信息來源：FreeBuf

2017 年 12 月 2 日， WiFi 萬能鑰匙 SRC 安全沙龍成都站在成都銀泰 in99 UME 影院巨幕廳成功舉辦。蓉城今天氣溫適宜，天氣預(yù)報(bào)說的小雨也沒有下起來，相當(dāng)巴適~本次活動(dòng)召集了來自成都、重慶、西安、北京、上海的數(shù)百名安全專家到場(chǎng)，好不熱鬧。今天的主題除了四個(gè)精彩紛呈的議題分享外，還有場(chǎng)間抽獎(jiǎng)和神秘終場(chǎng)活動(dòng)（慣例文末彩蛋見）。好了，下面就馬上進(jìn)入正題，一睹大牛們的風(fēng)采，走起！

全部演講PPT下載地址參見文末

SRC“混子”養(yǎng)成指南

主辦方致辭后，今天的第一個(gè)議題是由四葉草安全服務(wù)部、雁行安全團(tuán)隊(duì)的殘廢小哥帶來的“SRC 混子是如何煉成的”。當(dāng)然，如果你們以為議題內(nèi)容是教你怎么“混”，那可就大錯(cuò)特錯(cuò)了。在筆者看來，殘廢小哥還是非常細(xì)致地介紹了挖洞工作所需的知識(shí)體系、準(zhǔn)備工作、案例分析以及最重要的思路拓展。

據(jù)殘廢介紹，他曾請(qǐng)教過多位在各大 SRC 風(fēng)生水起的前輩，到底怎樣才能成為“漏洞之王”？幾位大牛的回復(fù)總結(jié)下來就是熟悉業(yè)務(wù)、細(xì)致到位、系統(tǒng)挖掘和出其不意。

熟悉業(yè)務(wù)，你就要明確目標(biāo)廠商主要是做什么的，業(yè)務(wù)會(huì)產(chǎn)生哪些數(shù)據(jù)，這些數(shù)據(jù)又分布在哪些應(yīng)用及對(duì)應(yīng)的功能里面，對(duì)應(yīng)的功能下 API 又是怎么調(diào)取數(shù)據(jù)的，這些都得弄清楚。

細(xì)致到位就是要細(xì)心了，對(duì)自己測(cè)試的每一個(gè)業(yè)務(wù)都必須做到嚴(yán)格仔細(xì)，特別是一些校驗(yàn)、授權(quán)等敏感接口。

系統(tǒng)化挖掘指的就是對(duì)目標(biāo)廠商的信息進(jìn)行全面收集，不僅局限于二級(jí)域名、三級(jí)域名，還要深入收集這些域名下的服務(wù)信息，如WEB服務(wù)、APP、微信公眾號(hào)、小程序等。

至于出其不意，就比較耐人尋味了，最初殘廢小哥還覺得這大牛的回答是不是有點(diǎn)兒敷衍？仔細(xì)思考之后，方覺其中自有深意。說到底，有一定經(jīng)驗(yàn)的白帽子，在純技術(shù)上不會(huì)相差太多，而此時(shí)決定你能不能挖到洞的，更多看的是思路上的東西。多看、多找、多進(jìn)行發(fā)散性思維，都直接影響你挖洞的數(shù)量和質(zhì)量。

殘廢小哥稱，挖洞千萬別只盯著核心資產(chǎn)，往往邊緣資產(chǎn)更容易出問題。眼光放大，你的可選范圍就比別人大了很多。很多新人往往會(huì)面臨這樣的問題，“挖洞我也會(huì)，可就是無從下手”。殘廢小哥列舉了四個(gè)大的方向，基本涵蓋了企業(yè)安全的每條必經(jīng)之路。

運(yùn)維安全：運(yùn)維是業(yè)務(wù)保障的基礎(chǔ)，這塊如果出問題，一般都是大問題。

業(yè)務(wù)安全：當(dāng)下羊毛黨、黃牛黨數(shù)不勝數(shù)，且業(yè)務(wù)往往涉及資金問題，廠商重視程度只高不低。

應(yīng)用安全：SQL 注入、XSS、越權(quán)漏洞等大家常見的漏洞類型。

內(nèi)部安全：簡(jiǎn)單來說可分為人員意識(shí)和辦公網(wǎng)絡(luò)，即從人和物質(zhì)兩方面來探討企業(yè)內(nèi)部安全。

至于四大板塊的細(xì)致講解，限于篇幅在此就不詳細(xì)展開了，大家可以去文末自行下載 PPT 進(jìn)行參閱。

最后，殘廢小哥再次強(qiáng)調(diào)了挖洞準(zhǔn)備工作的重要性，所謂工欲善其事必先利其器，完備的信息收集和深入了解目標(biāo)業(yè)務(wù)，往往可以做到事半功倍。

