信息來源：FreeBuf

2017 年 12 月 2 日， WiFi 萬能鑰匙 SRC 安全沙龍成都站在成都銀泰 in99 UME 影院巨幕廳成功舉辦。蓉城今天氣溫適宜，天氣預報說的小雨也沒有下起來，相當巴適~本次活動召集了來自成都、重慶、西安、北京、上海的數(shù)百名安全專家到場，好不熱鬧。今天的主題除了四個精彩紛呈的議題分享外，還有場間抽獎和神秘終場活動（慣例文末彩蛋見）。好了，下面就馬上進入正題，一睹大牛們的風采，走起！

全部演講PPT下載地址參見文末

SRC“混子”養(yǎng)成指南

主辦方致辭后，今天的第一個議題是由四葉草安全服務部、雁行安全團隊的殘廢小哥帶來的“SRC 混子是如何煉成的”。當然，如果你們以為議題內容是教你怎么“混”，那可就大錯特錯了。在筆者看來，殘廢小哥還是非常細致地介紹了挖洞工作所需的知識體系、準備工作、案例分析以及最重要的思路拓展。

據(jù)殘廢介紹，他曾請教過多位在各大 SRC 風生水起的前輩，到底怎樣才能成為“漏洞之王”？幾位大牛的回復總結下來就是熟悉業(yè)務、細致到位、系統(tǒng)挖掘和出其不意。

熟悉業(yè)務，你就要明確目標廠商主要是做什么的，業(yè)務會產(chǎn)生哪些數(shù)據(jù)，這些數(shù)據(jù)又分布在哪些應用及對應的功能里面，對應的功能下 API 又是怎么調取數(shù)據(jù)的，這些都得弄清楚。

細致到位就是要細心了，對自己測試的每一個業(yè)務都必須做到嚴格仔細，特別是一些校驗、授權等敏感接口。

系統(tǒng)化挖掘指的就是對目標廠商的信息進行全面收集，不僅局限于二級域名、三級域名，還要深入收集這些域名下的服務信息，如WEB服務、APP、微信公眾號、小程序等。

至于出其不意，就比較耐人尋味了，最初殘廢小哥還覺得這大牛的回答是不是有點兒敷衍？仔細思考之后，方覺其中自有深意。說到底，有一定經(jīng)驗的白帽子，在純技術上不會相差太多，而此時決定你能不能挖到洞的，更多看的是思路上的東西。多看、多找、多進行發(fā)散性思維，都直接影響你挖洞的數(shù)量和質量。

殘廢小哥稱，挖洞千萬別只盯著核心資產(chǎn)，往往邊緣資產(chǎn)更容易出問題。眼光放大，你的可選范圍就比別人大了很多。很多新人往往會面臨這樣的問題，“挖洞我也會，可就是無從下手”。殘廢小哥列舉了四個大的方向，基本涵蓋了企業(yè)安全的每條必經(jīng)之路。

運維安全：運維是業(yè)務保障的基礎，這塊如果出問題，一般都是大問題。

業(yè)務安全：當下羊毛黨、黃牛黨數(shù)不勝數(shù)，且業(yè)務往往涉及資金問題，廠商重視程度只高不低。

應用安全：SQL 注入、XSS、越權漏洞等大家常見的漏洞類型。

內部安全：簡單來說可分為人員意識和辦公網(wǎng)絡，即從人和物質兩方面來探討企業(yè)內部安全。

至于四大板塊的細致講解，限于篇幅在此就不詳細展開了，大家可以去文末自行下載 PPT 進行參閱。

最后，殘廢小哥再次強調了挖洞準備工作的重要性，所謂工欲善其事必先利其器，完備的信息收集和深入了解目標業(yè)務，往往可以做到事半功倍。

殘廢（從筆名就能看出一點端倪）的演講全程保持詼諧搞笑的風格，講完99%的內容，又以“三分靠命運（努力？），七分天注定”作結，再次引起全場笑聲……

此外，F(xiàn)reeBuf 也收錄了很多國內外高手的挖洞經(jīng)驗，有興趣的小伙伴們可自行前往參閱，其中不乏腦洞大開然后挖洞成功的案例，希望對大家有所啟發(fā)。

USB Auto Hacking

上古時代，Windows 為了加強用戶體驗，搞出了 autorun.inf 這么個東西（針對 CD/DVD 等實現(xiàn)自動播放）。對于 USB 設備來說，其根目錄下的 autorun 文件就負責自動播放功能。后來，Vista 和 Windows 2008 分別屏蔽了該功能，autorun 時代早已離我們遠去了。BadUSB 是什么東東？如今還有什么方法可以實現(xiàn) USB Auto Hacking 呢？且聽 WiFi 萬能鑰匙信息安全部經(jīng)理 Tiger 老師為我們一一道來。

