BlackHat 2019热点议题速览

发布时间 2019-08-07
一、摘要

今年的BlackHat大会于8月3日至9日在MANDALAYBAY / LAS VEGAS举行,其中8月3日至6日为四天的培训,8月7日至8日为两天的会议时间。这已经是BlackHat的第22届大会,来自世界各地的安全专家将在此分享他们的最新发现以及前沿研究。


本届大会在8月7日至8日期间将由两百多位安全专家分享124个议题,每个议题被标上了最多两个分类标签,大家对这些议题做了一个简单的分类统计,并在这里带来一些热点议题的分享。


二、热点议题



? 无线安全


议题:所有的4G模块皆可被入侵


演讲者:Shupeng Gao, Haikuo Xie, Zheng Huang, Zhang Ye


时间:1:30pm-2:20pm,8月7日,周三


概况:


如今全球越来越多的物联网设备内置了4G模块,例如自动售货机、汽车娱乐系统、笔记本电脑、广告屏、城市摄像头等。但还没有人对这些4G模块进行全面的安全性研究。大家实施了这项计划,并对市场上出售的所有主要4G模块进行了测试(超过15种类型)。结果表明它们都存在类似的漏洞,包括弱密码远程访问、AT命令注入/侦听服务、OTA升级欺骗、通过SMS进行命令注入以及Web漏洞等。利用这些漏洞,大家可以获取到设备的shell。除了通过wifi利用这些漏洞之外,大家还创建了一种新的方法,通过虚假基站成功地在设备上远程实行命令,并且无需任何前提条件。


在本次演讲中,大家将首先概述这些模块的硬件结构,然后先容大家在漏洞探测中使用的具体方法,最后大家将演示如何利用这些漏洞攻击不同品牌的汽车娱乐系统并获得汽车的远程控制权限。
 

议题:5G网络中的新漏洞


演讲者:Altaf Shaik, Ravishankar Borgaonkar


时间:1:30pm-2:20pm,8月7日,周三


概况:


相比前几代网络,5G网络的安全性已经发展得更为有效。在本次演讲中,大家先容了5G无线网络的安全功能,并揭示了影响运营商基础设施以及终端设备(包括手机、NB-IoT和笔记本电脑等)的新漏洞。大家将演示如何通过低成本的硬件和App平台利用5G/4G安全标准中的这些新漏洞。大家引入了一个新的自动化评估工具并将数据集与安全社区进行共享。此外,大家还揭示了全球数百个4G基站以及商用NB-IoT协议实现中的漏洞,这些漏洞可能导致电池耗尽、劫持以及降级攻击。大家的攻击方法影响范围从千兆高速LTE设备到NB-IoT设备。
 

议题:Dragonblood漏洞:攻击WPA3中的蜻蜓握手协议


演讲者:Mathy Vanhoef


时间:11:15am-12:05pm,8月7日,周三


概况:


WPA3的一个主要优点是它提供了前向加密以及可以阻止离线字典攻击。然而,由于WPA3认证项目是非公开创建的,这意味着研究人员无法对它提出意见。这带来的一个问题就是,WPA3依赖于现有的Dragonfly(蜻蜓)握手协议,但该协议在标准化过程中受到了极大的批评。这引起了对WPA3的安全性的思考。


在本次演讲中,大家将揭示WPA3设计和实施过程中的多个漏洞。最突出的是,大家揭示了WPA3的蜻蜓握手协议(也被称为SAE)易受边信道攻击的影响。大家证明了这些泄露的信息可被用于发起密码分区攻击。该攻击类似于字典攻击,允许攻击者通过基于时序或基于缓存的测信道泄露来恢复密码。大家的测信道攻击针对该协议的密码编码方式。例如,大家的基于缓存的攻击利用了Dragonfly的哈希-曲线算法。此外,大家针对EAP-pwd(它在内部使用了Dragonfly握手的近似变体)提出了无效曲线攻击。该攻击可以使得攻击者绕过身份验证。大家还将讨论对WPA2的降级攻击(这反过来又使得字典攻击成为可用)以及拒绝服务攻击。最后,大家说明了如何在实践中验证所有的漏洞,并讨论了如何缓解这些攻击。


大家的结论是,WPA3不符合现代安全协议的标准。要么它实施了所有的应对措施,这使得它可能受到DoS攻击的影响,要么它没有实施这些措施,这使得它易受大家提出的攻击影响。尽管如此,WPA3确实比WPA2有所改进。
 

