信息來源：安全內(nèi)參

前情回顧·聚焦Black Hat

• Black Hat 2021主要議題介紹

• Black Hat 2020亮點(diǎn)議題&技術(shù)觀察

• Black Hat 2018十大網(wǎng)絡(luò)安全熱點(diǎn)趨勢

一年一度的安全盛會黑帽大會（Black Hat）正在拉斯維加斯召開，本周大家都將把目光聚焦到炎熱的索諾蘭沙漠，關(guān)注會場上的技能培訓(xùn)、黑客演示、學(xué)術(shù)演講及令人眼前一亮的最新安全產(chǎn)品。

第25屆黑帽大會正在美國時間8月6日至11日舉行，其中主峰會將在10日（今天晚上）開始。今年的大會將組織超過80場演講，主題涉及硬件/固件黑客攻擊、零日惡意軟件發(fā)現(xiàn)，以及重量級APT前沿研究等廣泛領(lǐng)域。

本文為大家篩選出本屆黑帽美國大會上最值得關(guān)注的10場演講。下面，就讓我們一窺這些即將登上新聞頭條的重要專題：

RollBack：針對汽車無鑰匙系統(tǒng)

與時間無關(guān)的新型重放攻擊

演講人：新加坡大學(xué)與NCS Group的研究人員

汽車遠(yuǎn)程無鑰匙進(jìn)入（RKE）系統(tǒng)采用的是一次性滾動代碼，意味著我們每次按下遙控鑰匙所發(fā)射出的指令都獨(dú)一無二，能夠有效防止簡單的重放攻擊。然而，事實證明RollJam可以破壞一切基于滾動代碼的系統(tǒng)。

通過精心設(shè)計的信號干擾、捕捉與重放序列，攻擊者能夠預(yù)測出尚未被實際使用的后續(xù)有效解鎖信號。而RollJam唯一的缺陷就是需要始終保持“待機(jī)”，直至被實際使用。否則，只要合法車主在RollJam監(jiān)視之外使用過遙控鑰匙，它之前捕捉的信號就將失效。

本次演講提到的RollBack，是一種針對當(dāng)前大多數(shù)無鑰匙進(jìn)入系統(tǒng)的新型重放與重新同步攻擊方法。研究人員發(fā)現(xiàn)，即使?jié)L動代碼系統(tǒng)中的一次性代碼已經(jīng)用完失效，也仍有辦法利用并重放之前捕捉到的信號，用以觸發(fā)無鑰匙系統(tǒng)中類似于回滾的機(jī)制。換句話說，滾動代碼可以被重新同步為繼續(xù)使用先前代碼，這樣已知被使用過的后續(xù)信號也將再次正常生效。另外，受害者的正常使用感受不受任何影響，所以察覺不出攻擊前后會有任何差異。

為何值得關(guān)注？根據(jù)之前的相關(guān)報道，這些針對現(xiàn)代汽車的實際攻擊已經(jīng)出現(xiàn)，相關(guān)研究將幫助我們在受到廣泛沖擊之前，盡早發(fā)現(xiàn)并修復(fù)這類問題。

Industroyer2：Sandworm團(tuán)伙發(fā)起

網(wǎng)絡(luò)戰(zhàn)再次針對烏克蘭電網(wǎng)

演講人：ESET公司，Robert Lipvsky與Anton Cherepanov

Industroyer是目前公開領(lǐng)域唯一真正引發(fā)電力中斷的惡意軟件。作為它的后繼者，新版本Industroyer2在本次俄烏戰(zhàn)爭期間被部署使用。與2016年初的Industroyer一樣，2代版本的目標(biāo)也是通過網(wǎng)絡(luò)攻擊引發(fā)大規(guī)模停電。這次的組件設(shè)計威脅更大、影響范圍超過200萬人，也讓恢復(fù)變得愈發(fā)困難。研究人員們認(rèn)為，該惡意軟件的作者與攻擊策劃者正是臭名昭著的Sandworm APT團(tuán)伙。美國司法部將該團(tuán)伙歸因為俄羅斯情報機(jī)構(gòu)GRU。

本演講涉及大量技術(shù)細(xì)節(jié)：對Industroyer2的逆向工程，以及2代與原始版本間的比較。Industroyer的獨(dú)特之處，在于它能夠使用專用工業(yè)協(xié)議和變電站工業(yè)控制系統(tǒng)硬件（斷路器與保護(hù)繼電器）進(jìn)行通信。Industroyer中包含四種協(xié)議實現(xiàn)，而Industroyer2只保留一種協(xié)議：IEC-104。

期待這場演講能對攻擊方的作案過程展開更加宏觀的分析，并討論攻擊為何大多未能成功。Industroyer最令人費(fèi)解的一點(diǎn)，就是極高的復(fù)雜性與非常一般的攻擊實效間的倒錯：夜間連續(xù)停電一小時，絕對不是這樣一種強(qiáng)大惡意軟件所能達(dá)成的破壞力極限。而Industroyer2甚至還沒達(dá)到初版的攻擊效果。

為何值得關(guān)注？演講點(diǎn)明了此前曾使用高破壞性惡意軟件工具的頂級惡意黑客?？紤]到這些惡意攻擊引發(fā)的重大地緣政治影響，任何最新披露都應(yīng)受到密切關(guān)注。

怎么感覺有點(diǎn)眼熟：

揭示商業(yè)產(chǎn)品中的被盜算法

演講人：約翰霍普金斯大學(xué)，Patrick Wardle、Objective-See與Tom McGuire

在本次演講中，研究人員將討論影響整個網(wǎng)絡(luò)安全社區(qū)的一大系統(tǒng)性難題：由企業(yè)實體實施的算法盜竊與未授權(quán)使用行為。而且不只是普通企業(yè)，很多網(wǎng)絡(luò)安全組織本身也在“知法犯法”。

首先，研究人員將介紹各種能夠自動識別出商業(yè)產(chǎn)品中未授權(quán)代碼的搜索技術(shù)。之后，演講還將展示如何通過逆向工程與二進(jìn)制比較技術(shù)，對這些發(fā)現(xiàn)做出嚴(yán)格證明。

接下來，研究人員將結(jié)合實際安全討論這些方法的實際應(yīng)用。作者將以來自非營利組織的一款流行工具為例，該工具已經(jīng)被多個實體進(jìn)行過逆向工程，相關(guān)核心算法在未經(jīng)授權(quán)的情況下被還原并應(yīng)用在多種商業(yè)產(chǎn)品當(dāng)中。

為何值得關(guān)注？這場演講將提供可供借鑒的要點(diǎn)、建議和戰(zhàn)略方針，幫助受害者應(yīng)對故意盜用算法的商業(yè)實體（及其法律團(tuán)隊）。有了這些理論作為指導(dǎo)，相信廠商會以更加務(wù)實誠懇的態(tài)度對待安全社區(qū)。

誰來監(jiān)管間諜軟件廠商：

深挖2021年Android利用鏈漏洞

演講人：谷歌安全工程團(tuán)隊

過去12個月來，谷歌威脅分析小組（TAG）及Android安全團(tuán)隊已經(jīng)發(fā)現(xiàn)并分析了來自監(jiān)控提供商的多個1day/0day漏洞。

這場演講主要分享關(guān)于CVE-2021-0920漏洞的技術(shù)細(xì)節(jié)。這是一個在野0day Linux內(nèi)核垃圾收集漏洞，雖然知名度不高，但也因此更顯得復(fù)雜而神秘。

演講將探討利用到CVE-2021-0920漏洞的監(jiān)控服務(wù)提供商，將多個Android 0day/1day漏洞利用樣本與該提供商聯(lián)系起來。這家提供商曾嘗試向Google Play軟件商店提交惡意應(yīng)用程序，并率先利用Bad Binder漏洞。

通過分析提供商的漏洞利用行為，研究人員發(fā)現(xiàn)了一條針對Android設(shè)備的完整鏈條。這條漏洞利用鏈憑借CVE-2020-16040和CVE-2021-38000等1day漏洞，以及CVE-2021-0920 0day漏洞，通過瀏覽器對Android設(shè)備進(jìn)行遠(yuǎn)程root。

為何值得關(guān)注？隨著NSO Group、Candiru和Cytrox等公司先后登上全球新聞頭條，私營商業(yè)間諜軟件提供商已經(jīng)卷入危險的監(jiān)控渦流當(dāng)中。此番谷歌研究團(tuán)隊帶來的監(jiān)視行業(yè)秘辛，相信能成就一場看點(diǎn)滿滿的火爆演講。

