在過去的十五年間,微軟安全應急響應中心(MSRC)在微軟北美總部和以色列舉辦了多屆 BlueHat 安全大會。2019年5月29-30日,BlueHat 安全大會在上海召開,其目的是希望可以為中國的安全專家和白帽子帶來最精彩和最前沿的技術干貨以及創造一個有趣的技術交流環境。此次 BlueHat 安全大會主要是面向中國以及亞太地區的白帽子、安全工程師和安全從業者,是一個專注于漏洞挖掘、響應與防護的安全大會。
5月29日
Welcome to BlueHat Shanghai
演講嘉賓:Eric Doerr@Microsoft Security Response Center
2019 年,中國的安全研究員是微軟漏洞賞金計劃中成果最多,影響力最大的貢獻者。來自中國的安全研究人員和合作公司已經證明了自己的技術實力,幫助我們一起在 2019 年保護廣大的用戶和整個安全生態圈。MSRC對安全的投入歷史悠久,且在新版 Windows 中獲得了回報。微軟的未來將更加數字化,我們的主攻方向是Github 和 微軟云 Azure。無論現在亦或未來,在這段旅途上我們需要與所有的合作伙伴一起前行。
China Cyber Landscape 2018
演講嘉賓:Yunqian Zhu@CNCERT
通過對多種數據資源的分析,該簡報結合全球趨勢和事件背景,回顧2018年中國網絡安全形勢。我們為中國網絡空間中發現的主要威脅提供可操作的見解,例如網站損毀、網站釣魚、惡意軟件、漏洞利用等。通過對中國的案例分析,我們為減少網絡攻擊提供深刻的見解和實踐經驗。最后,我們將在2019年保持這種趨勢。
Liar Game: The Secret of Mitigation Bypass Techniques
演講嘉賓:Yunhai Zhang@NSFOCUS
在過去的五年中,我們開發了十幾種緩解旁路技術,其中大多數都贏得了微軟的賞金。那么,這些技術的發展是否有任何共性?是否仍然可以以相同的方式開發更多的緩解旁路技術?未來我們能避免這種情況發生嗎?在本次演講中,我們對這些緩解旁路技術的發展進行回顧,并解釋在該過程中使用的策略,總結出其背后的方法。在此基礎上,給出一些開發建議,幫助提高系統的安全性。
Advances in Machine Learning at Microsoft Threat Protection
演講嘉賓:Christian Seifert@Microsoft
在今天,沒有機器學習的安全解決方案是不可想象的。在本次演講中,我們分享了如何在Windows Defender中應用機器學習。我們對構成模型基礎的數據,平臺和功能進行討論,然后深入了解選擇的ML模型。本次演講不僅僅是描述傳統的分類系統,而是深入探討高級主題,例如構建語言模型,異常模型和對抗性防御。
Is my Container Secure? - Large-Scale Empirical Study on Container Vulnerabilities
演講嘉賓:Cecilia Hu & Yue Guan@Palo Alto Networks
容器作為一種輕量級虛擬化技術,使企業能夠自動化Web應用程序部署的許多方面。Docker作為最受歡迎的容器實現之一,已被廣泛用于DevOps實踐中。當DevOps團隊通過發出簡單命令(例如docker pull / push)來部署Docker鏡像時,人們自然會開始質疑:我可以安全部署下載的鏡像嗎?它有什么關鍵的漏洞嗎?如果我的運行容器中存在漏洞,我該如何解決?在本次演講中,我們試圖通過回顧Docker鏡像中發現的漏洞來回答這些問題,我們對公共Docker庫的容器鏡像進行了大規模的實證研究。我們的數據集包括40,000多個單獨的鏡像,并且我們通過多個數據源(如開源鏡像掃描儀和在線鏡像分析儀)收集單個鏡像的漏洞信息。通過分析從這些鏡像中發現的8,000多個獨特的漏洞,我們發現了有趣的漏洞演變趨勢。我們還提供了關于這些趨勢的解釋,并預測了它們未來的變化。最后,結合我們自己的漏洞數據庫,我們希望對這些漏洞提供一些重要的見解。本次演講還精心討論以下問題,如:我們能否在我們的容器設置中利用這些漏洞?如何精準地確定這些漏洞的優先級?
Advanced Lateral Movement on Kubernetes Cluster
Zhaoyan Xu@Palo Alto Networks
谷歌的Kubernetes(又名k8s)已經成為軟件容器編排的標桿,如何保護Kubernetes成為安全社區的一個開放性問題。但是,目前對此進行全面的研究。諸如“k8s漏洞的影響有多大?”,“正確且安全地配置系統有多難?”或者“有什么工具可以幫助我嗎?”等問題是DevOps團隊最常見的。為了克服這些挑戰,我們從安全角度對k8s編排進行了系統研究。我們簡要而全面地介紹了現有的k8s漏洞,以及我們新發現的漏洞,以便讓人們對k8s安全有一個深入而廣泛的認識。然后,我們專注于新的研究,以顯示攻擊者如何在云原生容器系統中發起攻擊,而不是關注單個漏洞利用。此外,我們重點介紹了攻擊者如何在容器環境中執行橫向移動,并分析在漏洞和配置錯誤的編排器的情況下,如何執行此類攻擊。更重要的是,我們演示了我們的K8s安全工具,alk8s,它不僅可以檢測脆弱的K8s服務器上的漏洞,還可以檢測針對錯誤配置的編排器的異常網絡輸入。它利用機器學習和規范性的檢測策略的組合來分析編排器行為。
Enhance Security Awareness with Data Mining: Data-driven Intrusion Detection Solutions in Alibaba Cloud
演講嘉賓:Yue Xu & Han Zheng@Alibaba Cloud
今天,隨著機器學習的不斷突破,越來越多的公司開始在各種安全解決方案中應用機器學習。但是,這些工作要么專注于提出新算法,要么只是發現新的應用場景。很少有人談到少量的學術成果與各種云應用之間的差距。在本次演講中,我們首先展示了云安全意識的挑戰,特別是應用層面的威脅。在此基礎上,我們提出了幾種基于數據挖掘技術的最先進的入侵檢測解決方案,如暴力破解、異常進程啟動、惡意腳本、Web攻擊等。現在所有的解決方案都在為阿里云服務,每天都會向我們的客戶發出成千上萬的入侵警報。最后,我們討論了何時以及如何使用數據挖掘技術來增強安全意識并給出我們的建議。
From Dvr to See Exploit of IoT Device
演講嘉賓:Fan Wu@Qihoo 360
近年來,物聯網設備的安全日益受到人們的關注。我們的日常工作是在物聯網設備上找到不安全因素,因此有機會在會議上介紹數字視頻存儲的基本利用。我們從審核Web端口和固件本身的安全性開始,通過重新打包固件而獲得的調試端口找到堆棧溢出。最后,我們根據漏洞背景來去除監視器,并通過調整后的arm shellcode來getshell。我們希望您能學習關于物聯網設備利用的知識,并與我們一起解決未來可能遇到的挑戰。
Betrayal of Reputation: Trusting the Untrustable Hardware and Software with Reputation
演講嘉賓:Seunghun Han@National Security Research Institute of South Korea
人們往往會直接信任體量大、信譽高的公司所提供的軟硬件,但信譽良好的產品真的值得信賴嗎?在本次演講中,我介紹了一些硬件和軟件,尤其是BIOS / UEFI固件、英特爾可信執行技術(TXT)和可信平臺模塊(TPM)的情況,這些都辜負了您的信任。信譽良好的公司定義并實施規范,具有UEFI / BIOS固件和英特爾TXT的TPM已被廣泛使用并成為人們信任的根源。我發現了兩個與休眠過程相關的漏洞:CVE-2017-16837和CVE-2018-6622。與以前的研究不同,這些漏洞可以在沒有物理訪問的情況下破壞TPM。為了減少這些漏洞,我還介紹了一些對策和一個工具Napper來進行檢測。休眠過程是漏洞的一個重要組成部分,所以Napper會讓您的系統短暫地進入休眠狀態并檢查它們。
MesaTEE SGX: Redefining AI and Big Data Analysis with Intel SGX
演講嘉賓:Yu Ding@Baidu X-Lab
Intel SGX旨在保護用戶隱私和私鑰,而SGX 飛地的簡單緩沖區溢出將泄露這些寶貴的數據或密鑰,并導致數十億美元的損失。內存損壞是Intel SGX 飛地的第一個敵人。我們需要一個完整的解決方案來構建內存安全的Intel SGX飛地。在本次演講中,我們介紹了MesaTEE SGX 軟件棧。MesaTEE SGX 軟件棧提供了用Rust/RPython編寫的內存安全庫,并提供了一些有用的內存安全庫,比如序列化器/反序列化器、TLS終止、更多的加密原語、快速的ML庫、WASM解釋器,甚至還有一個內存安全的pypy解釋器。開發人員可以使用這些庫輕松地開發Intel SGX應用程序,并通過幾個簡單的步驟將更多的Rust / Python庫移植到飛地中。我們在SGX軟件設計和實現中遇到了大量陷阱,并在本次演講中分享了它們。這些陷阱通常與可信/不可信輸入和分區方法/哲學有關。他們之前沒有提出相應的解決方案,我相信我們的故事應該是“目前已知的最佳實踐”。詳細地說,我們討論了“混合內存安全性經驗法則”的理念,以及面向安全的標準庫設計,基于認證的TLS,安全快速的解釋器或 ML 實現等。我們堅信,通過Intel SGX和一種新穎的面向安全的軟件設計和實現,本次講話使Bluehat受眾受益匪淺。
5月30日
Advancing Windows Security
演講嘉賓:David Weston@Microsoft
Windows的安全性正在不斷增強,平臺功能正在快速變化。為了更好地應對新式攻擊,Windows 也在快速變革。我們的的目標在于跨越不斷成長的威脅模型并提供更強大的保障。歡迎研究人員和社區幫我們繼續完善。漏洞賞金和征集緩解措施的項目非常重要。我們希望與中國及更多地區的研究人員群體共同努力,更好地了解當前和未來的攻擊。
Exploring the Maze of Memory Layouts Towards Exploits
演講嘉賓:Yan Wang & Chao Zhang@Chinese Academy of Sciences & Tsinghua University
漏洞利用生成的障礙之一是內存布局操作。大量的內存損壞漏洞(例如,堆溢出和UAF)只能在特定的內存布局中被利用。在實踐中,它需要人力來操縱內存布局。因此,自動內存布局操作是一個有趣的主題,它可以為自動利用生成(AEG)鋪平道路。在這次演講中,我們介紹了我們的解決方案Maze,它能夠將PoC樣本的不可利用內存布局轉換為可利用的布局,并在可能的情況下自動生成各種可用的漏洞。首先,它應用程序分析技術來識別代碼片段(表示為內存操作原語),這些代碼片段可以執行內存(de)分配操作,并且可以根據需要進行重新輸入和調用。然后,它應用一種新的算法Dig & Fill,按一定的順序調用這些內存操作原語來精確地操作內存布局。我們實現了一個基于二進制分析引擎S2E的Maze原型,并在一組帶有堆溢出和UAF漏洞的CTF(捕獲標志)程序上對其進行了評估。實驗結果表明,Maze可以將30個PoC樣本的內存布局轉換為可利用狀態,并成功生成大多數PoC樣本的漏洞利用樣本。
Needle in A Haystack: Catch Multiple Zero-Days Using Sandbox
演講嘉賓:Qi Li & Quan Jin@Qihoo 360
在過去幾年中,我們一直在開發沙箱檢測技術,以探索如何使用沙箱來檢測和過濾樣本,并發現高級威脅。在此過程中,我們繼續改進自動分析平臺,并在過去兩年中發現了多個零日漏洞。在本次演講中,我們介紹了我們的沙箱平臺,并描述如何從頭開始構建Office零日檢測系統,并最終捕獲多個與Office相關的零日漏洞。我們還分享了我們在Windows內核和其他漏洞檢測中的做法,以及如何使用沙箱自動過濾特殊樣本。
How to Find Twelve Kernel Information Disclosure Vulnerabilities in Three Months
演講嘉賓:Tanghui Chen@Baidu,Inc
本次演講分享了一種輕量級、高效的內核信息泄露漏洞的檢測方法。有兩種方法在業界取得了顯著的成果,一種是Mateusz Jurczyk的BochsPwn,來自Google Project Zero,另一種是潘劍鋒的DigTool。BochsPwn使用CPU指令模擬技術,其性能非常差。DigToolcai采用重量級VT技術。在深入研究內核信息泄露漏洞后,我們發現其本質是內核將一些未初始化的數據復制到用戶模式的內存中,導致信息泄露。另外,我們在Windows內核中積累了大量技術。在找出漏洞的原因后,我們提出了一種檢測漏洞的新方法。該方法由許多不同的技術實現,如內核nirvana和hook,可以快速檢測內核信息泄漏。在過去的三個月中,已經發現了12個Windows內核信息泄露漏洞,這證明了這種方法非常有效。
Momigari: Overview of the Latest Windows OS Kernel Exploits Found in the Wild
演講嘉賓:Boris Larin & Anton Ivanov@Kaspersky Lab
Momigari(紅葉狩獵)是日本人在秋天尋找最美麗的樹葉的傳統。在2018年秋季僅僅一個月的時間里,我們發現了一些針對Microsoft Windows操作系統的零日攻擊。其中兩個針對最新且完全更新的Windows 10 RS4,在此之前,Windows 10 RS4還沒有已知的內存損壞漏洞。我們還發現了一些漏洞,這些漏洞在安全更新時無意中得到了修復,但在此之前很長一段時間內都沒有補丁。這些研究結果表明,漏洞利用編寫者將繼續尋找可靠地利用不穩定漏洞的新方法,并繞過最安全的操作系統的現代緩解技術。其中最有趣的是,大多數漏洞都是相互關聯的。這表明他們背后的策劃者并不害怕一次浪費大量的零日漏洞,因為他們的軍火庫已經滿了。在本次演示中,我們研究了多個在野特權提升(EOP)零日漏洞,并揭示了這些漏洞采用的開發框架。這個框架可以帶有多個漏洞利用程序(嵌入或從遠程資源接收)。每個漏洞利用都提供了可執行內核shellcode的接口。在本次演示中,我們分享以下內容: - 深入分析用于零日漏洞利用開發的框架 - 深入分析攻擊者使用的漏洞 - 用于繞過漏洞利用緩解機制的有趣技術。
New and Effective Methods to Probe Vulnerabilities in Hardware Devices
演講嘉賓:Shupeng Gao@Baidu,Inc
我們如何才能更有效地探測智能設備的漏洞?雖然智能設備在品牌,外觀和功能上有所不同,但它們都具有類似的結構:CPU \ memory \ storage \ input \ output,因此我們可以應用類似的方法來分析和發現它們的漏洞。在本次演講中,我們展示了幾種新的有效漏洞探測技術和工具,包括:使用編程器和焊接設備讀寫閃存芯片,如SPI閃存/ NAND閃存/ EMMC和EMCP(超過95%的智能設備使用這三種);獲取root shell的各種方法,包括修改U-boot內核參數,通過CPU數據表確定串口以及在線和離線編輯flash;介紹各種網絡連接的嗅探和編輯方法,包括WiFi實時解密,掛機模式和GPRS中間人攻擊。然后,我們展示了如何組合這些方法,并最終發現控制設備中的高風險漏洞。這些技術非常有效。在過去的三年里,他們幫助我們在中國贏得了六次硬件設備破解比賽(Geekpwn, Xpwn)。最后,我們提出了有效提高硬件設備安全性的想法和建議。
Browser Script Engine Zero Days in 2018
演講嘉賓:Elliot Cao@Trend Micro
瀏覽器是進入互聯網世界的窗口,腳本使其更加豐富多彩。因為大多數腳本語言都是動態的、弱類型的,并且不需要考慮內存管理,所以人們可以輕松地開發瀏覽器應用程序。這一切都歸功于腳本引擎。但復雜的腳本引擎似乎很脆弱。2018年,我們看到了一些基于這些腳本引擎(例如Flash,VBScript和JScript)的在野零日攻擊。本次演講包含以下內容:首先,我們對2018年的瀏覽器腳本引擎漏洞進行快速的回顧,主要是在野零日漏洞攻擊。其次,介紹我們自主開發的工具VBSEmulator,它可以對vbs混淆的樣本進行反混淆處理,并檢測GodMode或ROP。最后,快速瀏覽用于Microsoft Edge的JavaScript引擎Chakra,并解釋如何在Chakra中進行利用。
Fighting Malicious Insider Threat with User Profile Based Anomaly Detection
演講嘉賓:Lei He@Microsoft
心懷不滿的惡意內部人員仍然是Microsoft和Office 365的主要威脅之一。成千上萬的員工和供應商全天候運營Office 365服務;心懷不滿的員工或受損的憑證可能導致未經授權的數據訪問和盜竊,且滲透測試人員經常對O365模擬這些威脅。雖然基于滲透測試的監督學習涵蓋了已知的模式,但蘇州的M365安全團隊開發了一種近乎實時的異常檢測來覆蓋未知的威脅。該模型基于操作員歷史活動數據中心概況,在運用了多種實用技術進行細化的情況下,其精度達到了90%。
Discovering Vulnerabilities with Data-Flow Sensitive Fuzzing
演講嘉賓:Shuitao Gan & Chao Zhang@State Key Laboratory of Mathematical Engineering and Advanced Computing & Tsinghua University
我們認為數據流對于探索復雜的代碼(例如,校驗和和幻數檢查)以及發現漏洞非常有用。在本次演講中,我們介紹了基于數據流控制的fuzzer工具GreyOne。首先,它利用數據流的經典特征——污點——來指導模糊測試,例如,確定要修改的字節以及如何修改。然后,它使用數據流的新特性——約束一致性——來調整模糊的演化方向,例如,有效地滿足未觸及分支的約束。為了支持這些數據流特性,我們提出了一種輕量級且可靠的模糊驅動污點推斷(FTI)來推測變量的污點。評估結果表明,GreyOne在代碼覆蓋率和漏洞發現方面都優于各種先進的fuzzer(包括AFL、Honggfuzz、VUzzer和CollAFL)。其總共發現了105個新的安全漏洞,其中41個被CVE確認。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/950/
暫無評論