本文講的是<b>KCon 2017黑客大會實錄:那些年輕黑客是如何成長的?</b>,不知不覺間,知道創宇主辦的KCon黑客大會已經第六屆了。
今年KCon放在北京中關村時尚産業創新園裡的北京服裝學院舉行,對衆多參會者來說,它是一個相對新鮮的地方。過往安全會議要麼在國家會議中心,要麼在高檔星級酒店,已經成為套路。
這也和KCon的業内形象類似。國内安全大會現在形成幾個流派,ISS、CSS、ISC等展示主辦方安全生态力量的權利大會;XCon、MOSEC、SyScan360等硬核技術會議;GeekPwn、XPwn等向大衆宣講安全的破解大賽。KCon貼近硬核技術會議,差別在于:它對當下的新晉大衆熱門話題保持關注;不追求完全硬核、頂尖的研究成果,歡迎實用技術講解。這讓KCon吸引了比純硬核技術會議更廣泛的粉絲和閱聽人。
下邊跟随嘶吼編輯一起看看現場吧:
争奪受保護記憶體之戰
壓場第一個議題非常硬核向,講繞過Windows 核心保護機制來獲得受保護記憶體的控制權,分享者是來自邁克菲IPS安全研究團隊的孫冰和徐崇。
微軟在Windows 10和8.1 Update 3上預設啟用了一個新的漏洞利用緩解——CFG(控制流保護),經過兩年半修補對抗後,過往常見CFG繞過方法(純資料攻擊)變得不再好用,例如ntdll.dll、eShims.dll等都使用.mrdata(可變隻讀資料段)來儲存其關鍵資料。孫冰團隊發現,将現有純資料攻擊和其它技術(如競争條件、異常注入)結合,可以繼續繞過CFG防護,他們稱之為進階純資料攻擊。
現場孫冰舉了兩類案例:
1、通過搶占同步鎖解鎖ntdll.dll的隻讀區段:ntdll.dll的資料更新流程存在缺陷,攻擊者先行占據讀寫鎖後,會讓該工作線程處于阻塞狀态,然後攻擊者可以任意改寫.mrdata的某些關鍵資料來繞過CFG保護。
2、通過異常注入技術解鎖ntdll.dll和eShims.dll的隻讀區段:ntdll.dll、eShims.dll資料更新流程中,會通路某些可由攻擊者讀寫的變量或資料結構,通過改變相關資料,可讓線程在正常流程中出現異常,後續就機會任意改寫.mrdata的資料,進而繞過CFG保護。
組建蜜網系統保護企業網絡
很多企業都會部署蜜罐來檢測網絡掃描或者黑客入侵,找些開源蜜罐軟體,很容易就能做出來。不過,做出來容易,做好很難。
在這方面,做“欺騙系統”的錦行科技相對會比較有經驗,它的幾位創始人曾經以入侵技術聞名國内。錦行是怎麼做蜜網系統的呢?内部成員胡鵬分享了一點經驗:
1、真實性,包括環境可利用性、資料真實性、行為監控隐蔽性三點,具體展開太長了,大家有興趣可以留言,嘶吼會視讀者熱情度進行後續跟進。
2、層次感,整個蜜網系統分為三種角色
觀察哨:低互動蜜罐,可以觀察到某些難以察覺的行為,比如延時掃描、單線程掃描
小分隊:高互動蜜罐,誘導攻擊者進來
大部隊:隔離蜜網,真實環境部署,讓攻擊者有進無出
基于銀行卡的手機支付安全性研究
蘋果推出Apple Pay後,基于銀行卡的NFC手機支付慢慢流行起來,也成了衆多安全研究者想攻破的目标。不過這個體系挺穩固的,盡管不時有人破解過TurstZone,但現在為止還沒聽過有成功盜刷案例。
騰訊玄武實驗室hyperchem研究了三星手機支付安全設計,他發現三星實踐NFC支付過程中還算認真,但軟體出廠沒做好保護,可激活調試模式,軟體包含大量調試日志,可發現關鍵資訊。當然,這些都是外層的東西,尚不足以破壞NFC手機支付安全基石。
三星自己為相容磁條卡做的磁場手機支付(MST)被找出了問題。大家都知道磁條卡安全性極差,關鍵支付資訊可以随便複制,沒想到三星居然把這些資訊通過線圈磁場擴散出去,并且功率很大,遠距離也可以捕捉到。這是什麼概念?簡直是把磁道資訊送人…在此建議所有磁條卡使用者:趕緊更新卡片吧,免費的!
藍牙硬體 = 安全極差?
