似的0day爆雷。
本次來自審查委員會的演講將由Rob Silvers(國土安全部負責政策的副部長,兼網絡安全審查委員會主席)和Heather Adkins(谷歌安全工程副總裁,兼委員會副主席)帶來,著重討論Log4j漏洞審查、委員會的主要調查結果,以及行業和政府應如何實施這些建議。
爲何值得關注?網絡安全審查委員會是個相當獨特的項目,也很高興能看到網絡安全界的領導者們分享如何通過委員會推動網絡安全的轉型變革。委員會的首批建議已經在業內公布,後續還有更多爭議事務有待解決。
“天降橫禍”:
APT可能捏造證據將你投入監獄
演講人:SentinelLabs,Juan Andres Guerrero-Saade與Tom Hegel
國家支持的網絡威脅指向的可不只是物,也有可能是人。雖然我們已經習慣將這類攻擊行爲跟間諜活動、知識産權盜竊或者經濟利益聯系起來,但其中還有另一類更加隱蔽的動機——由APT組織捏造證據,通過陷害將目標投入監獄。
本次演講的案例來自ModeifiedElephant。ModifiedElephant惡意團夥與商業監控行業間已經至少勾連了十年。演講將通過取證報告討論該團夥如何植入證據,導致衆多社會活動家被定罪並關押至今。除此之外,演講還將展示各地區的惡意黑客如何在受害者入獄之後,繼續對他們開展追蹤。這一系列行爲,讓我們意識到政府有可能濫用技術以壓制持政治異見者們的聲音。這是個向來被嚴重低估的問題,希望本次演講能促使威脅研究人員盡快行動起來。
爲何值得關注?黑客“傭兵”行業跟國家支持威脅團夥的融合,正在惡意軟件領域掀起新的浪潮,而且已經開始對公民社會産生現實影響。
谷歌重新構想了一部手機
作爲紅隊,我們將全力護它安全
演講人:谷歌紅隊研究人員
盡管市面上的手機廠商著實不少,但大多數Android設備能夠選擇的SoC提供商就只有那麽幾家。谷歌決定用Pixel 6打破這種模式。從安全角度來看,這意味著多年的測試與代碼使用的保障已成爲過去式,而是從源頭建立一個新的高價值設備固件堆棧,將隱患消滅在搖籃當中。
本次演講將討論谷歌如何在重新構想的Pixel 6發布前,對這款手機産品加以保護,而且重點關注Android紅隊的觀點。該團隊將演示如何使用模糊測試、黑盒仿真器、靜態分析和手動代碼審查等方法,發現關鍵組件中的高權限代碼執行隱患。例如,該團隊將公布Titan M2芯片上的首個端到端概念證明,並介紹能夠繞過硬件密鑰證明的完全持久Android啓動加載器(ABL)。
爲何值得關注:像谷歌這樣的科技巨頭其實很少派出紅隊親自下場,向大家介紹漏洞與安全缺陷。在本場演講中,Android紅隊將帶來多個安全關鍵演示,講解紅隊在産品發布周期中的重要價值。
由浏覽器驅動的Desync攻擊:
HTTP請求走私攻擊的新前沿
演講人:PortSwigger公司,James Kettle
近來,HTTP請求走私攻擊快速興起並引發一系列嚴重後果,導致許多主要網站幾乎被徹底攻陷。但之前,威脅範圍還僅限于攻擊者通過反向代理前端所能訪問到的系統……而現在,情況已經進一步惡化。
本場演講將向大家展示如何將受害者的網絡浏覽器變成desync交付平台,以暴露單服務器網站和內部網絡的方式轉移請求走私的邊界。觀衆將學會如何將跨域請求與服務器缺陷結合起來,借此汙染浏覽器連接池、安裝後門並釋放desync蠕蟲。利用這些技術,即可破壞包括Apache、Akamai、Varnish、Amazon及多種Web VPN等目標。
爲何值得關注?HTTP請求走私攻擊是一種常見的黑客技術,已經導致Web App的安全風險顯著提升。James Kettle和PortSwigger的同事們一直走在相關研究領域的前沿,通過各類課程和演示向大家普及HTTP請求走私的危害。
RCE即服務:從過去五年的
真實CI/CD管道違規中吸取教訓
演講人:NCC Group,Iain Smart與Viktor Gazdag
過去五年來,兩位研究人員在測試過的幾乎每家企業的生産CI/CD管道中,都見證過無數次供應鏈攻擊。無論是小型公司,還是不同細分市場及垂直行業的財富五百強企業,都曾先後幾十次淪爲攻擊活動的受害者。
本場演講將向大家解釋,爲什麽說CI/CD管道已經成爲軟件供應鏈中最危險的潛在攻擊面。爲此,研究人員將討論目前最常用的技術類型、相關使用方式,以及它們爲什麽會成爲企業整體基礎設施中權限最高、價值最大的目標。之後,演講將分享在自動化管道中濫用預期功能的特定示例(附帶演示),介紹如何將構建管道從簡單的開發者實用程序轉化成遠程代碼執行(RCE)即服務。
爲何值得關注?軟件供應鏈安全已經成爲當下的熱門議題。對CI/CD管道攻擊面的研究,也無疑值得大家給予最高級別的關注。
參考資料:securityweek.com