劍指Titan M：

現(xiàn)代安全芯片的漏洞研究

演講人：Quarkslab，Damiano Melotti和Maxime Rossi Bellom

Titan M芯片是由谷歌在自家Pixel 3智能手機(jī)上發(fā)布的處理器。在之前的研究中，技術(shù)人員已經(jīng)分析了這款芯片，并展示了其內(nèi)部結(jié)構(gòu)與保護(hù)措施。以此為背景，本次新演講將主要關(guān)注如何在信息有限的情況下，立足特定目標(biāo)開展軟件漏洞研究。

演講將深入研究黑盒模糊器的工作原理及相關(guān)限制，并展示基于仿真的解決方案如何超越純硬件方案的限制。通過將覆蓋引導(dǎo)的模糊器（AFL++）、仿真器（Unicorn）和針對目標(biāo)的特定優(yōu)化結(jié)合起來，研究人員成功發(fā)現(xiàn)了一個有趣的漏洞。該漏洞只允許將單個字節(jié)設(shè)置為1，在偏移量方面也有著諸多限制。盡管看似難以利用，但研究人員還是設(shè)法借此實現(xiàn)了代碼執(zhí)行，并暴露出芯片安全模塊中隱藏的秘密。

為何值得關(guān)注？Quarkslab移動安全研究團(tuán)隊堪稱全球最強(qiáng)團(tuán)隊之一，他們在演講中展示的Pixel RCE相信會引爆全場。

美國網(wǎng)絡(luò)安全審查委員會：

研究事件，推動系統(tǒng)性變革

演講人：美國國土安全部副部長、網(wǎng)絡(luò)安全審查委員會主席，Rob Silvers

有史以來第一個網(wǎng)絡(luò)安全審查委員會（CSRB）項目，關(guān)注的是影響范圍極廣的Log4j漏洞危機(jī)。他們將確定哪些差距會持續(xù)存在，并為組織提供可操作建議，盡量避免今后出現(xiàn)類似的0day爆雷。

本次來自審查委員會的演講將由Rob Silvers（國土安全部負(fù)責(zé)政策的副部長，兼網(wǎng)絡(luò)安全審查委員會主席）和Heather Adkins（谷歌安全工程副總裁，兼委員會副主席）帶來，著重討論Log4j漏洞審查、委員會的主要調(diào)查結(jié)果，以及行業(yè)和政府應(yīng)如何實施這些建議。

為何值得關(guān)注？網(wǎng)絡(luò)安全審查委員會是個相當(dāng)獨(dú)特的項目，也很高興能看到網(wǎng)絡(luò)安全界的領(lǐng)導(dǎo)者們分享如何通過委員會推動網(wǎng)絡(luò)安全的轉(zhuǎn)型變革。委員會的首批建議已經(jīng)在業(yè)內(nèi)公布，后續(xù)還有更多爭議事務(wù)有待解決。

“天降橫禍”：

APT可能捏造證據(jù)將你投入監(jiān)獄

演講人：SentinelLabs，Juan Andres Guerrero-Saade與Tom Hegel

國家支持的網(wǎng)絡(luò)威脅指向的可不只是物，也有可能是人。雖然我們已經(jīng)習(xí)慣將這類攻擊行為跟間諜活動、知識產(chǎn)權(quán)盜竊或者經(jīng)濟(jì)利益聯(lián)系起來，但其中還有另一類更加隱蔽的動機(jī)——由APT組織捏造證據(jù)，通過陷害將目標(biāo)投入監(jiān)獄。

本次演講的案例來自ModeifiedElephant。ModifiedElephant惡意團(tuán)伙與商業(yè)監(jiān)控行業(yè)間已經(jīng)至少勾連了十年。演講將通過取證報告討論該團(tuán)伙如何植入證據(jù)，導(dǎo)致眾多社會活動家被定罪并關(guān)押至今。除此之外，演講還將展示各地區(qū)的惡意黑客如何在受害者入獄之后，繼續(xù)對他們開展追蹤。這一系列行為，讓我們意識到政府有可能濫用技術(shù)以壓制持政治異見者們的聲音。這是個向來被嚴(yán)重低估的問題，希望本次演講能促使威脅研究人員盡快行動起來。

為何值得關(guān)注？黑客“傭兵”行業(yè)跟國家支持威脅團(tuán)伙的融合，正在惡意軟件領(lǐng)域掀起新的浪潮，而且已經(jīng)開始對公民社會產(chǎn)生現(xiàn)實影響。

谷歌重新構(gòu)想了一部手機(jī)

