BlackHat2022在拉斯维加斯落下帷幕,每届会议都会发布一些安全研究成果,反映了当前网络安全领域的诸多残酷现实和趋势,既有借鉴意义,也有借鉴意义。发人深省。近日,PCMag在本次大会上罗列了14项重大研究成果,现在就让我们通过本文一一窥探吧。1.跨越四分之一世纪的黑客活动首次举办,黑帽大会迎来25岁生日。在感叹时间飞速流逝的同时,为了纪念这一时刻,会议将使用两个主题演讲,重点关注安全的未来,涉及与乌克兰有关的网络战争、网络虚假信息的兴起以及声称安全的政治动荡。2020年美国大选是一场舞弊选举。网络安全和基础设施安全局(CISA)前任主任克里斯·克雷布斯(ChrisKrebs)描述了网络安全世界面临的诸多挑战。他呼吁与会者和安全公司接受一套原则,使他们能够驾驭未来的动荡。知名网络安全记者描述了近年来一些触目惊心的安全事件,包括震网病毒(Stuxnet)、Colonial管道攻击等,并强调这些攻击是可以预见的,在造成巨大灾难或损失之前已经发生过多次攻击。这些警告信号只是人们没有提前采取积极有效的预防措施。2.短信代码击败多重身份验证当密码不足以构成安全风险时,银行和敏感网站正在转向多重身份验证。但也有漏洞。瑞典的一个研究小组已经证明,通过短信发送验证码本质上是不安全的。他们追踪了最近一些双因素安全保护失败的事件,称如果黑客拥有用户的登录凭证和电话号码,基于文本的身份验证就不是有效的保护。3.操纵触摸屏的“隐形手指”想象一下,您走进一间会议室,将手机放在桌子上,一根隐形手指将其解锁并安装恶意软件。一组学术研究人员模拟了一种能够从几厘米远的地方操纵手机触摸屏的攻击技术。如果受害者将设备放在他们安排隐藏天线的桌子上,他们就可以使用这个“看不见的手指”触摸设备。4.打破无用的规则,采取切实措施安全创业公司Copado的副总裁兼安全主管KyleTobener在会上建议,如果某些威胁不可避免,最好的办法是采取措施将造成的损害降到最低。多年来,这种减少危害的概念已被证明在医学上是有效的。例如,简单地告诉吸毒者不要吸毒几乎没有效果。最好为他们提供干净的针头,以减少其他伤害。我相信这种理念在安全领域也能发挥作用。5.重大网络事件调查手册对于已经发生的重大网络事件,企业如果不抓紧时间追根溯源,注定在下一次危机来临时重蹈覆辙。会议期间,一个研究小组试图通过创建《重大网络事件调查手册》,为事件的调查提出一个完整可行的方案。本手册文件包含在企业或组织中创建独立审查委员会的指南,从决定委员会成员到向相关方展示调查结果。这些小组的任务是收集有关网络安全事件的事实,然后与更广泛的网络安全社区在线共享该信息。目前,该文档可在GitHub上找到。6.恶意软件以求职者为目标据普华永道的两位威胁情报专家称,全球威胁行为者正以网络钓鱼链接为目标的在线求职者。黑客通过创建虚假网站、虚假社交媒体资料、发布虚假工作,为受害者提供恶意链接和文件附件。专家建议求职者不要点击不熟悉的电子邮件或LinkedIn消息中的链接,尤其是目前在职但即将跳槽的求职者。如果他们招募恶意软件感染公司网络,会让他们在公司的处境更加尴尬。7.初创公司忽视安全在一次会议上,一场关于提高漏洞赏金方法的黑帽大会简报似乎提醒人们,许多快速成长的初创公司并未将安全纳入其早期开发计划。LutaSecurity的创始人兼首席执行官KatieMoussouris讲述了她去年如何在Clubhouse应用程序中发现一个严重漏洞,并努力让公司注意。“我花了数周时间才找到合适的联系人,”她承认道。8.Apple安全漏洞Mac比PC更安全。并非操作平台的每个组件都跟上了这些安全升级。