殘廢（從筆名就能看出一點(diǎn)端倪）的演講全程保持詼諧搞笑的風(fēng)格，講完99%的內(nèi)容，又以“三分靠命運(yùn)（努力？），七分天注定”作結(jié)，再次引起全場(chǎng)笑聲……

此外，F(xiàn)reeBuf 也收錄了很多國(guó)內(nèi)外高手的挖洞經(jīng)驗(yàn)，有興趣的小伙伴們可自行前往參閱，其中不乏腦洞大開然后挖洞成功的案例，希望對(duì)大家有所啟發(fā)。

USB Auto Hacking

上古時(shí)代，Windows 為了加強(qiáng)用戶體驗(yàn)，搞出了 autorun.inf 這么個(gè)東西（針對(duì) CD/DVD 等實(shí)現(xiàn)自動(dòng)播放）。對(duì)于 USB 設(shè)備來說，其根目錄下的 autorun 文件就負(fù)責(zé)自動(dòng)播放功能。后來，Vista 和 Windows 2008 分別屏蔽了該功能，autorun 時(shí)代早已離我們遠(yuǎn)去了。BadUSB 是什么東東？如今還有什么方法可以實(shí)現(xiàn) USB Auto Hacking 呢？且聽 WiFi 萬能鑰匙信息安全部經(jīng)理 Tiger 老師為我們一一道來。

所謂 BadUSB 是近年來計(jì)算機(jī)安全領(lǐng)域的持續(xù)升溫的話題之一，該漏洞由 Karsten Nohl 和 Jakob Lell 共同發(fā)現(xiàn)，早在 2014 年的 BlackHat 安全大會(huì)上就已經(jīng)公布了。BadUSB 攻擊屬于 HID 攻擊（Human  Interface Device，是計(jì)算機(jī)直接與人交互的設(shè)備，例如鍵盤、鼠標(biāo)等）的一種，通過將普通 U 盤通過改寫固件模擬成一個(gè)虛擬鍵盤，并模擬鍵盤輸入攻擊指令達(dá)成入侵目的。BadUSB 最可怕的一點(diǎn)是惡意代碼存在于 U 盤的固件中，由于 PC 上的殺毒軟件無法訪問到 U 盤存放固件的區(qū)域，因此也就意味著殺毒軟件和 U 盤格式化都無法應(yīng)對(duì) BadUSB 進(jìn)行攻擊。

Tiger 為我們分享了一個(gè)老外故意丟 U 盤進(jìn)行釣魚攻擊的實(shí)驗(yàn)，這位仁兄總共丟了 297 個(gè) U 盤，并發(fā)現(xiàn)總共有接近一半的人在撿到 U 盤后都會(huì)把它們插入自己的電腦！雖然這個(gè)比例不算低了，但通過丟 U 盤來實(shí)現(xiàn)攻擊，未免成本太高了點(diǎn)。

他還為我們介紹了幾類主流的 BadUSB，其中的佼佼者非 Teensy 和橡皮鴨（USB Rubber Ducky）莫屬。

Teensy

攻擊者在定制攻擊設(shè)備時(shí)，會(huì)向 USB 設(shè)備中植入一個(gè)攻擊芯片，此攻擊芯片是一個(gè)非常小而且功能完整的單片機(jī)開發(fā)系統(tǒng)，它的名字叫 Teensy。通過 Teensy 你可以模擬出一個(gè)鍵盤和鼠標(biāo)，當(dāng)你插入這個(gè)定制的 USB 設(shè)備時(shí)，電腦會(huì)識(shí)別為一個(gè)鍵盤，利用設(shè)備中的微處理器與存儲(chǔ)空間和編程進(jìn)去的攻擊代碼，就可以向主機(jī)發(fā)送控制命令，從而完全控制主機(jī)，無論自動(dòng)播放是否開啟，都可以成功。

橡皮鴨

USB Rubber Ducky 是最早的按鍵注入工具，通過嵌入式開發(fā)板實(shí)現(xiàn)，后來發(fā)展成為一個(gè)完全成熟的商業(yè)化按鍵注入攻擊平臺(tái)。它的原理同樣是將 USB 設(shè)備模擬成為鍵盤，讓電腦識(shí)別成為鍵盤，然后進(jìn)行腳本模擬按鍵進(jìn)行攻擊。

除此之外，Tiger 還為我們介紹了幾種較為先進(jìn)的 HID 攻擊利用方式和喪心病狂的 USB 毀滅者，后者只要接入 PC、手機(jī)、游戲機(jī)等設(shè)備，不超過 1 秒鐘，你的設(shè)備就完蛋了。不是系統(tǒng)被黑，而是物理上完蛋，240 V 的電壓可以直接燒毀設(shè)備的電子元件。

