Skip to content

用chatgpt做 blackhat asia-2023 学习委员

字数
13064 字
阅读时间
50 分钟
更新日期
5/22/2023

使用chatgpt对blackhat asia 2023议做了概述,对每个议题做了分析,概括其背景,问题,解决方案,总结等等,可以快速找到自己感兴趣的议题。

pdf下载地址:https://www.blackhat.com/asia-23/briefings/schedule/

AS-23-Bai-Stealthy-Sensitive-Information-Collection-from-Android-Apps

黑帽大会议题内容总结:隐蔽地从安卓应用程序收集敏感信息。该议题由来自UQ的白光东,以及来自字节跳动的张清和夏广帅进行演讲。主要内容包括:介绍演讲人员背景;数据监管越来越重要;安卓隐私数据保护的演化历程;研究问题;我们的工作;绕过系统和应用层的保护机制。具体细节如下:

  1. About us

  2. Background

  3. Our work

1. 通过Webview无限制访问隐私信息的危险性。演示了Webview能够访问敏感信息的代码。

2.通过GitHub限制只搜索.java或.kt文件,并搜索onGeolocationPermissionsShowPrompt和onPermissionRequest函数,发现639个正例。

3.对广告ID(GAID)和OAID的研究表明,广告ID实际上已经成为永久或长期的存在,OAID更容易在许多Android手机上绕过审计。

4.介绍通过官方AOSP提供的通道,Java反射,本地代码调用,Binder间接调用和OEM提供的隐蔽通道来获取敏感数据的方法。

5.演示了通过hook String构造函数来检测敏感数据的方法。

  1. Summary

1.系统级保护: 从安卓10开始,第三方应用程序无法获取设备的唯一标识符。如果一个应用程序这样做了,那就意味着这个应用程序已经利用了某些漏洞(0-day 或 n-day)。

2.应用级保护: 如果应用程序的Webview没有正确处理权限,任何URL都可以使用它来获取用户数据。

3.碎片化灾难: 一些OEM没有严格遵循AOSP的权限策略,许多自定义的API可以用来获取设备的唯一标识符。

4.新的挑战: 广告ID在某种程度上成为了一种持久标识符。用户可以从第一次开机开始连续跟踪,直到手机恢复到出厂设置。

  1. Q&A

AS-23-Babkin-firmWar-An-Imminent-Threat-to-the-Foundation-of-Computing

议题内容:

本次BlackHat议题内容主要涉及到固件攻击这一领域,包括固件及硬件的供应链问题、固件攻击的时间轴、BMC&C攻击的具体情况、固件漏洞及可能的影响、存在类似漏洞的系统类型、供应链攻击可能影响到的所有人、以及我们需要采取的措施。

具体小标题及分点如下:

  1. 固件是什么(What is firmware?)

  2. 固件及硬件的供应链问题(Firmware (& Hardware) Supply Chain)

  • 客户无法看到底层组件
  • 这些组件天生具有高权限
  • 对于这些组件的安全性和更新管理缺乏标准化
  • 漏洞传递效应可以被放大多倍
  1. 固件攻击的时间轴(Firmware attacks timeline)

  2. 固件攻击变得越来越容易(What’s new here? These attacks are becoming easy)

  3. BMC&C攻击的具体情况(BMC&C)

  • 勒索 EXX IP 泄漏
  • 以芯片为供应链开端
  • 具有远程可访问的 API 的芯片
  • 具有非常高的特权。是一个完美的目标!
  1. 攻击面(Attack Surface)
  • 可以公开几个服务
  • Redfish,在 443/tcp 端口上公开
  • Web UI 服务,在 443/tcp 端口上也公开
  • IPMI 服务,623/udp 端口
  • SSH 服务,22/tcp 端口(但不是完整的 bash shell)
  • UPnP 及其他发现服务
  • 一些其他服务,用于不同的功能(kvm、snmp 等)
  1. 漏洞(The vulnerability)
  • 存在于 Redfish 服务中,面向 443 端口。
  • 要求使用最低级别访问权限的用户进行身份验证(post-authentication)。
  • 漏洞代码:
  1. 漏洞利用(The exploit)
  • 在 URL 路径中存在命令注入
  • 关键点:没有url解码
  • ${IFS},选择你
  1. BMC 具体工作(What does a BMC do, exactly?)
  • 开启和关闭服务器电源
  • 更新 BIOS
  • 监视系统硬件
  • 记录日志,发送警报。
  • KVM 控制台
  • 挂载远程媒体
  • 帮助安装操作系统
  • 恢复系统的最后一道防线
  • 等等
  1. 攻击者可以做什么其他事情(What can an attacker do additionally?)
  • 植入 BIOS
  • 走私 KVM 镜像
  • 在管理网络中移动,并攻击其他 BMC
  • 攻击 Active Directory
  • 在 OS 上部署恶意软件(可能以多种方式),回避 AV/EDR
  • 扰乱运营(我们的演示 😃 )
  • …(想象一下)
  1. 其他漏洞(Other vulnerabilities)
  • UID = 0 用户的默认凭证(CVE-2022-40242) - 具有与上述相同的后果,但是需要预验证。
  • 通过 API 进行用户枚举(CVE-2022-2827)
  • 密码重置拦截(CVE-2022-26872)
  • Redfish 和 API 的弱密码哈希(CVE-2022-40258)
  1. 影响(The fallout)
  • 大规模披露过程
  • 很多受影响的供应商
  • 很难检测到防御者的漏洞设备
  • 实际上存在很多易受攻击的设备(全球数百万?)
  • 外部暴露的表面位于成千上万的设备中
  • 所有被利用的问题都是经典的 Web 应用程序问题和系统配置错误。
  1. 类似的漏洞类型(Is this actually common across the board?)
  • 企业系统(IP KVM)
  • 串口转以太网
  • 密码在横幅中显示
  • 无密码帐户
  • Shell 脚本作为 shell
  1. 安全摄像头和蜂窝路由器(Security cameras & Cellular routers)
  • Shellshock(严重)
  • Heartbleed
  • 默认凭证
  • SMB 漏洞
  1. 供应链攻击对每个人都有影响(Supply Chain Attacks Affect Everyone)

  2. 阐述(Takeaways)

  • 固件只是一种软件,和 90 年代的软件一样复杂且不安全。
  • 攻击者正在向下移动计算堆栈。
  • 要从固件攻击中获得的权限等级不容低估,可能会带来长期的灾难性影响。
  • “安装补丁”想法正在变得过时
  • 我们需要供应链问责制和标准
  • 我们还需要一种方式来跟踪供应链中使用的组件(“SBOM”?)
  1. 疑问(Questions?)