议题:通过无线方式利用高通WLAN及Modem模块中的漏洞


演讲者:Xiling Gong, Peter Pi


时间:12:10pm-1:00pm,8月8日,周四


概况:


在本次演讲中,大家将分享大家如何成功利用高通WLAN固件,打破WLAN及Modem之间的隔离并通过无线方式完全控制Modem。在高通平台上,子系统受到Secure Boot的保护,大家将先容大家在Modem中发现的漏洞,该漏洞可绕过Secure Boot并提权至Modem本地权限,这使得大家可以为基带设置实时调试器。利用此调试器,大家发现了WLAN固件的系统架构、组件、程序流、数据流以及攻击面。大家将详细分享这些技术,以及大家在攻击面上发现的0day。高通基带具有多种缓解措施,包括EDP、栈保护、堆cookie、系统调用约束等。大家将先容所有的漏洞利用和绕过技术的细节。从骁龙835开始,WLAN固件就作为独立的用户空间约束集成到Modem子系统中,大家将讨论这些约束以及Modem中的漏洞利用。
 
 

云安全


议题:MicroSoft云(Office 365 & Azure AD)中的攻击与防御


演讲者:Sean Metcalf, Mark Morowczynski


时间:11:15am-12:05pm,8月7日,周三


概况:


云的魅力无可争辩,企业正在快速进入云端。即使是过去曾对云说不的企业也已开始迁移其服务和资源。云是一种新的范例,快速的更新速度使其难以被跟上,尤其是在安全方面。本次演讲主要关注MicroSoft云(Office 365和Azure AD),探讨了最常见的云攻击及有效防御和缓解措施。虽然内容主要关注MicroSoft云,但这些探讨也适用于其它云服务商,并在相应情况下进行了注明。关键内容包括:


针对云的攻击

- 账户泄露和令牌盗窃

检测攻击活动的方法
云端身份验证防火墙
保护云基础架构免受攻击
云安全管理
 

议题:AWS Cognito安全性的Internet级分析


演讲者:Andres Riancho


时间:4:00pm-4:50pm,8月7日,周三


概况:


本次演讲将展示对AWSCognito配置安全性的Internet级分析结果。大家在本次研究中发现了2500个身份池,它们被用于访问超过13000个S3存储桶(没有公开暴露),还发现了1200个DynamoDB表以及1500个Lambda函数。


本次演讲首先先容了AWSCognito服务及开发人员是如何对其进行配置的,终端用户对S3、DynamoDB等AWS资源的访问权限受到IAM策略的严格限制,并且这种访问在许多情况下没有遵循最小权限原则。大家将通过一些demo演示该问题,并进行了Internet级别的自动化分析。由于Cognito身份池ID是UUID4,因此必须从谷歌 Play商店下载数以千计的APK,反编译它们并提取标识符。Common Crawl等工具也被用于识别有效的标识符。大家将公开发布完成这些任务所使用的工具。每一个被配置为允许未经身份验证的来宾访问的Cognito身份池都通过一个深度权限暴力破解工具进行分析。最后大家提出了开发者应该如何安全配置该服务的建议以及该问题广泛出现的潜在原因(例如AWS网站上的文档及样例的缺失)。
 

议题:在默认开放的云中保护APP


演讲者:Andres Riancho


时间:3:50pm-4:40pm,8月8日,周四


概况:


在GCP或AWS等云环境中创建的服务都是默认对互联网开放的。当开发人员有权创建新的微服务而安全团队不能及时审计它们时,这可能带来问题。即使所有的服务在发布之前都经过审计,安全团队也无法跟踪和审计代码更改对安全造成的所有影响,这往往会留下一些不正确的身份验证及服务暴露等问题。


大家提出了一种通用的解决方案,可以自动化地对服务的整个开发周期内实施身份验证控制。该解决方案只要求最低的运营开销,并且对项目的开发过程不造成任何影响,开发团队可以保持他们的自主权。
 

智能电网/工业安全


议题:ICS中的传感器和过程指纹识别


演讲者:Martin Ochoa, Mujeeb Ahmed Chuadhry


时间:1:30pm-2:20pm,8月7日,周三


概况:


关键基础设施,例如电力和水力分配系统,在很大程度上依赖于自动化控制。这些物理网络系统的安全性对现代社会的正常运作至关重要。针对这些基础设施的攻击往往会造成严重的物理损害和人身伤害。


