BlackHat USA 2016 議題分析

來源鏈接：http://riusksk.me/2016/09/25/BlackHat-USA-2016-議題分析/

作者：riusksk（泉哥）

主頁：http://riusksk.me

本文已發表于2016年9月CSDN的《程序員》雜志，轉載請注明出處。

大會概述

BlackHat USA 是世界上最著名的黑客大會BlackHat的主場，規模遠超亞洲、歐洲等分會，今年大約有15000人參會，依然在美國拉斯維加斯舉辦。

大會全程共6天，包括 Training 培訓、Keynote 議題分享、Arsenal 工具展示以及素有”黑客奧斯卡“之稱的 Pwnie Awards 頒獎。

今年有上百個議題入選，涉及的安全領域也是相當廣泛全面，包括移動安全、物聯網、軟件安全、加密、工控、企業安全、Web安全、逆向工程、惡意軟件等等，整體上跟往年的議題類型差不多。

每年的BlackHat USA都代表著一個安全技術發展的”風向標“，在這可以看到全球頂端安全研究人員的研究成果，以及業界安全發展趨勢。不少政府人員，比如FBI經常會出現在會場，以前也有FBI在現場帶走一些有犯罪記錄的人員，或者禁止涉及過于敏感內容的演講，但一般是在BlackHat的兄弟會議Defcon上下手，比如曾經某黑客在Defcon演講完后，在回旅館的路上被抓了，還有之前MIT學生破解波士頓地鐵免費乘坐地鐵的演講也被禁止掉。

精彩議題分析

筆者針對BlackHat官網上公布的各個議題pdf篩選了一遍，挑選出一些大家可能感興趣，或者技術新穎有興趣的議題作簡要介紹和點評。

1、《Using EMET to Disable EMET》——繞過微軟EMET防護工具實現軟件漏洞利用的方法

圖1：禁用EMET前后LoadLibraryA函數入口代碼的對比情況

該議題來自國外著名安全公司FireEye的分享，是一家專門為企業提供安全防護產品的公司，該公司曾發現許多0Day漏洞以及APT攻擊事件。

【內容簡介】

Microsoft’s Enhanced Mitigation Experience Toolkit (EMET)是一款針對用戶程序的內存防護工具，可以提高軟件的漏洞利用難度。

FireEye安全研究人員介紹了一種新型的禁用EMET技術，同時舉例了一些以前針對EMET的攻擊方式。他們介紹的新型繞過技術主要是利用ROP技術找到DLLMain函數入口，然后實現以下代碼的調用：

BOOL WINAPI DllMain (GetModuleHandleA("EMET.dll") , DLL_PROCESS_DETACH , NULL);

EMET主要通過向保護的用戶進程注入emet.dll或者emet64.dll，同時因為GetModuleHandleA 未被Hook，所以使用以上方法去卸載EMET.dll中的各種API Hook，雖然這不會將EMET從內存中移除，但已經足夠禁用它的所有防護功能。

【點評】

在著名的黑客賽事Pwn2Own中，微軟要求必須繞過EMET和沙盒保護攻下64位IE瀏覽器才算成功，因此繞過EMET成了攻破IE的必經之路。

不過，由于EMET并非默認在系統上開啟的，需要用戶自行安裝，因此實際上使用EMET來保護系統軟件的用戶并不會太多，甚至包括一些安全人員也很少使用它，在諸多實際攻擊案例中，大多不用繞過EMET就可以攻下系統。

2、《Exploiting Curiosity and Context》——針對陌生鏈接點擊情況的安全調查報告

該議題來自德國薩爾州大學和埃爾朗根-紐倫堡大學安全研究人員的分享。

【內容簡介】

這是一份安全調查報告，關于點擊陌生鏈接的調查情況，作者通過郵件與Facebook兩種途徑進行調查分析，專門構造特定的消息內容，或者鏈接中包含對方id等各種方式來引起點擊者的好奇，最后統計出點擊占比，以及引導用戶點擊的各種主要影響因素。

【點評】

很多漏洞或者病毒都是通過鏈接、郵件等方式進行惡意傳播，通過郵件利用漏洞進行攻擊是當前APT攻擊事件中最常用的手段，因此提高安全意識，不要隨意打開陌生鏈接、郵件附件是相當有必要的。當然反之，這份報告對于黑產人士也是有一種借鑒作用，如何構造出能夠引起目標用戶的興趣和好奇，增加點擊成功率也是一個參考方向。

從報告中可以看出，一些社交平臺如Facebook，這種比郵件交互性更大的網絡平臺，更容易引起用戶的點擊，而且一些點名道性的鏈接內容，或者一些能引起用戶興趣的內容，也更容易誘使用戶點擊。

