纯情博客为您提供最新网络安全黑客博客信息资讯

  “,!” (探索一切,打破一切)

  今年的KCon黑客大会上周末如期而至。 作为已经连续举办了4届(今年是第5届),并且日趋成熟的安防技术交流盛会,一直本着“用技术说话,有趣”的精神的KCon,今年有哪些干货和亮点?

  最大的彩蛋——黑帽创始人 Jeff Moss

  先说说今年的亮点吧。

  今年最大的彩蛋莫过于Black Hat创始人Jeff Moss及其团队的亮相,与创宇创始人兼CEO赵薇先后亮相开幕致辞。

  杰夫莫斯

  杰夫在致辞中表示,安全问题是全球性问题,需要全世界共同面对。 无论是在KCon上发现的问题,还是新的解决方案,都会影响到中国黑客,更会影响到整个世界,更大的安全社区。 真正的黑客、安全研究人员或学者,他们所做的与网络犯罪分子所做的相反,他们想告诉人们可能会发生什么。 无论是政府还是企业,都会遇到网络安全问题,自己没有足够的力量去解决。 这需要整个安全社区共同努力,这个社区也需要中国黑客的积极参与。 中国的年轻黑客可以从参加其他国家和地区的安全会议开始,共同发现网络威胁并分享研究成果。

  此外,杰夫在随后的采访中也谈到了两个观点。

  一是“人”与“技术”的平衡。

  Jeff 说,他在世界不同地区举办黑帽大会时,往往关注的是技术本身,但当你遇到安全问题时,你可以求助的人一定是你在这些安全大会上结交的朋友。 朋友wordpress插件,那些你相信能够帮助你的人。 由于电子邮件的欺骗性,您不能完全信任它们; 对于一些非常敏感的事情,你必须保持沉默,不能和任何人谈论技术细节; 但是,在黑帽大会上,你可以找到一个你信任的人,一个可以分享的人可以依靠的人。 他认为,安全会议的魅力一半在于技术本身,一半在于你遇到的人。 技术与人之间存在巧妙的平衡。

  二是关于国家层面的网络对抗。 相较于中美、美伊、或者正在崛起的朝鲜,美国人更担心的是俄罗斯。

  杰夫这样解释:

  美俄之间的贸易往来十分密切,两国关系中夹杂着太多的商业因素。 最近对民主党全国委员会 (DNC) 的攻击表明,俄罗斯会将黑客能力用于政治目的。 这很危险,因为黑客不会自己动手。

  震网事件发生后,人们意识到,相比投掷炸弹杀人,进行网络攻击或许是一种新的方式和选择。 但我们从民主党全国委员会事件中看到的是培训脚本,俄罗斯试图影响美国。 它不是攻击能源等关键基础设施,而是通过泄露政府人员的电子邮件内容并利用内容本身的相关性来扰乱你。 这可能就是为什么我认为这种真相与虚假信息的对抗是新型网络战的未来。

  反观中美,我觉得中美关系至今还是可控的。 互相尊重,不太可能背离。 中国再强大,也已经是世界性的问题了。

  除了Jeff Moss之外,与Jeff一行来到中国的全球协调员赵薇和E.也接受了媒体的采访。

  左起:E.、赵薇

  赵薇在现场向媒体介绍,相较于金碧辉煌的RSAtypecho主题,商业化感更强(对于RSA与RSA的区别,他表示RSA更多的是企业聚在一起讨论网络安全,更多的“人”聚在一起讨论安全。),KCon更多的是朝着这个“集市”的方向努力,只用技术说话,同时更接地气也更搞笑,并且更“乱”。 这次因为一些老朋友,也因为全球安全界需要中国的积极参与,Jeff和He受邀参加了KCon。

  “现在,中国的很多大型互联网公司,比如阿里、腾讯,都在走出去开拓自己的海外市场。如果我们中国人也能在某些方面输出中国的安全能力,那将对世界产生巨大的影响。”整个网络环境的安全也是一种贡献。”

  他还对媒体说,中国很多人都做了很多事情,有很好的研究成果和产品。 讲中文的人实际上是通过在 上分享他们的研究成果,与世界上所有的安全研究人员分享他们的研究成果,这对所有人都有好处。

  此外,赵薇希望业内人士不要对他讲话中提到的因电信诈骗致死的女大学生徐雨雨事件无动于衷。 他表示,通过腾讯这样覆盖数亿中国用户的平台,使用智创鱼的数据、技术和研究成果黑客信息收集的目的,并用在这数亿人身上,是一个非常享受的过程。 ,今后也将继续积极支持和参与。

  最后简单说说赵薇的话中的KCon精神。 赵薇认为KCon的精神有两点。 一是讲黑客黑客用技术说话; 融合与共存。

  KCon是黑客的盛会,也是黑客界的“华山论剑”。 行走江湖,拥有一把得心应手好用的兵器是非常重要的,其价值不是银两可以衡量的。

  行走的黑客也是如此。

  行走江湖参考手册——武器谱

  受到阿森纳()项目的启发,今年的KCon也首次亮相“ ”。

  入选武器谱的12款“武器”(一)