一位长期研究macOS的研究人员提出了一种进程注入攻击,可以让他绕过所有这些安全层。他演示了如何使用这种攻击来逃避沙箱、提升权限和绕过系统完整性保护系统。该安全漏洞已在macOSMonterey中修复,甚至可以向后移植到BigSur和Catalina,但在对每个应用程序进行简单调整之前,它不会完全关闭。9.ELAM的两个方面Microsoft正在尽最大努力使Windows更安全,但有时安全措施会适得其反。EarlyLaunchAntimalware(ELAM)系统允许安全程序在启动过程中尽早启动,并保护它们免受所有篡改。受制于微软的审批政策,ELAM驱动程序不能被用户伪造或调整,但研究人员发现现有驱动程序存在漏洞,审批规则松散。这样一来,恶意程序不仅可以进入ELAM提供的“SecurityBunker”,还可以破坏其中的杀毒程序。10.漏洞猎手的危机成为安全漏洞猎手常常令人羡慕。你可以通过报告严重的安全漏洞获得高达六位数的奖金,但在光鲜亮丽的背后,你也可能会被起诉或被指控犯罪。最近的政策变化保护诚实的黑客,但他们没有解决特定问题:在收集信息以证明报告的漏洞时,猎手通常会捕获大量个人信息记录,如果因此被起诉,猎手可以与律师谈判。合作寻找最佳解决方案。11.汽车钥匙的重放攻击使用笔记本电脑和合适的设备可以轻松录制和播放无线电信号,这就是为什么汽车钥匙具有滚动编码系统,每次按下按钮时都会发出不同的信号,预先录制的信号获胜做任何事。然而,研究人员发现,对于某些汽车来说,多个旧信号会导致滚动代码系统回滚,从而让攻击者打开车门。不仅如此,研究人员还发现这没有时间限制,旧代码在被捕获后超过100天仍被接受。12.利用ZoomIM放大恶意软件自新冠疫情开始以来,Zoom已成为远程办公和视频聊天的重要工具。事实证明,Zoom的即时通讯是建立在XMPP之上的,研究人员构建了多种滥用XMPP的方式,最终实现在目标计算机上远程执行代码。13.当跟踪设备被诱骗将位置报告标签附加到目标时,跟踪变得容易,但这种系统很容易被滥用。会上,安全研究人员展示了一种新的基于超宽带(UWB)无线电技术的跟踪系统攻击,可以在目标不知情的情况下进行跟踪,甚至可以让目标看起来按照攻击者的意愿移动。UWB已经被应用在包括Apple在内的多家公司的产品中,甚至被用于大型基础设施项目,例如纽约的地铁信号系统。14.俄罗斯-乌克兰网络战,电网成为目标俄罗斯-乌克兰争端和该地区持续不断的战争一直是黑帽会议上多次演讲的主题,来自邻国斯洛伐克的安全公司ESET的研究人员向与会者介绍了乌克兰电网.如果成功执行最近使用的Industroyer2恶意软件,攻击时间表可能会导致200万居民断电。有趣的是,Industroyer2使用“Wiper”恶意软件使受感染的机器无法使用,从而减慢恢复工作的速度。SentinelOne研究人员TomHegel和JuanAndresGuerrero-Saade指出,这种做法还意味着攻击者必须放弃对受感染机器的访问权限。他们分析了可观察到的网络攻击,并强调很难得出结论,因为检测到的可能只是实际发生的一小部分。Industroyer和Industroyer2的一个重要部分是使用可以与变电站中的断路器和其他机制通信的工业协议。最初的Industroyer配备了4个协议,但Industroyer2只使用了IEC-104协议。该协议在许多电网中使用,并且很容易受到攻击,因为它是几十年前设计的,没有安全可言。参考来源:The14ScariestThingsWeSawatBlackHat2022