3、《DOES DROPPING USB DRIVES REALLY WORK?》——U盤社工調查報告

圖3：U盤社工調查的統計結論

該議題來自Google的Elie Bursztein研究員，主要從事反欺詐工作。

【內容簡介】

該議題主要是基于社工技術的一份安全調查，使用類似以前”BadUSB“技術，基于Teensy（俗稱”橡皮鴨“）編寫模擬輸入功能的U盤，能夠回連后門的惡意功能，支持Windows、Linux和OSX等多系統平臺。

每個U盤成本大約$40美元，假裝丟在各個不同的地方，共放了297個，成本$11880美元（￥78792人民幣），投入成本也是很大。

最后的調查結果是：至少48%的人打開U盤執行了惡意程序。

【點評】

一份挺有趣的安全調查報告，安全技術要求不高，主要注重于動手實踐能力，自己動手制作297個U盤也是需要一定耐心和時間的，同時花近8萬塊的成本，也是頗舍得投入的。

4、《Subverting Apple Graphics Practical Approaches To Remotely Gaining Root》——Pwn2Own 2016 OSX項目所用漏洞的利用分析

來自騰訊科恩實驗室的分享，之前通過挖掘到的OSX漏洞贏得Pwn2Own 2016的OSX項目，并在該議題里面作了詳細的技術分享。

【內容簡介】

從用戶層和內核層的角度分析Apple Graphics圖像處理系統的攻擊面并結合漏洞實例進行分析。

用戶層攻擊面分析中，以Windows Server為例介紹了一些漏洞實例，比如CVE-2014-1314的API _XCreateSession 涉及敏感動作setuid，而沒有對用戶傳遞的路徑參數進行嚴格校驗，導致setuid可以越權逃逸沙盒，最后蘋果以拒絕所有沙盒進程調用_XCreateSession 來修復此漏洞。同時也列舉了一些其它API接口存在漏洞，比如_XSetMessageFile、_XSetGlobalForceConfig等等，后面又詳細介紹了CVE-2016-1804 UAF漏洞的利用。

內核層攻擊面分析中，主要介紹蘋果圖表驅動接口IOAccelSurface的漏洞，也就是此前他們在Pwn2Own上用于攻破OSX內核的漏洞，分享了漏洞利用技巧，包括ROP繞過SMEP/SMAP/SIP、利用信息泄露繞過kASLR等等。

【點評】

一份頗有干貨的議題，此前他們在CanSecWest黑客大會上分享過關于Apple Graphics 內核驅動漏洞挖掘的議題《Don’t Trust Your Eye- Apple Graphics Is Compromised》，而此次的議題主要是分享Pwn2Own上的漏洞分析與利用，側重點不同，推薦一閱。

5、《CANSPY：A Platform for Auditing CAN Device》——汽車CAN設備安全審計工具

圖5：CANSPY硬件

來自Airbus空中客車公司（歐洲一家民航飛機制造公司）的安全研究員作的分享。

【內容簡介】

關于汽車CAN（Controller Area Network,控制器局域網絡）安全的議題，作者發布的CANSPY是一款硬件設備，支持CAN數據偽造攻擊、中間人攻擊等手段，固件相關代碼已在github上開源。

【點評】

這幾年的汽車安全議題開始逐漸火起來了，關注CAN/ODB安全的人越來越多，一些工具也逐漸有安全研究人員開源出來，這都是一些不錯的學習資料。筆者在些推薦一本關于汽車安全的電子書《Car Hacker’s Manual》，有興趣的讀者可以閱讀下。 這個議題涉及的技術細節較少，這是不足的一點，但關于工具CANSPY可以關注下。

6、《Viral Video : exploiting SSRF in video converters》—— 視頻轉換工具的SSRF漏洞分析與利用

圖6：ffmpeg SSRF漏洞利用示例

來自俄羅斯 Mail.RU 公司的兩名安全研究員分享的議題

【內容簡介】

總結了之前出現的FFmpeg視頻轉換時出現的SSRF漏洞，可讀取服務器上的任意文件，比如/etc/passwd被用于攻破很多大公司的服務器，在很多漏洞平臺上被刷爆了。

【點評】

只是對過去出現的歷史漏洞的總結，但這個漏洞也是相當經典，影響甚廣，所以這里列出來提下，并沒有其它新內容。

7、《Advanced Cross-Site Search Attacks》——跨站搜索攻擊技術

圖7：XS-Search技術示例

來自Cyberpion公司，以色列巴伊蘭大學博士的安全研究員分享的議題。

【內容簡介】

Cross-Site Search (XS-search) Attack，跨站搜索攻擊，通過向目標站點發送搜索請求，從而探測到用戶的敏感信息，因為受害者的瀏覽器通常包含一些涉及隱私信息的服務授權（比如Gmail）。

