本文讲的是KCon 2017黑客大会实录:那些年轻黑客是如何成长的?,不知不觉间,知道创宇主办的KCon黑客大会已经第六届了。
今年KCon放在北京中关村时尚产业创新园里的北京服装学院举行,对众多参会者来说,它是一个相对新鲜的地方。过往安全会议要么在国家会议中心,要么在高档星级酒店,已经成为套路。
这也和KCon的业内形象类似。国内安全大会现在形成几个流派,ISS、CSS、ISC等展示主办方安全生态力量的权利大会;XCon、MOSEC、SyScan360等硬核技术会议;GeekPwn、XPwn等向大众宣讲安全的破解大赛。KCon贴近硬核技术会议,区别在于:它对当下的新晋大众热门话题保持关注;不追求完全硬核、顶尖的研究成果,欢迎实用技术讲解。这让KCon吸引了比纯硬核技术会议更广泛的粉丝和受众。
下边跟随嘶吼编辑一起看看现场吧:
争夺受保护内存之战
压场第一个议题非常硬核向,讲绕过Windows 内核保护机制来获得受保护内存的控制权,分享者是来自迈克菲IPS安全研究团队的孙冰和徐崇。
微软在Windows 10和8.1 Update 3上默认启用了一个新的漏洞利用缓解——CFG(控制流保护),经过两年半修补对抗后,过往常见CFG绕过方法(纯数据攻击)变得不再好用,例如ntdll.dll、eShims.dll等都使用.mrdata(可变只读数据段)来保存其关键数据。孙冰团队发现,将现有纯数据攻击和其它技术(如竞争条件、异常注入)结合,可以继续绕过CFG防护,他们称之为高级纯数据攻击。
现场孙冰举了两类案例:
1、通过抢占同步锁解锁ntdll.dll的只读区段:ntdll.dll的数据更新流程存在缺陷,攻击者先行占据读写锁后,会让该工作线程处于阻塞状态,然后攻击者可以任意改写.mrdata的某些关键数据来绕过CFG保护。
2、通过异常注入技术解锁ntdll.dll和eShims.dll的只读区段:ntdll.dll、eShims.dll数据更新流程中,会访问某些可由攻击者读写的变量或数据结构,通过改变相关数据,可让线程在正常流程中出现异常,后续就机会任意改写.mrdata的数据,从而绕过CFG保护。
组建蜜网系统保护企业网络
很多企业都会部署蜜罐来检测网络扫描或者黑客入侵,找些开源蜜罐软件,很容易就能做出来。不过,做出来容易,做好很难。
在这方面,做“欺骗系统”的锦行科技相对会比较有经验,它的几位创始人曾经以入侵技术闻名国内。锦行是怎么做蜜网系统的呢?内部成员胡鹏分享了一点经验:
1、真实性,包括环境可利用性、数据真实性、行为监控隐蔽性三点,具体展开太长了,大家有兴趣可以留言,嘶吼会视读者热情度进行后续跟进。
2、层次感,整个蜜网系统分为三种角色
观察哨:低交互蜜罐,可以观察到某些难以察觉的行为,比如延时扫描、单线程扫描
小分队:高交互蜜罐,诱导攻击者进来
大部队:隔离蜜网,真实环境部署探针,将蜜网流量隔离,让攻击者有进无出
基于银行卡的手机支付安全性研究
苹果推出Apple Pay后,基于银行卡的NFC手机支付慢慢流行起来,也成了众多安全研究者想攻破的目标。不过这个体系挺稳固的,尽管不时有人破解过TurstZone,但现在为止还没听过有成功盗刷案例。
腾讯玄武实验室hyperchem研究了三星手机支付安全设计,他发现三星实践NFC支付过程中还算认真,但软件出厂没做好保护,可激活调试模式,软件包含大量调试日志,可发现关键信息。当然,这些都是外层的东西,尚不足以破坏NFC手机支付安全基石。
三星自己为兼容磁条卡做的磁场手机支付(MST)被找出了问题。大家都知道磁条卡安全性极差,关键支付信息可以随便复制,没想到三星居然把这些信息通过线圈磁场扩散出去,并且功率很大,远距离也可以捕捉到。这是什么概念?简直是把磁道信息送人…在此建议所有磁条卡用户:赶紧升级卡片吧,免费的!
蓝牙硬件 = 安全极差?