AS-23-Kadkoda-Breaking-the-Chain

议题内容:黑帽大会的议题内容主要围绕供应链安全漏洞展开,其中包括VSCode插件、Repojacking、Package Planting、公开CI/CD日志和时间攻击等方面。参与议题研究的分别是来自Aqua Security安全研究员的Yakir Kadkoda和Ilay Goldman。

小标题及分点阐述:

1.我们的研究思路

  • 通过研究供应链漏洞,提高安全研究意识

  • 讲解了从IDE到Runtime的五个开发阶段

  • 介绍了Visual Studio Code Extensions插件和npm包

  • 提出了恶意款VSCode插件和npm包的存在问题

  • 介绍仓库劫持的概念并演示了如何实现

  • 给出了缓解和处理建议

  • 介绍包植入的概念和现象

  • 介绍npm验证机制的漏洞

  • 给出了缓解和处理建议

  • 介绍公开CI/CD日志的风险和安全问题

  • 演示了如何获取敏感信息

  • 给出了缓解和处理建议

  • 介绍时间攻击的概念和操作

  • 演示如何进行时间攻击

  • 提出了缓解和处理建议

  • 强调加强安全意识和保护工作,并提出未来研究的方向。

AS-23-Wetzels-Nakatomi-Space

Blackhat议题内容总结:

  1. 智能锁安全漏洞的研究
  • 背景:智能锁的使用越来越普遍,但安全性存疑
  • 问题:智能锁易受物理攻击和远程攻击
  • 技术要点:通过破解硬件和软件获得对智能锁的控制
  • 解决方案:完善智能锁固件和物理结构,提高安全性
  • 结论:智能锁需要更加可靠的安全机制
  1. 嵌入式设备的漏洞
  • 背景:现代家庭和工业网络中涉及大量嵌入式设备
  • 问题:嵌入式设备存在漏洞,可能被攻击者利用
  • 技术要点:分析嵌入式设备的硬件、固件和通讯协议
  • 解决方案:加强嵌入式设备的安全设计,包括固件更新、身份认证等
  • 结论:提升嵌入式设备的安全性,可以保护设备所在的网络
  1. 工业物联网的安全
  • 背景:越来越多的工业设备通过物联网连接到互联网
  • 问题:工业物联网面临的安全威胁日益增加
  • 技术要点:探究工业物联网通讯、协议和硬件结构等方面
  • 解决方案:加强物联网设备的安全设计、网络隔离和入侵检测等
  • 结论:工业物联网安全是保障生产和社会稳定的重要问题
  1. 接收机侧信号注入攻击
  • 背景:无线通讯系统越来越广泛,特别是移动通讯系统
  • 问题:通讯系统存在信号注入攻击的风险
  • 技术要点:分析接收机侧信号注入攻击的原理和方式
  • 解决方案:加强无线通讯系统的安全设计,采用身份认证等安全机制
  • 结论:信号注入攻击需要更好的防护手段
  1. 安全智能车辆的设计
  • 背景:智能汽车技术正在发展,需要考虑安全性
  • 问题:智能汽车面临的攻击威胁需要解决
  • 技术要点:研发安全智能车辆的硬件和软件
  • 解决方案:完善车辆安全设计,加强信号加密、身份认证等
  • 结论:智能汽车可以为人们带来便利,但安全是首要问题
  1. 工控系统安全分析
  • 背景:工控系统是保障能源、交通、通信等行业正常运转的关键
  • 问题:工控系统严重受到攻击威胁
  • 技术要点:探究工控系统的硬件、软件和通讯结构
  • 解决方案:加强工控系统的安全设计和入侵检测
  • 结论:工控系统的安全漏洞需要得到及时识别和治理

AS-23-Li-Phoenix-Domain-Attack

黑帽会议议题内容总结:

  1. 背景介绍:域名系统(DNS)是许多互联网活动的入口和多个应用服务的安全保障,但域名也被用于犯罪活动,如僵尸网络、网络钓鱼、恶意软件分发等。

  2. 域名吊销机制:通过域名吊销删除或更改域名注册以防止域名被控制。

  3. Ghost Domain攻击:即使域名已被吊销,攻击者仍能在解析器上解析域名,从而逃避域名下架或过期。

  4. Phoenix Domain攻击:即使实施了Ghost Domain攻击的修复,攻击者仍能够发起Phoenix Domain攻击,插入新的NS记录或子域名的NS记录,从而使吊销的域名仍可在解析器上解析。

  5. 受影响的软件:Phoenix Domain攻击影响所有DNS实现,其中包括许多公共解析器和开放解析器。

  6. 解决方案:包括RFC编辑沟通和提出新的补丁或重新设计某些结构等方法。

  7. 声音描述:DNS RFC和规范无法提供对每个操作的明确定义,不同软件实现方案不一致,需要对潜在风险进行详尽的研究和评估,DNS机制需要进一步改进。

  8. 工具和论文:议题演讲者是来自清华大学的Xiang Li,TA提出的Phoenix Domain攻击涉及的工具和研究论文可供参考。

AS-23-Dhondt-A-Run-a-Day-Wont-Keep-the-Hacker-Away

绕过健身社交网络隐私保护:以健身追踪社交网络中的端点隐私区域为例

背景

• 健身追踪社交网络允许用户共享健身活动、位置、运动路线等信息,但这些信息可能会泄露用户的隐私。

问题与威胁模型

• 利用公开的元数据,攻击者可以利用推理攻击技术发现并跟踪用户的活动区域。

  • 只基于普通用户的能力。
  • 只基于公开元数据。

攻击技术要点

• 发现EPZ:利用适应的K-Means算法,将端点划分到最适合的相应簇的圆圈中。

  • 内部距离方案:泄露在EPZ内覆盖的距离。
  • 总距离方案:由EPZ覆盖的距离等于总距离减去轨迹距离。
    • 预测位置:对于每个中间点的插入路线图节点,使用l-最小角回归拟合这些观察距离,以预测隐私区域的受保护位置。