雖然攻擊者因為”同源策略“無法直接獲取到響應數據，但可以測量響應時間，根據響應時間的差異來判斷隱私信息的準確性。

【點評】

一種新型的Web攻擊方式，基于時間差異和服務搜索功能來獲取用戶隱私信息，更像是一種邊信道攻擊。雖然思路很好，但在實戰應用過程中，可能就比較受限，而且只有捕獲或可搜索信息量夠大時，才比較有實際價值的信息獲取，同時也基于搜索關鍵詞的健全性，有它的局限性所在。

8、《Web Application Firewalls: Attacking detection logic mechanisms》——基于正則缺陷繞過WAF

圖8：繞過Edge瀏覽器的XSS過濾器

來自Positive安全公司的技術分享。

【內容簡介】

針對主流的開源WAF（比如OWASP CRS、ModSecurity、Comodo WAF、PHPIDS、QuickDefense、Libinjection)中的正則表達式進行邏輯測試，主要偏重于正則上的缺陷進行WAF繞過。

【點評】

WAF不是萬能的，被繞過也是正常的，市面上的各處WAF也都基本被繞過，但通過它可以大大地提高攻擊成本，還是可以阻斷一部分黑客的。 該議題偏重于WAF正則問題，更系統化的WAF繞過技術總結，推薦PHDays黑客大會上的《Web Application Firewall Bypassing》議題。

9、《Pwning Your Java Messaging With Deserialization Vulnerabilities》——JMS反序列化漏洞分析與利用

圖9：挖掘到的Java反序列化漏洞修復情況

來自Code White安全公司的分享議題。

【內容簡介】

關于Java反序列化漏洞的相關技術分享，介紹Java Message Service（JMS）存在的攻擊面，利用ObjectMessage消息類型中包含的序列化對象，經getObject函數處理時，如不正當使用，可能會反序列化用戶傳遞的任意對象，就可能造成反序列化漏洞。然后作者通過分析很多主流的Java應用服務發現了不少漏洞。最后，作者分享一款Java消息反序列化漏洞的利用工具JMET（Java Message Exploitation Tool），并且已在GitHub上開源。

【點評】

現在BlackHat上關于Web的議題已經越來越少，有干貨的Web安全議題更是少之又少，該議題還是不錯的Web議題，而且有實際的漏洞產出，思路值得借鑒和延伸。

10、《The Art of Defense：How vulnerabilities help shape security features and mitigations in Android》——Google通過Android漏洞制定的通用防御策略介紹

圖10：Android主要的安全防御機制

來自 Google Android 平臺安全團隊的負責人 Nick Kralevich 針對 Android 的防御機制所做的技術分享

【內容簡介】

列舉了當前Android平臺主要的安全機制，并以多個經典的Android漏洞（PingPong、Stagefright等等）為例，分析其中的一些攻防思路，如何根據報告的漏洞舉一反三，以解決同一類問題是防御的關鍵。

【點評】

企業內部在做業務安全時，單純修復外部報告的漏洞本身，是遠遠不夠的。Google做了很好的示范，應該舉一反三，思考如何去解決各個業務中同類問題。這種思路無論在軟件系統，還是Web上，都是通用的。外部報告一個漏洞，如何提高自身安全系統的檢測能力去批量發現同類漏洞？如何提高自身系統的防御能力去增加攻擊成本？

11、《$hell on Earth: From Browser to System Compromise》——Pwn2Own 2016 各項目漏洞原理與利用

圖11：騰訊科恩實驗室的OSX項目（從safari到內核提權）的演示demo

來自趨勢科技 Zero Day Initiative 的安全研究員針對Pwn2Own 2016 黑客大賽上各種被攻破的項目做的技術分享。

【內容簡介】

對Pwn2Own 2016黑客大賽上的每個攻破項目所涉及的漏洞原理、利用技巧進行簡要地分析，并提供demo演示。

漏洞包括騰訊科恩發現的Safari漏洞到內核提權漏洞、Flash到系統提權漏洞、Edge到系統提權的漏洞，韓國神童Lokihardt發現的Safari漏洞到內核提權漏洞、Edge到系統提權漏洞，360發現的Chrome到內核提權的漏洞、Flash到系統提權漏洞。