本次演讲中大家重新审视了针对关键基础设施的常见物理和网络攻击向量,以及它们的防御策略。大家证明工业传感器中的噪音以及其内在流程可以被用于检测物理和网络攻击。大家将基于新加坡科技设计大学主导的水处理测试平台(SWaT),演示攻击和防御的视频。大家将展示如何通过中间人攻击篡改关键传感器的数据并引发工厂的有害行为,以及如何通过物理篡改传感器发起攻击。大家将简要描述针对此类攻击的防御策略,包括使用物理不变量以及过程模型。接下来,大家将论证基于传感器和过程的噪声分布来构建模型可以有效地检测此类攻击。传感器(例如超声波传感器)的细微差异使得它们可以产生略微不同的噪声模式。在其他领域(主要是移动电话)中已经对噪声识别进行了探索,但在CPS的背景下尚未进行此类研究。大家的研究表明传感器噪声可以成为一种强大的传感器数据认证工具,尤其是与基于模型的防御策略相结合。
 

议题:攻击电动机中的乐趣和利润


演讲者:Matthew Jablonski, Duminda Wijesekera


时间:11:15am-12:05pm,8月7日,周三


概况:


到2025年,电动机(EM)预计将占据全球每年电力消耗的40%以上,市场规模可达214亿美金。它们可以驱动自动驾驶车辆和运输系统、精确控制工业系统中的机器人运动甚至可以震动你的手机。它们无处不在,并且由硬件和App进行控制。针对EM的攻击填补了网络空间与物理世界之间的空隙,可导致现实世界中的破坏。


大家的研究旨在提供对EM安全风险的一个综合性评估,为风险评估人员提供发现漏洞的新思路。根据对不同EM的大规模分析以及真实SCADA和运输系统中的应用案例研究,大家分析了针对EM的不同攻击目标以及相关攻击技术案例。损害类型包括失控、部件磨损、限制扭矩、电机转速过快、火灾以及因脉冲宽度调制(PWM)导致的意外损害。这些攻击技术都是基于以前的研究,并且没有被提出过,包括扰乱PWM的引脚控制攻击、DoS或网络注入攻击、传感器攻击以及控制器的App库缺乏安全控制。
 

IoT安全


议题:波音787核心网络逆向工程


演讲者:Ruben Santamarta


时间:4:00pm-4:50pm,8月7日,周三


概况:


2008年美国联邦航空管理局(FAA)为波音787梦幻客机发布了几项特殊条件。其中对梦幻客机新配备的“电子化”功能提出了安全上的考虑。该场景在安全社区内引发了一些警示,但最终消弭无形。10年之后,本次演讲将对波音787的核心网络发布首次公开分析,揭示原设计中存在的一些安全问题。本次演讲还将阐述这些安全漏洞可造成的额外影响。
 

议题:合法地欺骗全球卫星导航系统及对自动驾驶车辆的影响


演讲者:Victor Murray


时间:10:30am-10:55am,8月7日,周三


概况:


许多系统依赖于全球卫星导航系统(GNSS)进行精确定位。公共的GNSS缺乏完整性机制,易受欺骗攻击。美国联邦法律并不允许对GNSS等信号进行无线欺骗,因此难以在实验室之外评估其脆弱性。大家的研究证明了一个可以合法地评估真实世界GNSS漏洞的移动GNSS欺骗系统的有效性。该移动欺骗系统被用于评估地面无人车辆(UGV)的漏洞。UGV GNSS中的漏洞可被用于发起多种攻击,包括强制切换车道、离开马路以及停车。
 

议题:IoT入侵:从小工具到欧洲的最高级酒店套房


演讲者:Ray ., Michael Huebler


时间:5:00pm-6:00pm,8月8日,周四


概况:


大家将针对玩具、挂锁的蓝牙LE入侵技术扩展到真实世界。在先前的研究中大家破解了NOKE挂锁中的AES加密,现在大家改进了相关工具和方法,用于破解酒店的移动密钥:无线嗅探某人进入了他的房间 - 或者仅仅是解锁电梯 - 以及利用任何支撑BTLE的电脑甚至是树莓派重建数据来打开门锁。


本次演讲中大家将展示大家用于入侵一个大型连锁酒店的BTLE移动密钥系统的工具和方法,并从学术性的PoC中开发出可在真实场景中发起攻击的可靠步骤。演示的方法包括对BTLE无线协议的逆向工程、对移动APP的反编译以及拦截后端API的TLS加密流量。
 

供应链攻击


议题:内部的敌人:供应链攻击


演讲者:Eric Doerr


时间:9:45am-10:35am,8月8日,周四


概况:


我在你的供应链中,你也可能在我的供应链中。日益互联的基础设施使得大家都很脆弱。随着数以亿计的设备和数以百万计的企业押注于云端,复杂的攻击每天都在出现。硬件、App、基于服务的攻击、与供应商和合作伙伴的交往,这些都在发生。


