Black Hat 2017 安全大會上有哪些值得關注的攻防趨勢?
Black Hat USA 2017
DEFCON CTF 剛結束,9bit middle endian的架構只能說666. AOE戰隊第一次出征就拿下第三,一幫人都累癱了,也總算有時間回顧下這次blackhat的議題。
今年的議題整體來講還是比較全面的,不過仔細觀察今年的中稿情況,可以看出review board在今年的議題選拔中更為關注 虛擬化安全、hypervisor安全、硬體安全得到了進一步的重視。研究者的目光重新審視了平常司空見慣的各種中間層(https協議問題研究 https://www.blackhat.com/docs/us-17/wednesday/us-17-Kettle-Cracking-The-Lens-Exploiting-HTTPs-Hidden-Attack-Surface.pdf 、JSON反序列化問題研究 https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf SQLite還可以用來代碼執行? https://www.blackhat.com/docs/us-17/wednesday/us-17-Feng-Many-Birds-One-Stone-Exploiting-A-Single-SQLite-Vulnerability-Across-Multiple-Software.pdf )、支撐層,在其中發現了各種各樣的問題。
隨著硬體性能的發展,虛擬化和hypervisor技術得到了廣泛應用,不僅用於實現各種各樣的雲服務,也用於在設備中實現更高級的level of trust(TrustZone為典型代表)。但這些看似具有完美標準的硬體/准硬體安全實現是否真正達到了他們的預期?目前看來答案是否定的。申迪同學和另外一個研究員展示了對Trustzone的各種攻擊 (https://www.blackhat.com/docs/us-17/thursday/us-17-Shen-Defeating-Samsung-KNOX-With-Zero-Privilege.pdf https://www.blackhat.com/us-17/briefings.html#blue-pill-for-your-phone) 。虛擬化技術是否可用於漏洞挖掘?兩篇極具創意的研究給出了肯定的答覆:https://www.blackhat.com/docs/us-17/wednesday/us-17-Jurczyk-Bochspwn-Reloaded-Detecting-Kernel-Memory-Disclosure-With-X86-Emulation-And-Taint-Tracking.pdf https://www.blackhat.com/docs/us-17/thursday/us-17-Johnson-Evolutionary-Kernel-Fuzzing. 硬體安全的集大成者車聯網代表作特斯拉並不能倖免:https://www.blackhat.com/docs/us-17/thursday/us-17-Nie-Free-Fall-Hacking-Tesla-From-Wireless-To-CAN-Bus.pdf. 智能手機的最弱一環出現在代碼最爛的地方 - wireless chip:BroadPwn結合Project zero的一系列博客指出了一個新的攻擊方向
如果我們把目光再度投向底層,我們的CPU,firmware、BIOS真的是可信任的嗎?本次大會有很多對於這些的研究討論,其中https://www.blackhat.com/docs/us-17/thursday/us-17-Domas-Breaking-The-x86-ISA.pdf 以一個精妙的演算法實現了指數級搜索到多項式級別搜索複雜度的速度提升,實現了發掘未知CPU指令和後門指令的框架,實為其中的扛鼎之作。
總之,雖然說人們年年都在吐槽blackhat又多了一些灌水之作,但瑕不掩瑜,從出現在blackhat上的議題上,我們還是可以一窺業界的前沿技術和研究方向,取其精華提高自身能力。
一.部分議題
1.影響所有運營商的 3G, 4G LTE 漏洞
攻擊者可以利用3G, 4G LTE 漏洞定位並且監聽,攻擊成本低廉,只需1500美元。
新發現的漏洞存在於 3G 和 4G LTE 網路所使用的協議中,這個協議能讓移動設備直接與蜂窩網運營商相連。
兩名研究人員發現了認證和密鑰協議中的這個漏洞,該協議在設計上原本是讓用戶與網路進行安全通訊。
這種協議依靠存在於手機運營商系統中的計數器運行,實現對設備的認證並阻止重放攻擊。但是研究人員發現該計數器並沒有得到好的保護,導致攻擊者可以在消費者打電話或發信息的時候對手機進行監控,並且能追蹤設備的地理位置。
這個漏洞可能為下一代的 stingray 監聽設備(即 IMSI 追蹤器)鋪路。
研究人員已經針對多個歐洲移動網路成功發起過 PoC 攻擊,並表示該漏洞能影響全球所有的運營商
Security flaw in 3G, 4G LTE cell networks lets hackers track phone locations
(不能直接打開網站,需要...)