作為紅隊，我們將全力護(hù)它安全

演講人：谷歌紅隊研究人員

盡管市面上的手機(jī)廠商著實不少，但大多數(shù)Android設(shè)備能夠選擇的SoC提供商就只有那么幾家。谷歌決定用Pixel 6打破這種模式。從安全角度來看，這意味著多年的測試與代碼使用的保障已成為過去式，而是從源頭建立一個新的高價值設(shè)備固件堆棧，將隱患消滅在搖籃當(dāng)中。

本次演講將討論谷歌如何在重新構(gòu)想的Pixel 6發(fā)布前，對這款手機(jī)產(chǎn)品加以保護(hù)，而且重點(diǎn)關(guān)注Android紅隊的觀點(diǎn)。該團(tuán)隊將演示如何使用模糊測試、黑盒仿真器、靜態(tài)分析和手動代碼審查等方法，發(fā)現(xiàn)關(guān)鍵組件中的高權(quán)限代碼執(zhí)行隱患。例如，該團(tuán)隊將公布Titan M2芯片上的首個端到端概念證明，并介紹能夠繞過硬件密鑰證明的完全持久Android啟動加載器（ABL）。

為何值得關(guān)注：像谷歌這樣的科技巨頭其實很少派出紅隊親自下場，向大家介紹漏洞與安全缺陷。在本場演講中，Android紅隊將帶來多個安全關(guān)鍵演示，講解紅隊在產(chǎn)品發(fā)布周期中的重要價值。

由瀏覽器驅(qū)動的Desync攻擊：

HTTP請求走私攻擊的新前沿

演講人：PortSwigger公司，James Kettle

近來，HTTP請求走私攻擊快速興起并引發(fā)一系列嚴(yán)重后果，導(dǎo)致許多主要網(wǎng)站幾乎被徹底攻陷。但之前，威脅范圍還僅限于攻擊者通過反向代理前端所能訪問到的系統(tǒng)……而現(xiàn)在，情況已經(jīng)進(jìn)一步惡化。

本場演講將向大家展示如何將受害者的網(wǎng)絡(luò)瀏覽器變成desync交付平臺，以暴露單服務(wù)器網(wǎng)站和內(nèi)部網(wǎng)絡(luò)的方式轉(zhuǎn)移請求走私的邊界。觀眾將學(xué)會如何將跨域請求與服務(wù)器缺陷結(jié)合起來，借此污染瀏覽器連接池、安裝后門并釋放desync蠕蟲。利用這些技術(shù)，即可破壞包括Apache、Akamai、Varnish、Amazon及多種Web VPN等目標(biāo)。

為何值得關(guān)注？HTTP請求走私攻擊是一種常見的黑客技術(shù)，已經(jīng)導(dǎo)致Web App的安全風(fēng)險顯著提升。James Kettle和PortSwigger的同事們一直走在相關(guān)研究領(lǐng)域的前沿，通過各類課程和演示向大家普及HTTP請求走私的危害。

RCE即服務(wù)：從過去五年的

真實CI/CD管道違規(guī)中吸取教訓(xùn)

演講人：NCC Group，Iain Smart與Viktor Gazdag

過去五年來，兩位研究人員在測試過的幾乎每家企業(yè)的生產(chǎn)CI/CD管道中，都見證過無數(shù)次供應(yīng)鏈攻擊。無論是小型公司，還是不同細(xì)分市場及垂直行業(yè)的財富五百強(qiáng)企業(yè)，都曾先后幾十次淪為攻擊活動的受害者。

本場演講將向大家解釋，為什么說CI/CD管道已經(jīng)成為軟件供應(yīng)鏈中最危險的潛在攻擊面。為此，研究人員將討論目前最常用的技術(shù)類型、相關(guān)使用方式，以及它們?yōu)槭裁磿蔀槠髽I(yè)整體基礎(chǔ)設(shè)施中權(quán)限最高、價值最大的目標(biāo)。之后，演講將分享在自動化管道中濫用預(yù)期功能的特定示例（附帶演示），介紹如何將構(gòu)建管道從簡單的開發(fā)者實用程序轉(zhuǎn)化成遠(yuǎn)程代碼執(zhí)行（RCE）即服務(wù)。

為何值得關(guān)注？軟件供應(yīng)鏈安全已經(jīng)成為當(dāng)下的熱門議題。對CI/CD管道攻擊面的研究，也無疑值得大家給予最高級別的關(guān)注。

參考資料：securityweek.com