這些神奇的小玩意兒大多都可以在國(guó)外黑客交易論壇或者某寶上面買到。當(dāng)然，研究雖好，可不要貪玩哦~

從協(xié)議角度出發(fā)看企業(yè)攻防

前兩個(gè)精彩的議題為我們帶來了不少具體的姿勢(shì)和干貨，下面來自斗象科技 TCC（Tophant Competence Center）的研究員 Cody 要講的則是更多關(guān)于安全建設(shè)理念層面的內(nèi)容。

異常行為和攻擊事件發(fā)生時(shí)，能否被監(jiān)測(cè)捕獲？

捕獲異常產(chǎn)生的告警數(shù)據(jù)多且復(fù)雜，有效性未知，是否有意義？

當(dāng)需要針對(duì)行為和事件進(jìn)行分析取證時(shí)，數(shù)據(jù)從何而來，是否有足量全面的細(xì)節(jié)數(shù)據(jù)？

企業(yè)在面對(duì)當(dāng)前愈發(fā)嚴(yán)峻的安全挑戰(zhàn)時(shí)，碰到的問題會(huì)越來越多。TCC 針對(duì)這些問題與思考，提出了一些解決的路徑。Cody 提到，在企業(yè)安全監(jiān)控和安全運(yùn)營(yíng)的建設(shè)中，協(xié)議數(shù)據(jù)是基礎(chǔ)。針對(duì)大規(guī)模的協(xié)議數(shù)據(jù)，需要依靠多種手段進(jìn)行多維度的分析。而通過構(gòu)建行為鏈條和場(chǎng)景化，彌補(bǔ)單一行為特征或異常檢測(cè)的不確定性，則是提升企業(yè)安全攻防效率的重中之重。

以上企業(yè)安全監(jiān)控以及運(yùn)維的建設(shè)，大概分為三個(gè)部分，分別為數(shù)據(jù)收集、異常與攻擊檢測(cè)以及行為與事件分析。

眾所周知，企業(yè)內(nèi)網(wǎng)環(huán)境中，數(shù)據(jù)是基礎(chǔ)。不掌握大量流量數(shù)據(jù)，空談更深層的檢測(cè)沒有意義。目前量大主流數(shù)據(jù)收集方式分為全流量包捕獲和全流量會(huì)話數(shù)據(jù)。所有的攻擊行為都蘊(yùn)藏在流量之中，收集詳盡的流量數(shù)據(jù)就是為將來的檢測(cè)與分析進(jìn)行充分準(zhǔn)備。

全流量包捕獲：包含完整的全流量協(xié)議數(shù)據(jù)，數(shù)據(jù)量大，完整記錄網(wǎng)絡(luò)空間中的所有通信細(xì)節(jié)，通過對(duì)協(xié)議詳情的解析為異常行為事件的檢測(cè)分析提供完整的上下文，為后續(xù)的攻擊溯源和構(gòu)建場(chǎng)景提供數(shù)據(jù)支撐。 

全流量會(huì)話數(shù)據(jù)：源目設(shè)備之間通信的匯總與統(tǒng)計(jì)數(shù)據(jù)，數(shù)據(jù)量較小，通常以協(xié)議、源IP、源端口、目的IP、目的端口的五元組來記錄協(xié)議數(shù)據(jù)流，在基于異常的統(tǒng)計(jì)分析中提供流量記錄。

接下來要做的就是對(duì)數(shù)據(jù)進(jìn)行檢測(cè)與分析。除了傳統(tǒng)的 IDS 與 IPS 以外，最常見的兩種檢測(cè)分類分別為基于特征檢測(cè)和基于異常檢測(cè)。首先，我們要搞清楚何為“特征”和“異常”。如上圖所示，將攻擊事件每個(gè)階段的行為根據(jù)其特征或異常點(diǎn)進(jìn)行分類，以釣魚郵件為例，某企業(yè)員工打開郵件下載附件并執(zhí)行，惡意程序自動(dòng)連接遠(yuǎn)端 IP 地址或某域名，自動(dòng)下載DLL文件并覆蓋原文件，此時(shí)你的電腦就淪為一臺(tái) DDOS “肉雞”了。這一整個(gè)攻擊場(chǎng)景，其實(shí)可以細(xì)分為許多不同的行為，而其中有許多特征是值得我們?nèi)チ粢獾?。至于如何精確地去定義行為特征，Cody 引入了信標(biāo)的概念。

信標(biāo)：信標(biāo)就是描述異常的行為片段，可以是一個(gè)IP地址、一個(gè)域名、一個(gè)文件 MD5 值或一個(gè)載荷

如下圖所示，連接到一個(gè)已知的惡意 IP 地址，這也是一個(gè)信標(biāo)。當(dāng)我們把信標(biāo)定義為特征后，將其部署到網(wǎng)絡(luò)環(huán)境中。如果遭遇攻擊，系統(tǒng)會(huì)對(duì)其進(jìn)行檢測(cè)并捕獲信標(biāo)，即時(shí)將其檢測(cè)為異常行為或事件，此時(shí)我們便可將異常行為及事件組合梳理，形成攻擊鏈條，這就是所謂的場(chǎng)景化。