结论与建议

• 数据最小化:设计时扫描数据最小化方法,例如轮廓法、剪切和平均噪声等。
• 避免内部距离方案:调整API泄漏、匹配数据精度等。
• 减少推理的可能性:考虑在设计时考虑到推理,例如“平滑轨迹”或“随机矢量”等。
• 满足用户的隐私保护需求:提供针对用户的隐私保护选项,例如在默认情况下启用隐私区域和密度提示等。

黑帽技术要点

1.彻底测试API实现以防止泄漏。
2.在算法设计中考虑到推理。

AS-23-Xing-Dilemma-In-IoT-Access-Control

黑帽大会报告:IoT访问控制的困境——揭示Mobile-as-a-Gateway IoT中的新攻击和设计挑战

背景:Mobile-as-a-Gateway (MaaG) IoT设备使用手机作为“Internet网关”与IoT云/服务器通信,且缺乏持久的互联网连接。

问题:MaaG IoT明显复杂化了访问控制,将访问控制扩展到云和设备上,并涉及不同的访问控制语义/模型。

技术要点:

  1. MaaG访问模型翻译中的安全设计漏洞:如在MaaG访问模型翻译中丢失身份,角色权限的代理和控制,未同步的离线键盘密码等问题;导致访问控制存在问题。
  2. MaaG策略同步中的安全设计漏洞:IOT云必须维护访问控制策略的主要副本,而IoT设备可以独立执行离线访问,产生不匹配问题;需要解决异构设备的访问模型同步问题,等待最终的一致性。

解决方案:已向10家IoT供应商报告了所有产品漏洞,其中8家供应商承认了漏洞,至少有4家供应商修补了其产品。

结论:MaaG IoT的访问控制模型翻译和同步是必须考虑的关键问题,对MaaG IoT产生的访问控制数据一致性问题进行适当的建模,以便能够识别任何错误或歧义。

AS-23-Mulugeta-Insider-Threats-Packing-Their-Bags-With-Corporate-Data

议题:内部人员窃取公司数据

背景:

问题:

技术要点:

  1. 定义和提取信号;
  2. 建立云流量监测架构;
  3. 应用标签到云流量;
  4. 数据流量分析和识别异常行为;
  5. 构建数据丢失防护策略并设置DLP(数据丢失预防);
  6. 监测敏感数据的运动轨迹,分析出不同的数据和行为模式;
  7. 开发飞行风险信<号/strong>号的其他信号;
  8. 降低总体商业活动量;
  9. 展望未来,扩大分析的应用范围。

解决方案:

  1. 建立完整的监测机制,细分内部人员,不止依赖单一特殊行为的发现;
  2. 多方位地考虑敏感数据泄漏的发生场景;
  3. 降低商业活动的激烈程度,减少数据出口的一切威胁。

AS-23-Vastel-Leveraging-Streaming-Based-Outlier-Detection

黑帽大会议题内容总结:利用基于流媒体的异常检测和Sliceline阻止分布式机器人攻击

背景:

随着机器人攻击越来越普遍和危害的程度不断加深,网站和应用程序需要找到新的方法来检测和预防这种攻击。因此,黑帽大会提出了利用流媒体的异常检测和Sliceline来阻止分布式机器人攻击的议题。

小标题及分点阐述:

1.介绍(坏)机器人

  • 什么是机器人
  • 机器人攻击的类型

2.机器人技术:HTTP客户端和自动化浏览器

  • HTTP客户端概述
  • 自动化浏览器概述

3.如何检测机器人

  • 签名/(浏览器/TLS/ HTTP)指纹
  • 行为分析
  • 威望
  • 上下文

4.使用Selenium检测机器人

  • 通过浏览器指纹识别检测

5.机器人使用的绕过技术

  • 伪造TLS指纹
  • 伪造浏览器指纹和HTTP头部
  • 分布式攻击使用代理服务器

6.社区驱动的反检测框架

  • 通用框架,适用于自动化浏览器
  • 用于进行凭据填充攻击

7.未来的坏机器人:总结

  • 如何阻止这些不断进化和分布式的机器人攻击

8.检测和阻止分布式攻击

  • 手动检测
  • 检测流量峰值
  • 洞察不同特征
  • 导出规则
  • 定义非常规行为规则

9.利用Sliceline自动生成规则

  • Sliceline介绍
  • 指定规则
  • 用Sliceline生成规则

10.Sliceline内部:匹配规则与矩阵乘法

  • 匹配规则与矩阵乘法

11.Sliceline内部:切片错误

  • 切片错误

12.开源软件包

  • Python实现Sliceline
  • 兼容pandas的语法不受限制,可用于任意规则引擎
  • 如何应用算法的代码示例

13.案例分析:封堵游戏平台的凭据填充攻击

  • 拦截超过3百万的请求
  • 分布式攻击包括超过187K个IP地址

结论:

利用流媒体的异常检测和Sliceline可以有效地检测和阻止分布式机器人攻击。Sliceline不仅可以应用于生成规则引擎,还可以应用于其他安全用例,从而加强网站和应用程序的安全性。

AS-23-Gavrilov-Cloudy-With-a-Chance-of-Exploits

议题内容:通过 IIoT 云解决方案威胁关键基础设施的漏洞。

小标题:

  1. 背景
  • 工业 4.0
  • 工业移动路由器和网关
  • 基于云的管理平台
  1. 动机
  • 预测未来的云管理设备数量
  • 单一供应商
  • 单一供应商提供的远程管理和云平台
  1. 攻击向量
  • 资产注册
  • 安全配置
  • 外部 API 和接口
  1. 技术要点
  • 资产注册
  • 安全配置
  • 外部 API 和接口
  • Teltonika Networks 云平台
  • 将所有内容链接在一起的漏洞
  • Teltonika Networks 云平台的安全配置
  1. 解决方案
  • 用户应该关闭云功能或者在使用前进行注册
  • 厂商应该为注册提供额外的“秘密”方式
  • 工业 IoT 不等同于 IoT
  1. 结论
  • 设备的强度取决于它的最弱服务
  • 云管理设备是巨大的供应链风险
  • 一个供应商的妥协会影响成千上万的受害者

AS-23-Valsamaras-Dirty-Stream-Attack-Turning-Android

议题:Dirty Stream Attack - Turning Android Share Targets Into Attack Vectors

背景:Android系统有多种方式可以在不同应用程序之间共享数据和文件。其中之一是Content Provider,它提供了许多安全方式以与其他Android应用程序之间安全地共享数据。Share Targets是一种Android应用程序,可以接收其他应用程序的数据或文件。

问题:由于接收方无法完全控制发送方发送的数据,因此攻击者可以发起Dirty Stream Attack,将Android Share Targets转换为攻击向量。

技术要点:

  1. Content Provider和Content Resolver的使用方式;
  2. 文件提供者的使用方式,包括子类和共享目录的定义;
  3. Share Targets的使用方式和发送文件的过程;
  4. Dirty Stream Attack的攻击模式,包括定制文件提供者和最小化用户交互;
  5. 漏洞的具体影响,例如代码执行和文件读写权限的滥用;
  6. 接收方如何确保数据类型匹配和安全处理文件名等。

解决方案:应将所有来自应用程序私有领域之外的数据视为不可信。在处理文件名时,应规范化并过滤特殊字符。避免从数据目录加载库,dex文件等,如果可以替换,请用干净的副本替换。

结论:应用可以通过采取措施,包括限制应用程序对文件和目录的读写访问权限,限制与未公开API的交互,以及遵循最佳安全实践来保护自己并降低风险。

AS-23-Uhlmann-You-Can-Run-But-You-Cant-Hide

议题:寻找隐藏Shellcode的踪迹

背景:

问题:

技术要点:

  1. 内存扫描的概述,包括通用扫描工具(YARA, PE-sieve, Moneta)和特定的工具(Patriot, Hunt-Sleeping-Beacons, TickTock)
  2. 恶意代码逃避检测的技术手段,包括Gargoyle、FOLIAGE、Shellcode Fluctuation、DeepSleep、Ekko等方法。
  3. Immutable code page principle的错误使用会导致可执行代码页被更改,可以利用anomalous call stack detection和Microsoft-Windows-Threat-Intelligence PROTECTVM_LOCAL ETW events来进行检测。
  4. Control Flow Guard bitmap可以用来检测改变了内存保护的Shellcode,这一点可以用于探测恶意代码。
  5. 通过构建进程行为概要,可以识别异常行为,并对其进行更加详细的调查。

解决方案:

结论:

AS-23-Tan-Preparing-for-the-long-journey-of-data-security

标题:黑帽大会:数据安全之旅

背景:随着数字经济的发展,数据被视为一种关键的生产要素,如何在保障数据安全的同时,实现数据的有效利用成为亟待解决的问题。

问题:

  1. 目前数据安全领域面临的挑战有哪些?
  2. 如何在保障数据安全的同时实现数据的有效利用?
  3. 数据安全建设在不同行业的进展如何?

技术要点:

  1. 数据分类和分级:对公共数据、个人数据和企业数据进行分类和分级。
  2. 访问控制:采用零信任架构,从基于角色的访问控制(RBAC)发展到基于属性的访问控制(ABAC)等。
  3. 数据传输:采用数据丢失防护(DLP)和虚拟专用网络(VPN)等技术来保证数据在传输过程中的安全。
  4. 数据存储:使用数据库加密、文档加密和云访问安全代理(CASB)等技术对存储的数据进行加密保护。
  5. 数据交换:通过使用API监控、安全多方计算、同态加密和数据脱敏等技术来实现安全的数据交换。

解决方案:

  1. 制定数据安全法规,包括网络安全法、密码法、数据安全法和个人信息保护法等。
  2. 加强企业数据安全建设,推动数据安全技术在不同行业的应用,如电信、金融、医疗等。
  3. 持续创新数据安全技术,实现数据安全与业务解耦,提供更完善的数据安全防护。

结论:数据安全是一个将与网络安全相辅相成的庞大产业,未来5至10年将面临巨大挑战和机遇,人工智能等技术有可能为数据安全领域能带来重大突破。

AS-23-Chen-Operation-Clairvoyance-How-APT-Groups-Spy-on-the-Media-Industry

标题:黑帽议会:APT组织如何监视媒体行业

背景:

黑帽会议(BlackHat)是一个关注全球信息安全的顶级会议。本文讨论的议题主要关于针对媒体行业的APT(高级持续性威胁)攻击,对这些攻击的现状、性质和相关技术点进行了分析。

问题:

媒体行业面临多种安全问题,如电子邮件、过时的硬件和软件、社交媒体、信息安全人员配置不足等。这些问题导致APT攻击的增加和蔓延。

技术要点:

  1. APT攻击涉及的技术包括钓鱼、滥用云服务、利用软件漏洞等。
  2. 各种APT组织针对媒体行业进行大规模攻击,尤其在政治事件期间。
  3. 针对媒体行业的APT攻击方法独特,例如分析敌方的网络策略、制定攻击策略、设计攻击工具等。

解决方案:

  1. 加强员工网络安全教育。
  2. 实施强有力的安全控制措施。
  3. 及时更新和修补软件漏洞。
  4. 定期进行漏洞扫描和测试。

结论:

媒体行业不仅要关注自身业务发展和竞争对手,还应重视网络安全问题。通过采取一系列综合性举措,确保网络安全防护体系不断更新迭代,从而更好地应对APT攻击和其他网络安全挑战。

