X

Black Hat 2022上最值得关注的十大议题

包括电网恶意软件Industroyer2深入分析、全新Android漏洞利用链披露、现代安全芯片漏洞研究、APT雇佣兵披露、近五年CI/CD违规真实案例分析……

前情回顾·聚焦Black Hat

一年一度的安全盛会黑帽大会(Black Hat)正在拉斯维加斯召开,本周大家都将把目光聚焦到炎热的索诺兰沙漠,关注会场上的技能培训、黑客演示、学术演讲及令人眼前一亮的最新安全产品。

第25届黑帽大会正在美国时间8月6日至11日举行,其中主峰会将在10日(今天晚上)开始。今年的大会将组织超过80场演讲,主题涉及硬件/固件黑客攻击、零日恶意软件发现,以及重量级APT前沿研究等广泛领域。

本文为大家筛选出本届黑帽美国大会上最值得关注的10场演讲。下面,就让我们一窥这些即将登上新闻头条的重要专题:

RollBack:针对汽车无钥匙系统

与时间无关的新型重放攻击

演讲人:新加坡大学与NCS Group的研究人员

汽车远程无钥匙进入(RKE)系统采用的是一次性滚动代码,意味着我们每次按下遥控钥匙所发射出的指令都独一无二,能够有效防止简单的重放攻击。然而,事实证明RollJam可以破坏一切基于滚动代码的系统。

通过精心设计的信号干扰、捕捉与重放序列,攻击者能够预测出尚未被实际使用的后续有效解锁信号。而RollJam唯一的缺陷就是需要始终保持“待机”,直至被实际使用。否则,只要合法车主在RollJam监视之外使用过遥控钥匙,它之前捕捉的信号就将失效。

本次演讲提到的RollBack,是一种针对当前大多数无钥匙进入系统的新型重放与重新同步攻击方法。研究人员发现,即使滚动代码系统中的一次性代码已经用完失效,也仍有办法利用并重放之前捕捉到的信号,用以触发无钥匙系统中类似于回滚的机制。换句话说,滚动代码可以被重新同步为继续使用先前代码,这样已知被使用过的后续信号也将再次正常生效。另外,受害者的正常使用感受不受任何影响,所以察觉不出攻击前后会有任何差异。

为何值得关注?根据之前的相关报道,这些针对现代汽车的实际攻击已经出现,相关研究将帮助我们在受到广泛冲击之前,尽早发现并修复这类问题。

Industroyer2:Sandworm团伙发起

网络战再次针对乌克兰电网

演讲人:ESET公司,Robert Lipvsky与Anton Cherepanov

Industroyer是目前公开领域唯一真正引发电力中断的恶意软件。作为它的后继者,新版本Industroyer2在本次俄乌战争期间被部署使用。与2016年初的Industroyer一样,2代版本的目标也是通过网络攻击引发大规模停电。这次的组件设计威胁更大、影响范围超过200万人,也让恢复变得愈发困难。研究人员们认为,该恶意软件的作者与攻击策划者正是臭名昭著的Sandworm APT团伙。美国司法部将该团伙归因为俄罗斯情报机构GRU。

本演讲涉及大量技术细节:对Industroyer2的逆向工程,以及2代与原始版本间的比较。Industroyer的独特之处,在于它能够使用专用工业协议和变电站工业控制系统硬件(断路器与保护继电器)进行通信。Industroyer中包含四种协议实现,而Industroyer2只保留一种协议:IEC-104。

期待这场演讲能对攻击方的作案过程展开更加宏观的分析,并讨论攻击为何大多未能成功。Industroyer最令人费解的一点,就是极高的复杂性与非常一般的攻击实效间的倒错:夜间连续停电一小时,绝对不是这样一种强大恶意软件所能达成的破坏力极限。而Industroyer2甚至还没达到初版的攻击效果。

为何值得关注?演讲点明了此前曾使用高破坏性恶意软件工具的顶级恶意黑客。考虑到这些恶意攻击引发的重大地缘政治影响,任何最新披露都应受到密切关注。

怎么感觉有点眼熟:
揭示商业产品中的被盗算法

演讲人:约翰霍普金斯大学,Patrick Wardle、Objective-See与Tom McGuire

在本次演讲中,研究人员将讨论影响整个网络安全社区的一大系统性难题:由企业实体实施的算法盗窃与未授权使用行为。而且不只是普通企业,很多网络安全组织本身也在“知法犯法”。