走进幕后,了解前所未知的供应链攻击 - 从攻击者的技术和目标,有效削弱攻击的机制到保护开发人员的挑战。从统计学上来说,每一个人最终都会成为供应链攻击的受害者。无论您是在SecOps还是APP开发中,您都可以在本演讲文稿中找到如何防御供应链攻击和保护系统的实践指南。
 

议题:App供应链透明度:让App物料清单(SBOM)成为现实


演讲者:Allan Friedman


时间:5:05pm-5:30pm,8月7日,周三


概况:


大家不能在不了解其成分的情况下购买一块糖果,或是在不考虑每一个螺母和螺栓的情况下设计和销售一个机器。然而,即使供应链的不确定性已经成为最重要的信息安全风险,大家对App第三方组件的可见性依然有限,而且App供应商跟踪其第三方依赖关系的市场激励几乎没有。


App物料清单(SBOM)可以提高整个App供应链中的代码透明度。去年夏天,美国商务部发起了一项新的“多方倡议”,并召集专家就这一理念的可行性和如何在没有政府监管的情况下实现这一目标达成共识。多个行业的参与者在过去一年中一直在探索这一理念及其在多个领域的应用(从开源开发到商业DevOps到嵌入式医疗设备)。


本次演讲将发布这一项目的初步结果。包括参与者们制定的SBOM共同愿景,从草拟一份最小可行版本到不同使用场景下的扩展选项。本项研究横跨了多个行业,调研了现有的做法以及在供应链中采用SBOM可带来的不同程度的提升。相关方还发现了两个可与SBOM数据兼容的现有格式(SWID和SPDX)。一组相关方甚至发起并记录了PoC实践。大家开始制定自动化的工具和正式流程。展望未来,大家需要更多的参与和社区支撑,以推进这一项目和共同解决未来的挑战。
 

钓鱼攻击


议题:如何利用DNS检测您的域名是否遭到钓鱼攻击


演讲者:ArnoldH?lzel, Karl Lovink


时间:5:00pm-6:00pm,8月8日,周四


概况:


作为一个备受瞩目的公共部门,荷兰税务和海关总署每天都要处理大量伪装成该组织的钓鱼邮件犯罪。通过使用RFC7208 - 发件人策略框架(SPF),大家开发了一种识别钓鱼攻击的检测技术,该技术用于检测伪装成荷兰税务和海关总署的钓鱼攻击。该技术可普遍适用,前提条件是可访问DNS日志。利用这种技术,大家可以洞察钓鱼邮件是从哪里发出以及发送给谁。


本次演讲中,大家将首先先容当前邮件安全的可用标准,大家将简要讨论STARTTLS、SPF、DKIM、DMARC、DANE和MTA-STS协议,还将讨论SPF的高级选项。最后,大家将链接所有的协议,检测域名是否被钓鱼攻击滥用。大家开发的框架可以让您更深入地了解伪装成您组织名称的钓鱼攻击,大家坚信如果这些技术被广泛使用,钓鱼邮件攻击将会大大减少。
 

应用安全


议题:虚拟机逃逸:Hyper-V IDE仿真器中的漏洞利用


演讲者:Joe Bialek


时间:11:15am-12:05pm,8月7日,周三


概况:


云的增长增加了世界对虚拟化堆栈安全性的依赖度。但与所有App堆栈一样,虚拟化堆栈也存在漏洞。本次演讲中,我将讨论通过Hyper-V漏洞奖励计划报告的一个虚拟机逃逸漏洞,该漏洞存在于Hyper-V的仿真存储组件中。我将演示如何在Windows Server 2012R2中利用此漏洞。然后我将讨论Windows在2012R2到Redstone 3之间的变化,并演示如何在Redstone 3中通过大量强化措施成功利用此漏洞。这将为数年间平台强化对漏洞利用的影响提供经验依据。最后大家将讨论MicroSoft在此次实践中的收获以及大家如何强化Hyper-V堆栈(及关键代码)。
 

议题:他说,她说:毒化的RDP攻与防


演讲者:Dana Baril, Eyal Itkin


时间:4:00pm-4:50pm,8月7日,周三


概况:


可以安全地假设阅读此段文字的人都知晓RDP协议,但有没有人考虑过仅仅是使用RDP也会对其计算机造成危害?