AS-23-Chen-New-Wine-in-an-Old-Bottle-Attacking-Chrome-WebSQL

本次议题主要关于黑帽大会上关于针对Chrome WebSQL的攻击,内容包括:

一、引言

  1. 实现对WebSQL数据库进行攻击,容易触发且难以防御。
  2. 介绍了WebSQL的用途和结构,表述了漏洞利用的原理。

二、BNF Fuzz

  1. 使用BNF Fuzz生成与渗透具有很强关联性的SQL语句,提高渗透效果。
  2. 相关案例:演示了如何使用BNF Fuzz发现漏洞CVE-2022-3039。

三、AST(抽象语法树) Fuzz

  1. AST Fuzz优化了攻击策略,增强了攻击语句的质量及场景还原。
  2. 相关案例:展示了使用改进后的Fuzz发现漏洞CVE-2022-3195。

四、结论

  1. SQLite作为Chrome的薄弱环节,难以防御这类外部库带来的安全风险。
  2. 通过构建不同目标所需的上下文分析,提高了攻击效果。
  3. 提出SQL Fuzzer增加语法与语义有效性,扩大到更多平台或目标。

通过本次议题报告,参与者能够更好地理解在Chrome WebSQL环境中如何进行SQL漏洞利用,以及如何提高漏洞利用效果。

AS-23-Vanhoef-Sweet-Dreams-Abusing-Sleep-Mode-to-Break-Wi-Fi-Encryption-and-Disrupt-WPA23-Networks

黑帽大会议题分析:Sweet Dreams: Abusing Sleep Mode to Break Wi-Fi Encryption & Disrupt WPA2/3 Networks

概述:该议题介绍了一些新的攻击方法,能够突破Wi-Fi加密和破坏WPA2/3网络。主要议题包括:

  1. 历史和背景

WEP,WPA1/2和WPA3的概述,以及针对WPA1/2的两种已知攻击(KRACK和Kraken)和针对WPA3的一种新的Dragonblood侧信道攻击。

  1. Kr00k漏洞

Kr00k漏洞的实现缺陷和如何管理“安全上下文”的问题。介绍一种新的攻击方法,通过泄漏帧来窃取缓冲区中的数据。

  1. 新攻击1:泄漏帧

介绍如何通过控制缓存来泄漏Wi-Fi帧,如何连接到远程客户端的密钥。

  1. 新攻击2:网络干扰

介绍两种熟悉的DoS攻击:去认证和去关联,并探讨如何绕过网络管理框架保护(802.11w)的防御方法。

  1. 新攻击3:绕过客户端隔离

介绍Wi-Fi客户端隔离的工作原理,并介绍一种攻击方法,可以在不影响其他客户端的情况下连接到网络并窃取数据。

  1. 结论

通过这些方法可以对Wi-Fi网络进行攻击,这些攻击方法需要客户端和AP供应商的更新来解决。

AS-23-Lo-Fuzzing-the-Native-NTFS-Read-Write-Driver

标题:基于Linux内核的黑帽漏洞找寻
背景:黑帽议题内容旨在分享使用模糊测试技术找寻Linux内核NTFS文件系统驱动程序中的漏洞。

技术要点:

  1. 挑战:文件系统模糊测试有诸多弊端,包括影象文件大,需要针对不同文件格式设置解析器以提取元数据,需要适应不断更新的新内核等。
  2. 解决方案:设计了称为Papora的高效NTFS文件系统模糊器,通过影象解析器与系统调用模糊器相结合进行漏洞测试。
  3. 评估:针对Linux NTFS驱动程序,将Papora与传统模糊器Syzkaller进行对比,测试结果显示,Papora更高效地找到并修复漏洞。

解决方案:

  1. Papora影像解析器:通过对影像解析器进行定制,可从元数据替换影像文件的元数据,以提高模糊测试效率。
  2. Papora系统调用模糊器:根据系统调用生成策略,实现对系统调用的模糊测试与参数突变。
  3. 优化执行器:通过LibOS执行器实现快速执行、便于管理和扩展等优点。

结论:模糊测试技术在挖掘复杂数字系统中的漏洞方面具有明显的优势。Papora提供了一个针对NTFS文件系统驱动程序漏洞测试的高效解决方案,帮助文件系统维护者关注元数据完整性,提高文件系统的安全性。

AS-23-Uhlmann-You-Can-Run-But-You-Cant-Hide-tools

黑帽大会议题内容概括

本次黑帽大会主要涉及到以下三个工具,分别为EtwTi-FluctuationMonitor、CFG-FindHiddenShellcode、Etw-SyscallMonitor,这三个工具的主要作用是监控以及检测恶意软件的行为和入侵攻击。

EtwTi-FluctuationMonitor

CFG-FindHiddenShellcode

Etw-SyscallMonitor

结论

AS-23-Palmiotti-Alice-In-Kernel-Land

黑帽大会议题内容总结:Alice in Kernel Land: Lessons Learned from the eBPF Rabbit Hole

背景:

技术要点:

  1. eBPF - what is it?

  2. eBPF Programs

  3. eBPF Privileges

  4. eBPF - Applications

  5. Vulnerabilities

  6. Fuzzing: Input generation

  7. Fuzzing: Error detection

  8. Fuzzing - A New approach

  9. Other features - coverage information and statistics

  10. Black Hat Sound Bytes

解决方案:

AS-23-Landau-PPLdump-Is-Dead-Long-Live-PPLdump

标题:PPLdump Is Dead. Long Live PPLdump!

