每年八月,来自世界各地的安全和黑客社区成员齐聚内华达州拉斯维加斯,参加一年一度的黑帽黑客大会,进行技能培训、攻击演示、研究成果和新品展示。今年是该活动成功举办25周年,组织者承诺将举办80多场演讲,主题从硬件和固件黑客攻击到零日恶意软件发现,再到最新的APT研究等等。下面总结了今年大会上最值得期待的10篇演讲,大家可以提前关注一下:1.RollBack——针对智能汽车系统的重放攻击讲师:新加坡大学和NCSGroupKeyEntry(RKE)的研究人员系统实施一次性滚动代码(也称为跳转代码),这是一种安全技术,通常用于为RKE系统的每次身份验证提供新代码,以防止简单的重放攻击。然而,黑客Kamkar在2015年Defcon黑客大会上展示的RollJam设备已被证明能够通过拦截无线遥控器的解锁代码来破坏任何基于滚动代码的系统。然而,RollJam需要无限期地持续部署,直到被利用。否则,如果在没有RollJam的情况下再次使用遥控钥匙,捕获的信号将无效。此次研究人员将介绍的RollBack是一种针对当今大多数RKE系统的新型重放和重新同步攻击。与RollJam不同的是,即使一次性代码在滚动码系统中失效,RollBack也可以利用和重放先前捕获的信号来触发RKE系统中类似的回滚机制。换句话说,滚动代码可以重新同步回过去使用的旧代码来运行。为什么你应该关心:RollJam设备旨在警告汽车或车库门制造商产品更新,该更新引入了很快就会过期的滚动代码,而数百万车主仍在他们的汽车中使用“永不过期代码”系统。不能低估这种安全风险。如今,RollBack的出现无疑加剧了车辆安全隐患,关注此类研究有助于在安全问题被广泛利用之前识别并修复它们。2、Sandworm黑客组织发起的网络战研究演讲者:ESET研究人员RobertLipovsky和AntonCherepanov演讲内容:Industroyer2是Industroyer的新版本,是唯一触发停电的恶意软件。对世界的最大威胁”,它既是模块化的,又能够直接控制配电变电站中的开关和断路器。与其前身一样,复杂且高度可定制的Industroyer2恶意软件利用称为IEC-104的工业通信协议来征用工业设备,该协议现在广泛用于变电站保护继电器的工业设备。而且,就像2016年发现的Industroyer部署一样,其最新的网络攻击旨在造成200万人规模的停电,并进一步扩大影响,使恢复更加困难。研究人员认为,恶意软件开发者和攻击策划者是SandwormAPT组织,美国司法部将其归于国家情报机构。为什么要关注:本演示文稿将涵盖大量技术细节:Industroyer2的逆向工程,以及与原始版本的比较。Industroyer的独特之处在于其使用专有工业协议与变电站ICS硬件(断路器和保护继电器)进行通信的能力。Industroyer包含四种协议的实现,而Industroyer2只显示一种协议:IEC-104。这些演示文稿将展示一些使用最具破坏性的恶意软件的顶级威胁参与者的技术、策略和工具。正如我们所知,这种恶意软件攻击具有一些重大的地缘政治影响,所有新的披露都将受到密切关注。3.DéjàVu-揭露商业产品中被盗的算法演讲者:PatrickWardle、Objective-See和TomMcGuire,约翰霍普金斯大学演讲内容:在本次演讲中,来自约翰霍普金斯大学的研究人员将讨论影响我们网络安全社区的系统性问题:公司实体盗窃和未经授权使用算法。公司实体本身也是网络安全社区的一部分。首先,研究人员描述了可以自动识别商业产品中未经授权代码的各种搜索技术。然后,将展示如何使用逆向工程和二进制比较技术来证实这些发现。接下来,他们将这些方法应用到实际案例研究中。为什么你应该关心:本演示文稿有望提供可操作的要点、建议和战略方法,以帮助受害者与故意滥用算法的商业实体(及其法律团队)打交道。这些演示强调了供应商在与安全社区打交道时诚实的重要性。4、谁来监督监控软件厂商:深入了解2021年Android漏洞利用链在野演讲者:谷歌安全工程团队演讲内容:过去12个月,谷歌TAG(威胁分析组)多次疯狂1day/0day分析了监控软件供应商的漏洞。该演示文稿将披露有关CVE-2021-0920的技术细节,CVE-2021-0920是一个在野的0dayAndroidLinux内核漏洞,尽管目前知晓度较低,但比其他漏洞更加复杂和神秘。该演讲还将讨论开发CVE-2021-0920漏洞利用的供应商,并将多个Android0day/1day漏洞利用样本链接到该供应商。通过分析供应商的漏洞,研究人员发现了一个针对Android设备的完整链。该漏洞利用链利用1day/nday浏览器漏洞,利用CVE-2020-16040、CVE-2021-38000、0dayCVE-2021-0920漏洞远程控制Android设备。为什么要关注:随着NSOGroup、Candiru和Cytrox等公司成为全球头条新闻,商业监控软件的私人供应商已被视为间谍软件的危险来源。谷歌的研究团队很少公开这些漏洞利用公司的运作方式,这次谈话肯定会很热门。5.攻击TitanM-现代安全芯片的漏洞研究演讲者:Quarkslab研究人员DamianoMelotti和MaximeRossiBellom演讲:TitanM是谷歌在其Pixel3设备中引入的芯片。在之前的研究中,研究人员对芯片进行了分析,并展示了其内部结构和保护措施。基于这个已知的背景,在这个最新的演示中,他们将重点关注如何在受限目标上进行软件漏洞研究。研究人员将深入研究他们的黑盒模糊器的工作原理及其相关限制。然后,它将进一步展示基于仿真的解决方案如何设法超越硬件绑定方法。通过结合覆盖引导的模糊器(AFL++)、模拟器(Unicorn)和一些针对目标量身定制的优化,研究人员发现了一个有趣的漏洞,它只允许将单个字节设置为1,并且偏差量有多个限制的位移。尽管看似难以利用,但研究人员展示了他们如何设法从中获得代码执行并泄露安全模块中包含的私人信息。为什么要关注:Quarkslab的移动安全研究团队是世界上技术最娴熟的团队之一,他们在芯片上展示的PixelRCE肯定会吸引眼球。6.通过安全事件研究推动系统变革演讲者:网络安全审查委员会(CSRB)演讲内容:难得看到网络安全审查委员会(CSRB)的公开分享。这一次它聚焦于Log4j危机,旨在识别持续存在的关键差距并为组织提供实用建议以避免下一次大的零日危机。本次CSRB演讲的重点将包括RobSilvers(DHS政策副部长兼网络安全审查委员会主席)和HeatherAdkins(谷歌副主席兼安全工程副总裁)讨论Log4j漏洞审查、CSRB的主要发现以及行业如何和政府正在实施这些缓解建议。为什么你应该关心:CSRB是一个独特的机构,很高兴听到网络安全领导者谈论审查委员会如何帮助推动网络安全的转型变革。该委员会早前发布的第一套安全建议已经在业界进行了讨论,但仍有许多有争议的细节有待解决。7.APT组织通过伪??造司法证据来陷害对手演讲者:SentinelLabs研究人员JuanAndresGuerrero-Saade和TomHegel演讲内容:虽然我们经常将间谍活动、知识产权盗窃或经济利益视为国家行为者黑客组织的运营目标,但是是一个更阴险的动机值得关注。APT正在伪造定罪证据以陷害和监禁受到攻击的对手。本演示文稿重点介绍了ModifiedElephant的活动,这是一个与商业监控行业关联至少十年的威胁组织。更重要的是,研究人员将揭示ModifiedElephant如何伪造证据给攻击者定罪。如果这还不够令人担忧,研究人员还将展示多个区域威胁行为者如何在被捕之前追踪这些受害者。这一系列事件揭示了一些政府如何滥用技术来压制异议。为什么你应该关心:黑客雇佣行业和国家行为者黑客组织的融合导致了一些惊人的恶意软件发现。我们需要警惕这种行为对公民社会的深远影响。8.GoogleSecurePhoneReimagined演讲者:GoogleRedTeamResearcher演讲内容:尽管手机供应商众多,但大多数安卓设备依赖于相对较少的片上系统供应商。谷歌决定用Pixel6打破这种模式。从安全的角度来看,这意味着我们需要一组新的高价值设备固件,而不是使用经过多年测试和使用的代码。本次演讲将讨论Android如何在发布之前确保重新设计的Pixel6的安全,重点关注AndroidRedTeam的观点。该团队将演示如何使用模糊测试、黑盒模拟器、静态分析和手动代码审查来识别关键组件中特权代码执行的机会,例如第一个端到端概念验证(PoC)泰坦M2芯片。关注原因:大型设备制造商的红队很少公开分享漏洞和安全漏洞。事实上,在这次演讲中,Android红队计划展示多个安全关键演示,以展示红队对产品发布周期的价值。9、浏览器驱动的异步攻击(DesyncAttack)新前沿讲师:PortSwigger研究员JamesKettle讲课内容:近期,HTTP请求走私(简称HRS)攻击开始兴起,许多门户级网站被攻破。但是,到目前为止发现的威胁仅限于具有反向代理前端的系统。不过,未来情况可能会更糟。在本次会议中,研究人员将演示如何将受害者的Web浏览器转变为异步交付平台,通过暴露单服务器网站和内部网络来转移请求走私的界限。在此过程中,您将学习如何将跨域请求与服务器漏洞利用相结合,以毒害浏览器连接池、安装后门和释放异步蠕虫。使用这些技术,研究人员已成功攻陷目标,包括Apache、Akamai、Varnish、Amazon和多个WebVPN。关注原因:HRS是一种常用的黑客技术,大大增加了webapp的安全风险。JamesKettle和PortSwigger的研究人员一直处于该领域的前沿,本课程和演示文稿的价值怎么强调都不为过。10.Lessonslearnsfrom5yearsofreal-worldCI/CDpipelinethreats演讲者:NCCGroup研究人员IainSmart和ViktorGazdag演讲内容:在过去的5年里,研究人员测试了几乎所有的持续集成和持续交付(CI/CD)管道产品已成功实施供应链攻击。在本次演讲中,研究人员将解释为什么CI/CD管道是软件供应链中最危险的潜在攻击面,以及攻击中经常遇到的技术类型、它们的使用方式等。接下来,他们将讨论在自动化管道中滥用预期功能的具体示例(带有具体演示),并将构建管道从简单的开发人员实用程序转换为远程代码执行(REC)即服务。为什么要关注:软件供应链安全一直是一个热门话题,对CI/CD管道攻击面的研究肯定会引起最高级别的关注。