在本次演讲中,大家将不会讨论RDP中的典型攻击场景(服务器受到攻击) - 相反,大家将演示仅仅是连接到一个恶意系统,也可能会使你自己的系统受到可靠且静默的攻击。尽管主流开源RDP客户端存在许多漏洞,本次演讲将直指核心:MicroSoft的终端服务客户端,即MSTSC.EXE。总之,大家将深入研究客户端和服务器端之间的主要同步资源:剪贴板。大家发现这种资源同步存在固有的设计问题,Hyper-V也受到影响。


对于攻击者来说,这种设计缺陷可以实现沙箱逃逸的新方法。对于防御者来说,有一种方法可以反击。该攻击技术可以被Windows内部遥测技术检测到。本次演讲中Check Point及微软的研究人员将从攻和防两个角度分享攻击的内部故事。
 

议题:防御快速变化的DDoS攻击


演讲者:MuditTyagi, Mikhail Fedorov


时间:5:05pm-5:30pm,8月7日,周三


概况:


2018年6月ProtonMail遭到快速变化的持续型DDoS攻击,攻击类型包括Syn泛洪、TCP握手违规、TCP零序、ACK泛洪、NTP非标准端口泛洪、多种协议的反射攻击(SSDP、NTP、Chargen、LDAP以及Memcache)。


大家创建了一个模拟ProtonMail攻击的攻击工具包,并用它来研究不同防御措施对此种攻击的防护效果。大家发现对于SOC人员来说,采用标准的技术几乎不可能防住这种快速变化的爆破攻击,因为人类从理解该攻击到采取相应的防护措施的速度太慢。


大家采用无监督机器学习算法来确定基线,实行异常检测和缓解措施,然后结合另一个机器学习算法来调整第一个算法的性能,通过这种方式,大家获得了最有效的防护。有了这个方案,SOC人员不必以机器的速度做出反应,而只需监控机器的检测结果和动作。
 

议题:生物特征身份识别面临风险:入侵活体检测技术


演讲者:Mudit Tyagi, Mikhail Fedorov


时间:5:05pm-5:30pm,8月7日,周三


概况:


依赖生物特征识别的身份验证技术已经被广泛应用于设备解锁、App登录、实名身份验证以及移动支付等场景中。与传统技术(如密码)相比,它为人们提供了更方便的身份验证体验。


典型的生物识别身份验证过程包括生物特征收集、预处理、活体检测和特征匹配。随着生物识别数据的泄漏和AI欺骗能力的增强,活体检测已经成为生物识别身份验证安全性的致命弱点。以往的研究主要集中在如何生成假数据,但缺乏对活体检测安全性的系统性调研。


在本次演讲中,大家将先容大家的活体检测攻击库,并演示如何利用它来绕过几种现有的生物识别认证产品,包括2D/3D面部认证和声纹认证。大家的武器库包括以下两种武器:


- 通过恶意硬件将虚假视频或音频流注入隐藏的攻击媒体

- 创建特定的识别场景以触发活体检测算法的漏洞


利用上述武器及其组合,大家可以:


- 入侵应用程序的基于生物识别的登录或密码恢复功能,然后通过注入从面部照片或简短的电话录音生成的假视频或音频流远程登录受害者的帐户

- 解锁受害者的手机,然后通过移动支付App转移其账户中的金钱,攻击方法是在睡着的受害者的脸上放一个带胶带的眼镜(大家将它命名为X-glasses)来绕过FaceID和其他类似技术的注意力检测机制。


另外,大家提出了一种新的攻击模型,可以根据硬件注入和设备ID欺骗来远程登录App。
 

移动安全


议题:API引发的SSRF:Apple Pay如何在网络上扩散漏洞


演讲者:Joshua Maddux


时间:11:00am-11:50am,8月8日,周四


概况:


WWDC看到了Apple Pay Web的曙光,这是一个允许电商网站嵌入Apple Pay按钮的API。支撑该API需要复杂的请求流,包括客户端证书和自定义会话服务器。这种方式被证明是有害的,因为Apple没有提醒接受不受信任的URL的严重副作用。这导致许多新的SSRF漏洞出现。更糟糕的是,虽然这些漏洞的利用方式和发现途径是类似的,但它们分散在多种编程语言的不同代码库中,因此没有一个通用的修复方式。


Apple并不是唯一一个存在问题的,Twilio、Salesforce等都存在类似的广泛攻击面。如果企业未能对客户采取诚实的态度,这些安全风险就会被隐藏起来。参与集成API的开发者的背景常识往往更少,导致这些风险更难以被识别。


在本次演讲中,大家将通过演示这些问题来探讨重新思考API安全性的可行方法。