2.針對HTTP的隱藏攻擊面
主題為「Cracking the Lens: Targeting HTTP』s Hidden Attack-Surface」
具體細節直接看這個:
http://blog.portswigger.net/2017/07/cracking-lens-targeting-https-hidden.html
3.Google Android團隊發現新的間諜軟體——Lipizzan
據說和一家以色列公司有關,但是目前感染的設備不多,沒有大規模爆發的趨勢。
Lipizzan 利用傳統的手段繞過 Google Bouncer 安全系統,並將惡意行為拆解成兩步,在第二階段組件運行時可以獲取設備上的谷歌安全檢查歷史。
第一階段的Lipizzan應用程序帶有合法代碼,Google Bouncer沒有標記為惡意代碼。
第二階段,以「合法認證」的身份偽裝下載一個Secont-stage組件。然後掃描用戶的設備,獲取數據。隨後嘗試獲取用戶設備root許可權
一旦Lipizzan獲得root許可權,惡意軟體就有能力執行以下操作:
- 獲取通話記錄
- 獲取VOIP 記錄
- 用設備麥克風錄音
- 監控定位
- 截屏
- 用設備相機拍照
- 獲取設備信息和文件
- 獲取用戶信息(聯繫人、通話日誌、簡訊、特定應用信息)
- 恢復 Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber, 以及 Whatsapp 的數據
詳情:Google Discovers New Lipizzan Android Spyware
4.網路釣魚心理學
議題 「Ichthyology: Phishing as A Science」
沒什麼技術性內容
詳情:#BHUSA: Phishing Psychology: Why Training Fails amp;amp; Attacks Prevail
5.廣升科技又被點名
去年上海廣升科技( Adups )被曝出為某些品牌的 Android 手機提供 FOTA 固件升級解決方案,在其中留下後門,將用戶個人數據上傳至其上海所在的伺服器,包括聯繫人、通話記錄等信息。
去年上海廣升就此事進行過道歉。
在Black Hat USA 2017 黑帽大會上,來自Kryptowire 公司的Ryan Johnson 發表演講,他發現廣升依然在收集用戶數據,並會傳到上海的伺服器。數據內容包括機主的完整簡訊、通話記錄、IMSI 設備標識號等。
另外,一家名為Cubot 的中國手機公司在使用廣升的解決方案,而其上傳的手機信息還包括手機瀏覽器的瀏覽記錄。Johnson 同時表示,在周一對 Cubot X16S 型號的測試中發現廣升已停止手機信息收集,但需要警惕的是,廣升仍有能力對大量手機進行遠程命令執行。
6.SQLITE 漏洞利用
《一石多鳥:利用單一的SQLITE 漏洞攻擊大量軟體》
長亭科技的研究人員做的分享
具體細節:Black Hat USA 2017
7.對抗勒索軟體技術
《SHIELDFS : The Last Word in Ransomware Resilient File System》
具體細節:【BlackHat 2017】勒索軟體未來的終極剋星?研究人員發明ShieldFS文件系統
8.入侵洗車系統
洗車系統 Laserwash目前在國外被廣泛應用。
研究人員發現 Laserwash系統可通過基於 web 的用戶界面進行遠程控制。
洗車設備內置了一個 web 伺服器,掛接到公網上就能被攻擊者遠程控制。
該設施的控制系統實際上是個嵌入式 Windows CE 計算機,而微軟已經不再支持其所用的 Windows CE 版本,所以本質上就存在安全威脅。
有趣的是,研究人員寫了個 exploit 令洗車系統進行物理攻擊,洗車過程中可以對人進行攻擊。
「這可能是可導致聯網設備攻擊人的首個 exploit」。
詳情:Hackers can turn web-connected car washes into horrible death traps
9.利用 Docker 容器植入惡意程序
具體細節:Attack Uses Docker Containers To Hide, Persist, Plant Malware
二.工具
1. Electronegativity
Electronegativity – A Study of Electron Security
2.GitPwnd
Developing Trust and Getting Betrayed
3. AVPASS
AVPASS: Leaking and Bypassing Antivirus Detection Model Automatically
4.Sandsifter
Breaking the x86 Instruction Set
5.WSUSpendu
WSUSpendu: How to Hang WSUS Clients
6.CDF
Automated Testing of Crypto Software Using Differential Fuzzing
7.GoFetch
The Industrial Revolution of Lateral Movement
8.Data Exfiltration Through Cloud AV Sidechannel
The Adventures of AV and the Leaky Sandbox
部分演講 PPT 下載地址:鏈接: http://pan.baidu.com/s/1qY5CFNm 密碼: 9f8v
嗯啊,本Web渣來總結一下SSRF吧。
這次Black Hat的文獻(我目前讀過的)有兩個Slides都講到SSRF,一個是Orange大大的SSRF專題,另外一個是PortSwigger的挖掘HTTP隱藏攻擊層面。
Orange的文章主要介紹了不同語言的URL parser的處理機制而導致SSRF bypass或者攻擊面的拓展。
SSRF最經典的利用方式就是用gopher通信,不過如果伺服器不支持這個協議怎麼辦咧?於是Orange就提出了用URL parser的差異性來解決。
Orange總結出了一張這樣的表,大概就是每個語言在解析URL時存在的一些問題
有些時候,甚至同種語言的不同函數都會有巨大的差異:
那麼這個時候,我們可以利用這個差異性來bypass,比方說cURL:
然後如果出現以下代碼(注意第一行,第九行,和第十五行):
1 $url_components = @parse_url($url);
2 if(
3 !$url_components ||
4 empty($url_components["host"]) ||
5 (!empty($url_components["scheme"]) !in_array($url_components["scheme"], array("http", "https"))) ||
6 (!empty($url_components["port"]) !in_array($url_components["port"], array(80, 8080, 443)))
7 ) { return false; }
8
9 $addresses = gethostbynamel($url_components["host"]);
10 if($addresses) {
11 // check addresses not in disallowed_remote_addresses
12 }
13
14 $ch = curl_init();
15 curl_setopt($ch, CURLOPT_URL, $url);
16 curl_exec($ch);
那麼利用圖中URL就能完美繞過。還有許多其他案例,這裡不一一闡釋。
CTF考點+1。
下面再說說PortSwigger的,這篇文章帶該就是利用伺服器的回鏈(pingback)來拓展攻擊面。其中一種攻擊手法是當伺服器對我們控制的主機做DNS查詢時,我們可以用DNS-Rebind來SSRF。(這種情況可以參考我翻譯過的這一篇文章:(譯) 利用DNS重綁定繞過同源政策 )。不過PortSwigger的文章太長了。。。就不做敘述了。
——-更新
評論區出現了orange大神,orz
推薦閱讀: