黑帽大会即将于下周在拉斯维加斯召开,这是一个安全工具轮番上演的绝佳场所,同时,这些工具若被坏人掌握,也可以沦为漏洞利用的工具。
上台展示的研究人员,通常都会指出这些工具对他们这种在实验环境操作的研究人员有什么价值,也会向企业安全从业人士展示工具在构筑更强防御方面的能力。
各种各样的漏洞利用工具将被详细推介出来,设备、协议、从HTTP到物联网再到渗透测试所用的技术,都是这些工具探索漏洞的目标。
以下便是将在大会上发布的9款攻防利器:
1. HTTP/2 & QUIC —— 教好协议去干坏事
演讲人:卡尔·文森特,思科高级安全顾问 & 凯瑟琳·皮尔斯,思科高级安全顾问
两位研究员对HTTP/2和QUIC这两种用于多路连接的Web协议进行了分析。他们在这两个协议中发现的安全漏洞,很容易令人联想到2年前在多路TCP(MPTCP)协议中发现的,似曾相识的感觉。那个时候他们发现漏洞,是因为MPTCP在会话期间会改变路径和终端,难以保证传输安全,容易被入侵。该演讲主要是介绍QUIC和HTTP/2协议,描述MPTCP之外的多路攻击,讨论这些技术可被怎样应用在QUIC和HTTP/2中,以及该怎样利用和防护好你网络上的
H2/QUIC 流量。他们还将发布融合了这些技术的工具。
2. 机器学习用于数据渗漏,以及其他有趣的话题
演讲人:布莱恩·华莱士,网络安全初创企业Cylance高级安全研究员 & 马特·沃尔夫,Cylance首席数据科学家 & 赵璇,Cylance数据科学家
该团队将机器学习应用到安全数据上,帮助分析师判断当前网络是否正面对切实的安全事件。若缺乏对机器学习的理解,在分析问题时便会处于不利地位。从演讲介绍中看,该团队将针对几个不同的安全相关问题从想法讲演到实用工具,其中就包括了机器学习的攻击和防御用例。他们计划发布研究中用到的所有工具、源代码和数据集。一款数据渗漏模糊处理工具、一个网络映射器,还有一个命令与控制面板识别模块也在他们的发布计划之列。
3. GATTacking蓝牙智能设备 —— 一款新型蓝牙低能耗技术(BLE)代理工具
演讲人:斯拉沃米尔· 亚谢克,SecuRing安全公司IT安全顾问
物联网中到处可见应用蓝牙低能耗技术的设备,但这些设备往往并未用好该技术中的安全特性。没有使用,或者因应用场景问题而用不了这些安全机制的设备,数量惊人。却经由更高层级的通用属性(GATT)配置文件来保护物联网设备及其控制器(如手机)之间的通信安全。冒充物联网设备诱骗手机与之连接,建立中间人攻击(MITM),是非常简单的。有了主动截获BLE通信的可能性,展开大量攻击易如反掌。在演讲中,亚谢克将发布一款
BLE MITM 代理工具,为你打开物联网设备漏洞利用、逆向和调试的新世界。
4. 保卫渗透测试行动:教学资料和工具中呈现的漏洞
演讲人:韦斯利·麦格鲁,HORNE Cyber 网络运营总监
用来培训渗透测试员的材料通常都是公开的,会导致客户数据和渗透测试过程本身缺乏防护,不够安全。恶意威胁行为人一看用的是大众工具,就会想要攻击渗透测试员,而鉴于目前的做法,这些攻击还真是很容易得逞,危害也十分巨大。麦格鲁将展示劫持测试员渗透测试过程的技术,演示中所用的全部工具也将同时发布。
5. 停车场之类的地方扔个U盘真的可行?
演讲人:艾利·波兹坦,谷歌反欺诈与滥用研究主管
众所周知,在停车场扔个U盘,肯定会被人捡起,且有很大的可能性会被插进电脑里。波兹坦的实验中,在停车场扔的300个U盘,98%被人捡了,其中48%不仅被人插上了电脑,U盘上的文件还被打开看了。波兹坦的演讲将对人们捡起这些U盘的原因做出分析,并发布一款有助于缓解此类攻击的工具。
6. 我是来放炸弹的:审计压缩算法武器藏匿点
演讲人:卡拉·玛丽,老牌安全审计机构 NCC Group 高级安全顾问
解压缩炸弹攻击使用专门打造的压缩存档文件,一旦被解压,就会缠上应用程序导致程序崩溃。但并不是所有压缩算法都适合此类攻击。玛丽审计了大量压缩算法,挑出了其中最适合用作解压缩炸弹攻击的于会上公布。研究人员可用之测试应用程序对此类攻击的敏感性。
7. 用反序列化漏洞黑你的Java消息传递
演讲人:马提亚斯·凯撒,Code White 漏洞研究主管
Java环境的消息传递依赖于序列化,也就是将对象转换为一系列字节的过程。反序列化就是将字节序列还原为对象。Java反序列化漏洞利用一直在不断发展,使用Java消息传递的应用有可能遭到此类攻击。凯撒将讲解存在漏洞的实现,发布Java消息传递漏洞利用工具,帮助用户发现并利用这些系统。
8. 还没等你杀掉密码,访问密钥就先干掉你了
演讲人:罗伊克·西蒙,NCC Group 首席安全工程师
例子:访问亚马逊Web服务(AWS)基础设施的密钥通常都是明文存放,且在开发人员之间广为流传的,可谓一大安全隐患。这一漏洞本可以通过多因子身份验证措施来补上,但一些用户可能会因为太过麻烦而懒得使用。西蒙将演示验证方法无关的多因子身份验证(MFA)应用方式,也将同时发布一款工具,让AWS账户被强制要求MFA时可以不用那么痛苦。
9. 致命视频 —— 视频转换器SSRF漏洞利用
演讲人:马克西姆·安德里夫,Mail.ru Group 软件开发员 & 尼科雷·厄米斯金,Mail.ru Group 信息安全分析师
免费的FFmpeg库催生了多媒体格式转换的一大波工具,还包括了主打链向其他文件的播放列表的转换工具。安德里夫的演讲,就是展示如何在这些播放列表的处理过程中利用服务器端请求伪造(SSRF)。SSRF若用在基于云的服务器上,有可能给攻击者带来对服务的完全访问权,AWS、Facebook、Telegram、微软Azure、Flickr、推特、Imgur之类的服务都有可能失守。大会上,两位演讲人将会发布检测和利用此漏洞的一款工具。
作者:佚名
来源:51CTO