首先,研究人员将介绍各种能够自动识别出商业产品中未授权代码的搜索技术。之后,演讲还将展示如何通过逆向工程与二进制比较技术,对这些发现做出严格证明。

接下来,研究人员将结合实际安全讨论这些方法的实际应用。作者将以来自非营利组织的一款流行工具为例,该工具已经被多个实体进行过逆向工程,相关核心算法在未经授权的情况下被还原并应用在多种商业产品当中。

为何值得关注?这场演讲将提供可供借鉴的要点、建议和战略方针,帮助受害者应对故意盗用算法的商业实体(及其法律团队)。有了这些理论作为指导,相信厂商会以更加务实诚恳的态度对待安全社区。

谁来监管间谍软件厂商:
深挖2021年Android利用链漏洞

演讲人:谷歌安全工程团队

过去12个月来,谷歌威胁分析小组(TAG)及Android安全团队已经发现并分析了来自监控提供商的多个1day/0day漏洞。

这场演讲主要分享关于CVE-2021-0920漏洞的技术细节。这是一个在野0day Linux内核垃圾收集漏洞,虽然知名度不高,但也因此更显得复杂而神秘。

演讲将探讨利用到CVE-2021-0920漏洞的监控服务提供商,将多个Android 0day/1day漏洞利用样本与该提供商联系起来。这家提供商曾尝试向Google Play软件商店提交恶意应用程序,并率先利用Bad Binder漏洞

通过分析提供商的漏洞利用行为,研究人员发现了一条针对Android设备的完整链条。这条漏洞利用链凭借CVE-2020-16040和CVE-2021-38000等1day漏洞,以及CVE-2021-0920 0day漏洞,通过浏览器对Android设备进行远程root

为何值得关注?随着NSO Group、Candiru和Cytrox等公司先后登上全球新闻头条,私营商业间谍软件提供商已经卷入危险的监控涡流当中。此番谷歌研究团队带来的监视行业秘辛,相信能成就一场看点满满的火爆演讲。

剑指Titan M:

现代安全芯片的漏洞研究

演讲人:Quarkslab,Damiano Melotti和Maxime Rossi Bellom

Titan M芯片是由谷歌在自家Pixel 3智能手机上发布的处理器。在之前的研究中,技术人员已经分析了这款芯片,并展示了其内部结构与保护措施。以此为背景,本次新演讲将主要关注如何在信息有限的情况下,立足特定目标开展软件漏洞研究

演讲将深入研究黑盒模糊器的工作原理及相关限制,并展示基于仿真的解决方案如何超越纯硬件方案的限制。通过将覆盖引导的模糊器(AFL++)、仿真器(Unicorn)和针对目标的特定优化结合起来,研究人员成功发现了一个有趣的漏洞。该漏洞只允许将单个字节设置为1,在偏移量方面也有着诸多限制。尽管看似难以利用,但研究人员还是设法借此实现了代码执行,并暴露出芯片安全模块中隐藏的秘密。

为何值得关注?Quarkslab移动安全研究团队堪称全球最强团队之一,他们在演讲中展示的Pixel RCE相信会引爆全场。

美国网络安全审查委员会:
研究事件,推动系统性变革

演讲人:美国国土安全部副部长、网络安全审查委员会主席,Rob Silvers

有史以来第一个网络安全审查委员会(CSRB)项目,关注的是影响范围极广的Log4j漏洞危机。他们将确定哪些差距会持续存在,并为组织提供可操作建议,尽量避免今后出现类似的0day爆雷。

本次来自审查委员会的演讲将由Rob Silvers(国土安全部负责政策的副部长,兼网络安全审查委员会主席)和Heather Adkins(谷歌安全工程副总裁,兼委员会副主席)带来,着重讨论Log4j漏洞审查、委员会的主要调查结果,以及行业和政府应如何实施这些建议

为何值得关注?网络安全审查委员会是个相当独特的项目,也很高兴能看到网络安全界的领导者们分享如何通过委员会推动网络安全的转型变革。委员会的首批建议已经在业内公布,后续还有更多争议事务有待解决。

“天降横祸”:

APT可能捏造证据将你投入监狱

演讲人:SentinelLabs,Juan Andres Guerrero-Saade与Tom Hegel

国家支持的网络威胁指向的可不只是物,也有可能是人。虽然我们已经习惯将这类攻击行为跟间谍活动、知识产权盗窃或者经济利益联系起来,但其中还有另一类更加隐蔽的动机——由APT组织捏造证据,通过陷害将目标投入监狱

本次演讲的案例来自ModeifiedElephant。ModifiedElephant恶意团伙与商业监控行业间已经至少勾连了十年。演讲将通过取证报告讨论该团伙如何植入证据,导致众多社会活动家被定罪并关押至今。除此之外,演讲还将展示各地区的恶意黑客如何在受害者入狱之后,继续对他们开展追踪。这一系列行为,让我们意识到政府有可能滥用技术以压制持政治异见者们的声音。这是个向来被严重低估的问题,希望本次演讲能促使威胁研究人员尽快行动起来。

为何值得关注?黑客“佣兵”行业跟国家支持威胁团伙的融合,正在恶意软件领域掀起新的浪潮,而且已经开始对公民社会产生现实影响

谷歌重新构想了一部手机

作为红队,我们将全力护它安全

演讲人:谷歌红队研究人员

尽管市面上的手机厂商着实不少,但大多数Android设备能够选择的SoC提供商就只有那么几家。谷歌决定用Pixel 6打破这种模式。从安全角度来看,这意味着多年的测试与代码使用的保障已成为过去式,而是从源头建立一个新的高价值设备固件堆栈,将隐患消灭在摇篮当中。

本次演讲将讨论谷歌如何在重新构想的Pixel 6发布前,对这款手机产品加以保护,而且重点关注Android红队的观点。该团队将演示如何使用模糊测试、黑盒仿真器、静态分析和手动代码审查等方法,发现关键组件中的高权限代码执行隐患。例如,该团队将公布Titan M2芯片上的首个端到端概念证明,并介绍能够绕过硬件密钥证明的完全持久Android启动加载器(ABL)。

为何值得关注:像谷歌这样的科技巨头其实很少派出红队亲自下场,向大家介绍漏洞与安全缺陷。在本场演讲中,Android红队将带来多个安全关键演示,讲解红队在产品发布周期中的重要价值。

由浏览器驱动的Desync攻击:
HTTP请求走私攻击的新前沿

演讲人:PortSwigger公司,James Kettle

近来,HTTP请求走私攻击快速兴起并引发一系列严重后果,导致许多主要网站几乎被彻底攻陷。但之前,威胁范围还仅限于攻击者通过反向代理前端所能访问到的系统……而现在,情况已经进一步恶化。

本场演讲将向大家展示如何将受害者的网络浏览器变成desync交付平台,以暴露单服务器网站和内部网络的方式转移请求走私的边界。观众将学会如何将跨域请求与服务器缺陷结合起来,借此污染浏览器连接池、安装后门并释放desync蠕虫。利用这些技术,即可破坏包括Apache、Akamai、Varnish、Amazon及多种Web VPN等目标。

为何值得关注?HTTP请求走私攻击是一种常见的黑客技术,已经导致Web App的安全风险显著提升。James Kettle和PortSwigger的同事们一直走在相关研究领域的前沿,通过各类课程和演示向大家普及HTTP请求走私的危害。

RCE即服务:从过去五年的

真实CI/CD管道违规中吸取教训

演讲人:NCC Group,Iain Smart与Viktor Gazdag

过去五年来,两位研究人员在测试过的几乎每家企业的生产CI/CD管道中,都见证过无数次供应链攻击。无论是小型公司,还是不同细分市场及垂直行业的财富五百强企业,都曾先后几十次沦为攻击活动的受害者。

本场演讲将向大家解释,为什么说CI/CD管道已经成为软件供应链中最危险的潜在攻击面。为此,研究人员将讨论目前最常用的技术类型、相关使用方式,以及它们为什么会成为企业整体基础设施中权限最高、价值最大的目标。之后,演讲将分享在自动化管道中滥用预期功能的特定示例(附带演示),介绍如何将构建管道从简单的开发者实用程序转化成远程代码执行(RCE)即服务

为何值得关注?软件供应链安全已经成为当下的热门议题。对CI/CD管道攻击面的研究,也无疑值得大家给予最高级别的关注。

参考资料:securityweek.com