背景:

  • 保护性进程 (Protected Process, PP) 是在Windows 8中引入的一种新技术,旨在防止代码注入和内存篡改。
  • 保护性轻量进程 (Protected Process Light, PPL) 在Windows 8.1中引入,作为PP的扩展。

问题:

  • PPL存在潜在的安全漏洞和攻击途径,攻击者可能利用这些漏洞绕过保护机制。

技术要点:

  1. 保护性进程的实现:

    • 内核中的EPROCESS结构体
    • 受保护的进程类型、受保护的签名方
    • 代码完整性签名验证
  2. 进程和线程保护:

    • 限制不具备相应权限的操作,例如PROCESS_TERMINATE,PROCESS_VM_WRITE等
    • 引入新的有限访问权限,如PROCESS_QUERY_LIMITED_INFORMATION等
  3. 资源保护:

    • 令牌信任级别
    • 信任标签
  4. 保护性进程的攻击方式:

    • 历史上的攻击:缓存签名级别漏洞、COM对象劫持、载入脚本引擎等
    • 当前的攻击:利用符号链接创建伪造的\KnownDlls,利用时序攻击(TOCTOU)等

解决方案:

  1. Windows 方面:优化代码验证和分页机制,杜绝 TOCTOU 攻击的可能;
  2. 防病毒软件厂商:在进程初始化阶段启用 NoRemoteImages 策略,阻止从网络位置加载 DLL;
  3. 用户自我保护:使用 NoFault.sys 工具阻止 PPLFault 攻击。

结论:

  • 防御管理员级别的攻击是一项艰巨任务,需要注意攻击面的细节。
  • 不同安全边界之间的关系可能导致连锁攻击,需要更严密的安全防护措施数字。
  • 当 MSRC 无法解决问题时,Defender团队可能会介入。
  • 公开的工具和报告有助于引起厂商对漏洞的关注和修复。

AS-23-Shcherbakov-Prototype-Pollution-Leads-to-RCE

标题:黑帽会议议题 - 原型污染导致远程代码执行

背景:

  • 本次议题来自KTH皇家理工学院的博士生Mikhail Shcherbakov。
  • 他的研究兴趣包括基于语言的安全性,可扩展的静态代码分析,动态程序分析等。
  • 报告中展示了通过原型污染漏洞实现远程代码执行的多种技术方法。

问题:

  • 原型污染,是一种JavaScript对象原型属性被不当修改导致的漏洞问题。
  • 通过利用原型污染漏洞,攻击者能够在Node.js应用程序中实现远程代码执行。

技术要点:

  1. 原型链继承的问题:原型链继承使得攻击者可以通过修改原型的属性,进而影响到所有继承该原型的对象实例。
  2. 触发原型污染:攻击者可以通过传入带有恶意属性的对象,将其污染并作为载体实现远程代码执行。
  3. 代码分析技巧:结合静态与动态分析,使用Grep, Semgrep或CodeQL对目标代码进行筛查。
  4. 查找RCE(远程代码执行)Gadget:识别并利用已知的原型污染漏洞和其他漏洞,实现远程代码执行。
  5. 利用原型污染实现RCE:通过利用原型污染漏洞,攻击者能够在Node.js应用程序中实现远程代码执行。
  6. Node.js团队提出的缓解措施:限制原型链污染的可能性,以及修复可能导致的RCE的漏洞。
  7. 开发者防范原型污染:从代码源头预防原型污染,避免将攻击者传入的恶意数据应用到原型链中。

解决方案:

  1. 使用无原型创建新对象:通过Object.create(null)或设置__proto__属性为null创建无原型对象。
  2. 使用Map和Set:以替代对象来存储键值对和唯一值。
  3. 检查来源未知的对象:验证JSON数据的结构是否满足要求,只保留对象的自有属性。
  4. 缓解Node.js中的原型污染漏洞,降低RCE风险。

结论:

  • 原型污染导致的远程代码执行问题不容忽视。
  • 通过结合多种技术手段挖掘原型污染漏洞,可实现远程操控应用程序。
  • 开发者需关注原型污染漏洞的解决方案,才能确保应用程序免受远程代码执行攻击。

AS-23-Wu-When-Knowledge-Graph-Meets-TTPs-Highly-Automated-and-Adaptive-Executable-TTP-Intelligence-for-Security-Evaluation

标题:高度自动化和自适应的可执行TTP情报安全评估

背景:

  • 黑客越来越需要跟上攻击者的TTP(战术、技术、程序);
  • 根据目标组织的实际情况选择合适的TTP模拟;
  • 使用攻击路径(顺序TTP)评估目标组织的整体纵深防御。

技术要点:

  1. TTP知识图谱构建
    • 自动提取TTP
    • 利用预训练语言模型和迁移学习提取TTP
  2. 构建语义网
    • ATT&CK语义网络构建
    • TTP和剧本语义网络构建
  3. 自适应攻击路径推理
    • 输入数据:目标组织的资产信息、网络拓扑配置、防御深度拓扑配置等
    • TTP推理引擎:基于MITRE ATT&CK和权限级别的推理
    • 真实世界的攻击路径示例

解决方案:

  • 改进TTP提取的准确性
  • 使用预训练语言模型和迁移学习提取TTP
  • 构建面向TTP的知识图谱
  • 推理更自适应的攻击路径以评估目标组织的整个防御深度

结论:

  • 解决了提高TTP提取准确性的三个关键问题,有助于防御者跟上攻击者的TTP;
  • 构建TTP为导向的知识图谱的实用方法可以帮助BAS推理出更自适应的攻击路径,以评估目标组织的整个防御深度。

AS-23-Yuanzhen-A-new-attack-interface-in-Java

一、背景

二、问题

  1. JDBC接口可被滥用以攻击Java应用程序。
  2. 不同驱动程序可能存在不同的安全隐患。
  3. 某些配置属性可能导致文件写入或网络/操作系统命令的风险。

三、技术要点

  1. 滥用连接资源:对BLOB(二进制大对象)值进行SQL注入。
  2. 任意日志文件写入:通过日志记录功能进行远程代码执行。
  3. 词法语法兼容性:绕过高版本Java反射限制。
  4. 未检查的初始化类:通过未检查的类进行远程代码执行。
  5. 不正确的响应处理:利用JDBC连接错误信息泄漏敏感信息。

四、解决方案

  1. 使用最小化的允许列表筛选JDBC属性。
  2. 使用经过审查的JDBC驱动程序,不允许用户上传。
  3. 针对可能影响文件写入和网络命令的配置属性加强保护。
  4. 对用户发起的JDBC活动进行沙盒化处理。