所謂 BadUSB 是近年來計算機安全領域的持續(xù)升溫的話題之一，該漏洞由 Karsten Nohl 和 Jakob Lell 共同發(fā)現(xiàn)，早在 2014 年的 BlackHat 安全大會上就已經(jīng)公布了。BadUSB 攻擊屬于 HID 攻擊（Human  Interface Device，是計算機直接與人交互的設備，例如鍵盤、鼠標等）的一種，通過將普通 U 盤通過改寫固件模擬成一個虛擬鍵盤，并模擬鍵盤輸入攻擊指令達成入侵目的。BadUSB 最可怕的一點是惡意代碼存在于 U 盤的固件中，由于 PC 上的殺毒軟件無法訪問到 U 盤存放固件的區(qū)域，因此也就意味著殺毒軟件和 U 盤格式化都無法應對 BadUSB 進行攻擊。

Tiger 為我們分享了一個老外故意丟 U 盤進行釣魚攻擊的實驗，這位仁兄總共丟了 297 個 U 盤，并發(fā)現(xiàn)總共有接近一半的人在撿到 U 盤后都會把它們插入自己的電腦！雖然這個比例不算低了，但通過丟 U 盤來實現(xiàn)攻擊，未免成本太高了點。

他還為我們介紹了幾類主流的 BadUSB，其中的佼佼者非 Teensy 和橡皮鴨（USB Rubber Ducky）莫屬。

Teensy

攻擊者在定制攻擊設備時，會向 USB 設備中植入一個攻擊芯片，此攻擊芯片是一個非常小而且功能完整的單片機開發(fā)系統(tǒng)，它的名字叫 Teensy。通過 Teensy 你可以模擬出一個鍵盤和鼠標，當你插入這個定制的 USB 設備時，電腦會識別為一個鍵盤，利用設備中的微處理器與存儲空間和編程進去的攻擊代碼，就可以向主機發(fā)送控制命令，從而完全控制主機，無論自動播放是否開啟，都可以成功。

橡皮鴨

USB Rubber Ducky 是最早的按鍵注入工具，通過嵌入式開發(fā)板實現(xiàn)，后來發(fā)展成為一個完全成熟的商業(yè)化按鍵注入攻擊平臺。它的原理同樣是將 USB 設備模擬成為鍵盤，讓電腦識別成為鍵盤，然后進行腳本模擬按鍵進行攻擊。

除此之外，Tiger 還為我們介紹了幾種較為先進的 HID 攻擊利用方式和喪心病狂的 USB 毀滅者，后者只要接入 PC、手機、游戲機等設備，不超過 1 秒鐘，你的設備就完蛋了。不是系統(tǒng)被黑，而是物理上完蛋，240 V 的電壓可以直接燒毀設備的電子元件。

這些神奇的小玩意兒大多都可以在國外黑客交易論壇或者某寶上面買到。當然，研究雖好，可不要貪玩哦~

從協(xié)議角度出發(fā)看企業(yè)攻防

前兩個精彩的議題為我們帶來了不少具體的姿勢和干貨，下面來自斗象科技 TCC（Tophant Competence Center）的研究員 Cody 要講的則是更多關于安全建設理念層面的內容。

異常行為和攻擊事件發(fā)生時，能否被監(jiān)測捕獲？

捕獲異常產(chǎn)生的告警數(shù)據(jù)多且復雜，有效性未知，是否有意義？

當需要針對行為和事件進行分析取證時，數(shù)據(jù)從何而來，是否有足量全面的細節(jié)數(shù)據(jù)？

企業(yè)在面對當前愈發(fā)嚴峻的安全挑戰(zhàn)時，碰到的問題會越來越多。TCC 針對這些問題與思考，提出了一些解決的路徑。Cody 提到，在企業(yè)安全監(jiān)控和安全運營的建設中，協(xié)議數(shù)據(jù)是基礎。針對大規(guī)模的協(xié)議數(shù)據(jù)，需要依靠多種手段進行多維度的分析。而通過構建行為鏈條和場景化，彌補單一行為特征或異常檢測的不確定性，則是提升企業(yè)安全攻防效率的重中之重。

以上企業(yè)安全監(jiān)控以及運維的建設，大概分為三個部分，分別為數(shù)據(jù)收集、異常與攻擊檢測以及行為與事件分析。

眾所周知，企業(yè)內網(wǎng)環(huán)境中，數(shù)據(jù)是基礎。不掌握大量流量數(shù)據(jù)，空談更深層的檢測沒有意義。目前量大主流數(shù)據(jù)收集方式分為全流量包捕獲和全流量會話數(shù)據(jù)。所有的攻擊行為都蘊藏在流量之中，收集詳盡的流量數(shù)據(jù)就是為將來的檢測與分析進行充分準備。

全流量包捕獲：包含完整的全流量協(xié)議數(shù)據(jù)，數(shù)據(jù)量大，完整記錄網(wǎng)絡空間中的所有通信細節(jié)，通過對協(xié)議詳情的解析為異常行為事件的檢測分析提供完整的上下文，為后續(xù)的攻擊溯源和構建場景提供數(shù)據(jù)支撐。 