启明星辰、微步在线两家都投了蓝牙安全研究议题。根据他们讲解,蓝牙硬件目前还是问题多多,可以从三方面来看:
App攻击面:App没有加固、混淆等措施,日志里有大量敏感信息,硬编码密码、密钥…
蓝牙攻击面:通信数据可被嗅探,重放攻击(冒名顶替、未授权访问),中间人攻击(跨越BLE通信距离,修改中间数据)
固件攻击面:更新通道安全,固件逆向分析…
启明星辰安全研究员蝴蝶分析了某款智能锁,他评价其安全糟糕极了,最基本的移动应用安全措施都没做。这些问题已经持续数年,总而言之,小厂商的蓝牙硬件产品基本不会做安全防护,因为厂商自己也不懂,大家尝鲜请考虑大厂作品。
无人机安全研究和黑飞反制
无人机方向也有两个议题,KCon常驻演讲者Kevin2600主讲案例为主的无人机安全研究,360天马安全团队主讲黑飞反制系统。
Kevin2600老师偏向教学方向,他总结了目前已发现几款主流无人机型号攻击点,如Parrot AR Drone 2.0默认提供Telnet Root访问权限、DBPOWER U818A-WiFi允许任意用户对FTP Server进行读写(CVE-2017-3209)、Parrot Bebop2对大量Wi-Fi请求或数据包请求会无法处理并坠机等。后半部分其以适宜逆向入门无人机CX-10WD为教具,讲解了如何从零开始逆向一台无人机。
360天马团队杨芸菲更贴近业务,适宜监管单位服务群体。空域监管单位对无人机黑飞问题一直很是苦恼,国内外许多机构都尝试研究反制工具,如俄罗斯的捕捉导弹、日本的捕捉无人机、荷兰的养老鹰捉机…。杨芸菲介绍了他们基于802.11协议研发的检测干扰系统(不用GPS、无线电是因为干扰太大,得不偿失),部署WiFi探测点检测无人机信号,利用WiFi传输过程的OUI、SSID、MAC地址等信息可以识别无人机、操控手机信息,阻断图传信号,还能为后一步的肉身溯源固定证据。这套系统打造起来并不麻烦,使用开源项目Kismet就可以做到。
个人打造4G口袋伪基站
Seeker老师在xKungfoo、CSS、KCon等会议围绕LTE伪基站讲了一系列议题,直到这次我才稍微理解,对此很是抱歉…
简而言之,近几年LTE发展速度极快,出现了以OpenAirInterface、srsLTE等为代表的LTE网络搭建项目。通信爱好者Seeker凭借自身热情、社区帮助、神奇某宝,实力打造出能放进口袋里的LTE伪基站,能够劫持该基站附备的4G设备,接入运营商核心网。这项研究要具体展开,危害可谓极大,但限于法律法规只能点到为止。
建议运营商的读者看到本文,可以上某宝搜索下FemtoCell设备,那些设备落到黑产手中能干啥,你们更懂。
iOS 9.x 越狱
一次iOS越狱分为几步,蒸米说是6步,这是他们团队对iOS 9.x成功越狱的步骤数。通过6个漏洞,跨越沙盒、Team ID、Entitlement、Kernel、KPP多重苹果防护,最终实现越狱。
具体漏洞细节大家可以关注演讲者后续分享,这里比较值得关注的一点是:只需要跨过第一个环节——沙盒逃逸漏洞,就可以获取本地隐私数据。如果安装了带利用的陌生应用,则对方可以获取你的隐私数据,比如微信聊天记录、照片、视频等。
Android ARM虚拟机保护技术
介绍这个议题,主要是鼓励下小盆友。演讲者陈愉鑫,16岁,在知道创宇负责Android自动化病毒分析。
陈愉鑫研究Android加固技术,花费一年时间打造了一套基于ARM虚拟机保护技术的新型加固方案demo。大概来说,他要实现一套虚拟技术,对ARM处理器指令集进行变形处理,让受保护应用使用虚拟机来执行虚拟指令。
这套技术属于前沿研究,目前部分加固厂商已经实现,但16岁的小盆友来做,还是蛮厉害的。
其它研究成果
限于篇幅,还有不少议题只能一笔带过,比如Android & Windows & Webkit & bootloader漏洞挖掘和分析、rootkit & PowerShell攻击技术讲解、Web安全数据分析等,在此表示抱歉,后边有机会我们会再行展开。
今年KCon到此告一段落,大家明年见咯。
原文发布时间为:2017年8月27日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。