AS-23-Koh-Dirty-Bin-Cache-A-New-Code-Injection-Poisoning-Binary-Translation-Cache

标题:Dirty Bin Cache:一种新的代码注入中毒手段

背景:

  • ARM架构笔记本越来越受欢迎
  • 二进制翻译缓存用于减少时间消耗,如 Arm-based Windows (XTA cache) 和 macOS (Rosetta 2 缓存)

问题:

  • 研究 Rosetta 2 是否存在类似的代码注入
  • 分析 ARM 架构下的 macOS 和 Windows 的代码注入

技术要点:

  1. AOT(Ahead of Time)缓存污染
    • 文件注入,创建 AOT 缓存,恢复,未来重用
    • 限制:对签名的可执行文件无效
  2. macOS 安全机制
    • 代码注入可用于突破安全和隐私机制
  3. 通过研究计算 AOT 查找哈希值进行攻击:
    • SHA-256计算文件信息(路径,头部,时间戳,大小等)
    • 在不更新时间戳的情况下修改文件内容,触发哈希碰撞
  4. 如何绕过 Apple 和 Microsoft 的补丁
  5. Rosetta 2和Windows x86/x64仿真使用二进制翻译缓存文件来减少二进制翻译量。这些兼容性层使用特定的哈希来检查指定的二进制是否已被翻译。这些哈希从时间戳、目标文件的标头、文件路径等计算而来。

AOT中毒和XTA缓存中毒的新代码注入技术

 * 引入了一种新的代码注入技术(AOT中毒和XTA缓存中毒);
 * 研究者给出了证明概念的代码;
 * 攻击者可以利用这些代码注入技巧。
  1. XTA缓存毒化

    • XTA缓存毒化可以应用于没有存在相对路径DLL加载劫持漏洞的应用程序。此类提权通常通过劫持有漏洞的DLL加载来完成。但由于XTA缓存毒化可以应用于任何x86/x64可执行文件,因此不需要找到此类有漏洞的应用程序。

解决方案:

  1. Rosetta 2 下的 macOS:
    • 代码注入到未签名的可执行文件
    • 跨文件系统绕过 Apple 的修复
    • 对已签名的可执行文件注入,重新签名,保留原始头部信息;获得 Trust 高权限
    • 进行其他利用,例如 TCC 绕过
  2. Arm-based Windows:
    • 通过改变时间戳绕过路径和头部哈希检查
    • 使用文件系统降级技巧进行攻击

结论:

  1. 通过研究 Rosetta 2 和 Windows ARM架构系统,找到不同的代码注入技术
  2. 系统修复补丁并未完全解决问题,因为它依然可以使用降级文件系统进行攻击
  3. 对于已签名的可执行文件注入代码,绕过修复,实现代码执行
  4. 针对 macOS 和 Windows 的 AOT 缓存污染和代码注入依然具有威胁性

小结

研究者对Rosetta 2、Windows x86/x64仿真和二进制翻译技术的评估进行了讨论。新的代码注入技术(AOT中毒和XTA缓存中毒)加剧了对它们安全性的关注。此外,研究者提供了实验代码供安全团队和研究人员使用。

AS-23-Young-Security-Advocacy-Shouldnt-Be-For-Security-Professionals

黑帽亚洲会议议题总结:安全宣传工作不应只面向安全专业人员

背景:
安全人员开始创造内容,但只有其他安全专业人员感兴趣,导致行业的安全内容并非面向所有人。

  1. 内容及内容创作者的水平
  • 安全内容的定义是什么?
  • 谁是内容创作者?
  1. 混淆的内容创作原则
  • 好的内容应具备什么?
  • 专家问题
  1. 研究分析
  • 我是如何进行研究分析的?
  • 分析结果
  1. 如何解决这个问题?
  • 给自己提问:
    • 任何人都能消费这个内容并去做这件事吗?
    • 谁将使用这个内容,用于什么目的?
    • 个人需要花费大量工作时间来消费这个材料吗?
    • 材料是否有明确的开头,中间和结尾,还是四分五裂?
  • 使用“Too Long Didn’t Read”原则
  • 从哪里开始?
  1. 结论
  • 安全内容不面向大多数人
  • 非营利组织比其他行业部门更擅长创建更“易懂”的内容。
  • 我们必须改变我们创建安全内容的方式。
  • 使用“Too Long Didn’t Read”原则,并问“我的母亲能理解这个吗?”
  • 不要害怕给出明确的指导

解决方案:
人们可以通过编写清晰而简洁的指南和步骤,对组织的安全内容进行检查,并与内容创作者交流,以寻求更改的可能性。使用“Too Long Didn’t Read”(太长了没时间读)原则,并询问自己“我的母亲能理解这个吗?”

AS-23-WANG-Two-bugs-with-one-PoC-Rooting-Pixel-6-from-Android-12-to-Android-13

背景和介绍:

  • 讲解人为阿里巴巴安全工程师,专注于Android / Chrome漏洞。
  • 从Android 12到Android 13,介绍两个有关漏洞及其相关的PoC。
  • 所使用的技术包括用户空间访问覆盖、内存标记扩展、内核地址空间布局随机化等。
  • 目标是黑客能够通过使用两个漏洞之一,或两者结合起来来获得根权限。

漏洞1:

  • 利用KBASE_IOCTL_JOB_SUBMIT接口和GPU来实现。
  • 利用用户空间地址覆盖,使其成为仅读内存。
  • 失败/传播和后期检测困难。

解决方案1:

  • 重复导入,将导致两次抓取错误,但两者的不同是可控制的。
  • 解决了导出问题,而不是导入。

漏洞2:

  • 利用释放前未清空的磁盘页缓存来实现。
  • 首先释放页,然后重新绑定到线程对象上,通过读操作泄漏指针。

解决方案2:

  • 小面积的页面难以维护或管理,导致可用性和误报率较高。
  • 在内存中分配的服务,可以使用硬件隔离来增加隔离级别和虚拟内存指导的管理。

AS-23-Pardomuan-Emit-My-Keystroke

议题内容:本次议题主要介绍了如何利用在线视频会议中的屏幕共享功能泄露用户的打字行为。通过分析键盘敲击的时间间隔、持续时间、敲击力度等参数,可以通过屏幕共享的视频轻松地恢复用户的打字行为,进而可能窃取和模仿用户的密码等敏感信息。

小标题:

  1. 背景
  • 在线视频会议的屏幕共享功能越来越常见,用户打字行为被暴露的风险越来越高
  • 键击生物识别作为一种身份验证和欺诈检测技术已经得到广泛应用
  1. 问题
  • 如何基于屏幕共享的视频轻松地分析和恢复用户的打字行为?
  • 如何防范这种基于屏幕共享的视频打字行为模拟攻击?
  1. 技术要点
  • 利用 OpenCV 实现光标跟踪和文本检测算法,从视频中分离出打字行为的片段;

  • 利用 OCR 技术抽取每个字符,并通过比较坐标求解字符之间的时间间隔;

  • 将延迟数据组合成组并恢复打字模式;

  • 应用 Random Forest 进行预测并仿照用户的打字行为,进而窃取和模仿用户的密码等信息;

  • 在已有工作的基础上,实现了一种对于轻、中等移动的文本的字母和数字的鲁棒方法。

  1. 解决方案
  • 在面对屏幕共享和键击生物识别技术缺陷时,我们需要特别小心在视频会议中的屏幕共享,以及在共享屏幕期间敲击敏感信息。

  • 同时应该采用一些防御性工具或方法,如 Kloak 和 Keystroke Dynamics Anonymization System。

  1. 结论
  • 借助屏幕共享的视频,黑客可以轻易地模拟和恢复用户的打字模式,这种攻击成本低、隐蔽性高、效果出色;
  • 对于防护这种攻击,用户需要加强安全意识,同时技术研究人员也需要开发更加安全、隐私友好的联机视频会议技术。

AS-23-Cao-Attacking-WebAssembly-Compiler-of-Webkit

标题:BlackHat议题 - WebAssembly编译器的攻击

背景:

问题:

  1. WebAssembly编译器在WebKit中的漏洞分析
  2. 如何利用这些漏洞进行攻击

技术要点:

  1. WebKit中的WebAssembly编译器结构:
    • LLInt(低级解释器)
    • BBQ(快速字节码生成器)
    • OMG(优化的机器码生成器)
    • Air和B3-O2(用于提高优化程度)
  2. Fuzzing技术在WebAssembly编译器中的应用
  3. 通过AFL++ Extractor插件优化Fuzzing效果
  4. 主要的安全问题:
    • CVE-2022-32863
    • CVE-2022-32885
    • CVE-2022-32886
  5. 漏洞细节分析及修复方案

解决方案:

  • 对源代码进行修改,以避免潜在漏洞
  • 使用更安全的编译器技术和方法
  • 不断优化和改进Fuzzing技术

结论:

AS-23-Saleem-Weaponizing-mobile-Infrastructure

议题内容:《武装移动基础设施:政治动机的网络攻击对民主构成威胁?》

小标题:

  1. 网络互连威胁
  • 内部和国家网络
  • 信令
  • 数据/语音
  • IoT设备
  • 移动设备
  • SIM盒
  • IT系统
  • 合作伙伴系统(API,供应链等)
  1. 黑客团伙和攻击者
  • 攻击者类比和团伙
  • 遗漏的情报
  • 政治转变可能推动网络攻击
  • 财务影响
  • 工作伦理和披露
  • 建议
  1. 武装冲突中网络攻击的角色
  • 间谍活动
  • 破坏活动
  • D / DoS
  • 电力网格
  • 宣传活动
  • 经济混乱
  1. 政治动机的网络攻击的历史纵览

  2. 遗漏情报

  • 美国从阿富汗撤军
  1. 俄罗斯网络攻击的影响力
  • 向全球信令发起了多次攻击
  • 攻击对象广泛
  • 假冒身份
  • 零日漏洞攻击
  • 网络探测和地图制作
  1. 漏洞负责任披露

  2. 财务影响

  • 全球运营商因零日漏洞而遭受财务损失
  1. 工作伦理和披露
  • 共享安全研究的关键情报
  • 共享有关零日漏洞的详细信息
  • 目标是保障运营商提供的服务
  • 行业应学习企业并建立专注于电信的情报

AS-23-Chen-PMFault

议题内容: PMFault: 通过PMBus在服务器平台上进行电压故障注入

小标题:

  1. 背景: PMBus、SVID是什么?
  2. 技术要点:如何访问PMBus、如何使用libi2c发送PMBus命令、如何通过BMC获取shell、如何使用ipmitool进行攻击
  3. 解决方案:利用PMFault实现电压故障注入
  4. 结论:技术可以在服务器平台上实现电压故障注入,存在安全隐患

详细描述:

  1. 背景
  • PMBus是一种半标准化协议,基于I2C,具有标准命令和自定义命令,每个设备都有一个7位地址
  • SVID是一种电压调节器协议,通过该协议可以读取和修改VRM的输出电压
  1. 技术要点
  • 如何访问PMBus:使用i2c_i801内核模块和i2cdetect工具
  • 如何使用libi2c发送PMBus命令:通过libi2c库实现对PMBus的访问和控制
  • 如何通过BMC获取shell:使用ATEN SMASH-CLP System Management Shell、SMASH/msh提供的shell、AlUpdate,ipmi_firmware_tools等工具获取shell
  • 如何使用ipmitool进行攻击:通过ipmitool i2c发送PMBus命令
  1. 解决方案
  • 利用PMFault实现电压故障注入,通过修改SVID_OVERCLK2_EN(Bit3)实现CPU电压的修改
  1. 结论
  • 技术可以在服务器平台上实现电压故障注入,存在安全隐患,服务器应该被视为嵌入式系统,攻击一个组件可能会导致整个系统崩溃,需要采取安全措施。

撰写