已知的惡意軟件 MD 5 信息、nmap 探測(cè)到的系統(tǒng)版本等，都可以用作信標(biāo)。

信標(biāo)具體化為特征之后，如何用不同的檢測(cè)手段部署到網(wǎng)絡(luò)中呢？Cody 主要為我們介紹了以下幾種方法。

Snort/Suricata或其它IDS規(guī)則：基于網(wǎng)絡(luò)層面上的特征規(guī)則檢測(cè)，信標(biāo)對(duì)應(yīng)規(guī)則。

Bro&Bro-script：利用事件驅(qū)動(dòng)型的Broscript對(duì)全包捕獲數(shù)據(jù)做基于協(xié)議事件的分析處理，信標(biāo)對(duì)應(yīng)自編寫的Bro腳本。  

統(tǒng)計(jì)學(xué)模型分析：以數(shù)學(xué)統(tǒng)計(jì)和概率論分析會(huì)話數(shù)據(jù)，信標(biāo)對(duì)應(yīng)統(tǒng)計(jì)模型。  

機(jī)器學(xué)習(xí)模型：通過機(jī)器學(xué)習(xí)算法習(xí)得的模型對(duì)特定種類的風(fēng)險(xiǎn)和威脅進(jìn)行分析，信標(biāo)對(duì)應(yīng)算法模型。 

隨后，Cody 以 DNS Tunnel 為例進(jìn)行了具體講解。

攻擊者注冊(cè)一個(gè)域名evil.me，將該域名的NS指向由自己控制的一臺(tái)具有公網(wǎng)IP的服務(wù)器。公網(wǎng)NS服務(wù)器上部署DNS隧道服務(wù)端，內(nèi)網(wǎng)機(jī)器部署DNS隧洞客戶端，二者通過DNS請(qǐng)求與響應(yīng)機(jī)制，建立通信信道。攻擊者竊取的敏感數(shù)據(jù)通過編碼加密到DNS請(qǐng)求域名中發(fā)送，域名解析請(qǐng)求到達(dá)攻擊者控制的NS，即可解密得到數(shù)據(jù)。

當(dāng)然，DNS Tunnel 攻擊也存在信標(biāo)，如奇形怪狀不規(guī)則的文件名等。

我們對(duì)網(wǎng)絡(luò)流量中的協(xié)議數(shù)據(jù)進(jìn)行分析，必然可以總結(jié)出各種不同類型的信標(biāo)。將信標(biāo)應(yīng)用到多種手段中進(jìn)行檢測(cè)，再將信標(biāo)轉(zhuǎn)化為特征，特征組合為行為，行為再融入到事件中，我們進(jìn)行分析檢測(cè)的場(chǎng)景就形成了。

用戶的不確定性導(dǎo)致的安全問題

今天的最后一個(gè)議題來自安洵信息黑洞實(shí)驗(yàn)室成員 WormFox，略顯羞澀的小伙子。

WormFox 以一個(gè)笑話開頭，兩個(gè)各持己見的人，把一個(gè)簡(jiǎn)單的問題聊的一整屏都裝不下（這可是電影院巨幕廳！）……從這個(gè)笑話我們不難看出，由于程序需要處理的用戶輸入內(nèi)容太多、用戶輸入存在不確定性、程序異常處理不完善等問題，當(dāng)面向未知的用戶群體時(shí)，在不能保證正確使用程序時(shí)安全風(fēng)險(xiǎn)產(chǎn)生的幾率會(huì)很高。

以最常見的 Web 程序?yàn)槔?，因過濾不嚴(yán)導(dǎo)致的安全漏洞數(shù)不勝數(shù)：

SQL 注入  

文件上傳  

命令注入  

跨站請(qǐng)求偽造

……

WormFox 以他經(jīng)歷的兩個(gè)項(xiàng)目為例，分別為我們介紹了一起 SQL 注入和一起文件上傳漏洞案例。

彩蛋時(shí)間

議題結(jié)束后，我們?nèi)ァ?

攀巖了！沒想到吧……

美麗的主持人小姐姐（其實(shí)重點(diǎn)是背景）。

來成都怎么少的了這些東西呢？加班寫稿這個(gè)點(diǎn)發(fā)出來，如果讓你感到不適……那就忍著。

還有這個(gè)。

演講 PPT 下載地址（暫缺 USB Auto Hacking 議題）：https://pan.baidu.com/s/1jHPYNuI 密碼：iw72