啟明星辰、微步線上兩家都投了藍牙安全研究議題。根據他們講解,藍牙硬體目前還是問題多多,可以從三方面來看:
App攻擊面:App沒有加強、混淆等措施,日志裡有大量敏感資訊,寫死密碼、密鑰…
藍牙攻擊面:通信資料可被嗅探,重播攻擊(冒名頂替、未授權通路),中間人攻擊(跨越BLE通信距離,修改中間資料)
固件攻擊面:更新通道安全,固件逆向分析…
啟明星辰安全研究員蝴蝶分析了某款智能鎖,他評價其安全糟糕極了,最基本的移動應用安全措施都沒做。這些問題已經持續數年,總而言之,小廠商的藍牙硬體産品基本不會做安全防護,因為廠商自己也不懂,大家嘗鮮請考慮大廠作品。
無人機安全研究和黑飛反制
無人機方向也有兩個議題,KCon常駐演講者Kevin2600主講案例為主的無人機安全研究,360天馬安全團隊主講黑飛反制系統。
Kevin2600老師偏向教學方向,他總結了目前已發現幾款主流無人機型号攻擊點,如Parrot AR Drone 2.0預設提供Telnet Root通路權限、DBPOWER U818A-WiFi允許任意使用者對FTP Server進行讀寫(CVE-2017-3209)、Parrot Bebop2對大量Wi-Fi請求或資料包請求會無法處理并墜機等。後半部分其以适宜逆向入門無人機CX-10WD為教具,講解了如何從零開始逆向一台無人機。
360天馬團隊楊芸菲更貼近業務,适宜監管機關服務群體。空域監管機關對無人機黑飛問題一直很是苦惱,國内外許多機構都嘗試研究反制工具,如俄羅斯的捕捉飛彈、日本的捕捉無人機、荷蘭的養老鷹捉機…。楊芸菲介紹了他們基于802.11協定研發的檢測幹擾系統(不用GPS、無線電是因為幹擾太大,得不償失),部署WiFi探測點檢測無人機信号,利用WiFi傳輸過程的OUI、SSID、MAC位址等資訊可以識别無人機、操控手機資訊,阻斷圖傳信号,還能為後一步的肉身溯源固定證據。這套系統打造起來并不麻煩,使用開源項目Kismet就可以做到。
個人打造4G口袋僞基站
Seeker老師在xKungfoo、CSS、KCon等會議圍繞LTE僞基站講了一系列議題,直到這次我才稍微了解,對此很是抱歉…
簡而言之,近幾年LTE發展速度極快,出現了以OpenAirInterface、srsLTE等為代表的LTE網絡搭建項目。通信愛好者Seeker憑借自身熱情、社群幫助、神奇某寶,實力打造出能放進口袋裡的LTE僞基站,能夠劫持該基站附備的4G裝置,接入營運商核心網。這項研究要具體展開,危害可謂極大,但限于法律法規隻能點到為止。
建議營運商的讀者看到本文,可以上某寶搜尋下FemtoCell裝置,那些裝置落到黑産手中能幹啥,你們更懂。
iOS 9.x 越獄
一次iOS越獄分為幾步,蒸米說是6步,這是他們團隊對iOS 9.x成功越獄的步驟數。通過6個漏洞,跨越沙盒、Team ID、Entitlement、Kernel、KPP多重蘋果防護,最終實作越獄。
具體漏洞細節大家可以關注演講者後續分享,這裡比較值得關注的一點是:隻需要跨過第一個環節——沙盒逃逸漏洞,就可以擷取本地隐私資料。如果安裝了帶利用的陌生應用,則對方可以擷取你的隐私資料,比如微信聊天記錄、照片、視訊等。
Android ARM虛拟機保護技術
介紹這個議題,主要是鼓勵下小盆友。演講者陳愉鑫,16歲,在知道創宇負責Android自動化病毒分析。
陳愉鑫研究Android加強技術,花費一年時間打造了一套基于ARM虛拟機保護技術的新型加強方案demo。大概來說,他要實作一套虛拟技術,對ARM處理器指令集進行變形處理,讓受保護應用使用虛拟機來執行虛拟指令。
這套技術屬于前沿研究,目前部分加強廠商已經實作,但16歲的小盆友來做,還是蠻厲害的。
其它研究成果
限于篇幅,還有不少議題隻能一筆帶過,比如Android & Windows & Webkit & bootloader漏洞挖掘和分析、rootkit & PowerShell攻擊技術講解、Web安全資料分析等,在此表示抱歉,後邊有機會我們會再行展開。
今年KCon到此告一段落,大家明年見咯。
原文釋出時間為:2017年8月27日
本文作者:longye
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/xactivity/7399.html" target="_blank">原文連結</a>