全流量會話數(shù)據(jù)：源目設備之間通信的匯總與統(tǒng)計數(shù)據(jù)，數(shù)據(jù)量較小，通常以協(xié)議、源IP、源端口、目的IP、目的端口的五元組來記錄協(xié)議數(shù)據(jù)流，在基于異常的統(tǒng)計分析中提供流量記錄。

接下來要做的就是對數(shù)據(jù)進行檢測與分析。除了傳統(tǒng)的 IDS 與 IPS 以外，最常見的兩種檢測分類分別為基于特征檢測和基于異常檢測。首先，我們要搞清楚何為“特征”和“異?！薄Ｈ缟蠄D所示，將攻擊事件每個階段的行為根據(jù)其特征或異常點進行分類，以釣魚郵件為例，某企業(yè)員工打開郵件下載附件并執(zhí)行，惡意程序自動連接遠端 IP 地址或某域名，自動下載DLL文件并覆蓋原文件，此時你的電腦就淪為一臺 DDOS “肉雞”了。這一整個攻擊場景，其實可以細分為許多不同的行為，而其中有許多特征是值得我們去留意的。至于如何精確地去定義行為特征，Cody 引入了信標的概念。

信標：信標就是描述異常的行為片段，可以是一個IP地址、一個域名、一個文件 MD5 值或一個載荷

如下圖所示，連接到一個已知的惡意 IP 地址，這也是一個信標。當我們把信標定義為特征后，將其部署到網(wǎng)絡環(huán)境中。如果遭遇攻擊，系統(tǒng)會對其進行檢測并捕獲信標，即時將其檢測為異常行為或事件，此時我們便可將異常行為及事件組合梳理，形成攻擊鏈條，這就是所謂的場景化。

已知的惡意軟件 MD 5 信息、nmap 探測到的系統(tǒng)版本等，都可以用作信標。

信標具體化為特征之后，如何用不同的檢測手段部署到網(wǎng)絡中呢？Cody 主要為我們介紹了以下幾種方法。

Snort/Suricata或其它IDS規(guī)則：基于網(wǎng)絡層面上的特征規(guī)則檢測，信標對應規(guī)則。

Bro&Bro-script：利用事件驅動型的Broscript對全包捕獲數(shù)據(jù)做基于協(xié)議事件的分析處理，信標對應自編寫的Bro腳本。  

統(tǒng)計學模型分析：以數(shù)學統(tǒng)計和概率論分析會話數(shù)據(jù)，信標對應統(tǒng)計模型。  

機器學習模型：通過機器學習算法習得的模型對特定種類的風險和威脅進行分析，信標對應算法模型。 

隨后，Cody 以 DNS Tunnel 為例進行了具體講解。

攻擊者注冊一個域名evil.me，將該域名的NS指向由自己控制的一臺具有公網(wǎng)IP的服務器。公網(wǎng)NS服務器上部署DNS隧道服務端，內網(wǎng)機器部署DNS隧洞客戶端，二者通過DNS請求與響應機制，建立通信信道。攻擊者竊取的敏感數(shù)據(jù)通過編碼加密到DNS請求域名中發(fā)送，域名解析請求到達攻擊者控制的NS，即可解密得到數(shù)據(jù)。

當然，DNS Tunnel 攻擊也存在信標，如奇形怪狀不規(guī)則的文件名等。

我們對網(wǎng)絡流量中的協(xié)議數(shù)據(jù)進行分析，必然可以總結出各種不同類型的信標。將信標應用到多種手段中進行檢測，再將信標轉化為特征，特征組合為行為，行為再融入到事件中，我們進行分析檢測的場景就形成了。

用戶的不確定性導致的安全問題

今天的最后一個議題來自安洵信息黑洞實驗室成員 WormFox，略顯羞澀的小伙子。

WormFox 以一個笑話開頭，兩個各持己見的人，把一個簡單的問題聊的一整屏都裝不下（這可是電影院巨幕廳?。瓘倪@個笑話我們不難看出，由于程序需要處理的用戶輸入內容太多、用戶輸入存在不確定性、程序異常處理不完善等問題，當面向未知的用戶群體時，在不能保證正確使用程序時安全風險產(chǎn)生的幾率會很高。

以最常見的 Web 程序為例，因過濾不嚴導致的安全漏洞數(shù)不勝數(shù)：

SQL 注入  

文件上傳  

命令注入  

跨站請求偽造

……

WormFox 以他經(jīng)歷的兩個項目為例，分別為我們介紹了一起 SQL 注入和一起文件上傳漏洞案例。

彩蛋時間

議題結束后，我們去……

攀巖了！沒想到吧……

美麗的主持人小姐姐（其實重點是背景）。

來成都怎么少的了這些東西呢？加班寫稿這個點發(fā)出來，如果讓你感到不適……那就忍著。

還有這個。

演講 PPT 下載地址（暫缺 USB Auto Hacking 議題）：https://pan.baidu.com/s/1jHPYNuI 密碼：iw72