【點評】

標題已經足夠牛逼，但每個漏洞也就簡短的幾頁精要地介紹下，其實涉及的內容還是蠻多的，要是擴展出來細說，可以說的技術內容就太多了。

其實每個攻破的項目都可以作為一個BlackHat議題拿來講的，現在被ZDI的人一次性講完，各個團隊可能也不太方便再拿出來講了。

12、《The Art of Reverse Engineering Flash Exploits》——Flash Exploit樣本的逆向分析方法

圖12：議題中分析的flash樣本列表

來自微軟安全研究人員Jeong Wook Oh的技術分享。

【內容簡介】

介紹了多個不錯的Flash分析工具，并挑選幾個經典的Flash漏洞案例以及利用技術（比如Vector長度和ByteArray長度篡改、JIT攻擊、繞過CFG的技術）進行分析。

【點評】

一個不錯的議題，對過去近一年的經典Flash漏洞利用樣本進行逆向分析，介紹了當前流行的主流Flash漏洞利用技術，上面的截圖已經詳細地列出各個漏洞所使用的利用技術，是對過去Flash漏洞利用技術很好的總結，推薦閱讀。

13、《The Year In Flash》—— Google Project Zero對過去一年多的Flash漏洞成因和發展趨勢的分析

圖13：近一年多的Flash漏洞時間軸

來自 Google Project Zero 的一位女安全研究員Natalie Silvanovich所做的分享。

【內容簡介】

主要也是對過去一年多的Flash漏洞以及Adobe針對Flash增加的內存安全保護機制進行分析，相對上一個Flash議題的不同，它更多地分析漏洞成因，以及一些安全事件，并對未來Flash漏洞的發展進行預測。

每個階段經常出現同一類型的Flash漏洞，比如Flash解析其它多媒體文件（比如MP4）、或者圖片文件，也對每個Flash漏洞挖掘方式進行推測，絕大部分是Fuzzing出來的。

【點評】

對過去一年多Flash漏洞進行總結，其中可以看到一些Flash漏洞挖掘的趨勢，單純Fuzzing SWF文件基本已經很難發現漏洞，復合文件的Fuzzing是趨勢，比如SWF+MP4、SWF+JPG等等，還有AS3漏洞等。

上述趨勢以及最后作者的總結，都可以作為漏洞挖掘者嘗試的Fuzzing方向，不過現在各大瀏覽器已經開始禁用Flash，相信未來會逐步被Html5所代替，但餓死的駱駝比馬大，其短期內還是會繼續受漏洞影響的。

14、《Pangu 9 Internals》——盤古越獄團隊針對iOS9越獄技術原理的剖析

圖14：iOS內核攻擊面

來自盤古越獄團隊針對iOS 9越獄技術的分享議題。

【內容簡介】

講解通過XPC調用服務com.apple.PersistentURLTranslator.Gatekeeper實現跨目錄讀寫任意文件，最后再從任意文件讀寫轉換成代碼執行，然后再介紹在iOS9越獄中使用到的內核漏洞。

【點評】

筆者對iOS越獄技術研究相對較少，技術內容就不點評了，但只需要知道一點，會寫iOS越獄程序的都很牛逼。

安全發展趨勢

從所有BlackHat議題中可以發現當前業界的安全關注點，以及未來安全發展趨勢的風向。筆者對所有議題內容過了一遍，對于安全發展趨勢，總結出以下3點供大家參考：

1、機器學習在安全領域的運用會逐漸增加

目前在一些漏洞檢測、入侵檢測系統，惡意軟件分類和僵尸網絡流量識別領域已經使用到機器學習。Defcon CTF大賽現場也有一支機器人隊伍，全自動化挖洞補洞，并戰勝兩個人類隊伍（能進入Defcon決賽也不會太差），從這些都可以看到機器學習在未來運用到安全領域將來越來越多。

2、Flash漏洞的利用難度再不斷上升，但仍可能被攻破，同時未來Flash可能退出歷史舞臺

目前一些主流瀏覽器，比如Chrome、Firefox已經開始禁用Flash，開始用Html5代替。再加上Adobe針對Flash增加的一些安全防御機制，大大增加了漏洞攻擊成本，提高了漏洞利用難度，但還是有可能被攻破的。

3、物聯網安全與云安全依然倍受關注

最近兩年各大安全大會上，一般都會有關于物聯網安全與云虛擬化安全的相關議題，本次BlackHat也不例外。各種智能設備目前仍處于起步階段，很多還不夠成熟，但隨著未來發展，在普通民眾普及開來后，安全的影響面就更大了。云安全更多是一些互聯網廠商當前需要解決的，攻防之戰已經展開了，在云上被經常使用的虛擬化軟件VM、QEMU、XEN的漏洞也會被經常曝光，主要用于逃逸虛擬機。

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/55/