  入选武器谱的12款“武器”(二)

  据武器频谱项目负责人、创宇404安全研究员、社区运营负责人张祖友告诉记者国内 chatgpt,近年来国内出现了很多安全团队,但大多数他们正在进行攻防研究。 是的,但是很少有人关心安全自动化工具的开发,以至于一些在安全圈内使用人数比较多的自动化工具一直都是国外的安全团队开发的。 而这也是这个武器频谱项目的初衷。

  “这次KCon的武器谱非常简单,几乎不涉及任何商业利益。因此,我们在做这件事的时候,并没有过多考虑这些武器来自哪些公司。这次筛选这些武器的核心是标准就是工具本身的实用性,简单来说就是好用不好用;另外就是工具本身是不是比较开放,比如一些开源的,或者愿意开放的免费升级,不是明码标价公开销售的产品。

  武器频谱展区

  张祖友还向记者提到了今年参加亚洲比赛时发现的一些有趣现象。 在国内的安全会议上,可能由于一些商业原因,更多的只是停留在介绍自己的产品功能和技术特点上; 但在黑帽大会上,情况就不同了。 如果参会者过去咨询chatgpt,参会厂商或团队会非常热情地讲解整个工具的原理,甚至“更”会拿出源码进行讨论。

  如果说摆脱束缚、追求自由是一种黑客精神,我想,对纯技术的向往并愿意积极分享,不正是对黑客精神的另一种诠释吗?

  当然,即便是在工具交流与分享方面,好玩也应该是不可或缺的要素之一,但仅在这一点上,武器光谱展区的布置就略显不足。 据记者观察,与会者虽然对工具很感兴趣,但更多的是在观察咨询中更加谨慎地学习,而不是表现出那种“集市”式的思想交流和碰撞。 而这个方向也正是KCon一直在努力的方向,即“集市与大教堂”。

  》今年( )是KCon尝试的元年,希望可以更自由地做,导游会主动介绍wordpress插件,展区的小伙伴也可以参与其中,亲自去玩,感受这些武器的锋芒;明年我们会像武侠小说中的华山论剑一样,加强趣味性和互动性两个方面,让它更有意义。”

  知乎创宇CSO周敬平(黑哥)为此次武器谱入选的12款“武器”代表颁发了“武器谱”证书

  用技术说话——技术问题干货精选

  回归技术干货,小编选取了云安全、安全运维、移动安全、无线安全、车联网安全、工控安全、僵尸网络识别与监控等7个细分安全领域和8个主题。 分享给大家。

  1.云安全问题——“云”

  李克毅

  在李科仪看来,云服务的基础设施主要涉及六个方面:弹性计算与网络、存储、数据库、监控与管理、安全、其他(视频、游戏、移动等服务)。 每个云服务商都有自己独特的云服务,资源开放,按需付费,但安全“附魔”也比较难控制。

  此次,李科仪主要讲述了云安全屏障内的业务逻辑系统、调度系统、生产系统、管控系统等方面的安全问题。 这些安全问题包括系统中多层服务模块过度松散耦合导致的安全责任不明确(传递业务/资源信息不对称); 通过函数、java反序列化漏洞、XML实体注入、命令注入和未授权调用等方式对开源消息中间件(Kafka、、、等)进行攻击; 运维管理系统的管理控制、部署发布、状态监控、统一配置管理等API越权调用、ACL绕过、开源管控系统漏洞等造成的安全风险; 未经授权访问内部服务。

  “开源产品不等于安全,它们存在一些已知的安全问题,比如一些CVE漏洞,还有一些配置和权限设置不严导致的沙箱绕过,还有一些网络边界和部署的安全问题,比如云服务薪水系统接口暴露于公网等。”

  具体攻击思路:

  从进程、网络流量、端口中找到代理信息,定位到其坐标后,对其进行安全测试,测试与代理坐标在同一网段的系统。

  对于内网IP的采集,可以通过负载均衡健康检查器、云安全扫描、云监控请求日志、浏览器检测产品请求日志等方式实现,并通过回源功能(CDN、云WAF)、域名称解析+结合服务、网络代理和回调(API网关、云通信和移动网络接入服务)、消息推送等方式实现对内部组件的访问。

  破解思路总结:

  2. 安全运维问题——《塔防模型登陆运维战情报

  姚伟

  在黑客大叔姚伟看来,企业安全的现状就是黑客对企业的无差别攻击。 随着企业网络和业务系统的复杂化,可以攻击的点越来越多黑客信息收集的目的,但现实是,有防护的地方无人攻,有攻击的地方无人守。

  “0day漏洞很可怕,但你不配!”

  同时,企业漏洞修复的实施,将受到企业安全部门负责人、安全人员、运维人员、研发人员的“一脚踢”。 及时修复,甚至出现“补漏洞的人不懂安全,懂安全的人插不上,真正能修复漏洞的人连服务器的账号密码都没有”的情况”。 或许,姚伟在今年ISC Maker Fair上提出的“让企业运维和研发人员成为企业安全能力的输出”,更能直白地说明他想做什么。

  “企业其实并不知道哪些攻击路径和一些迂回路径,可以掌握核心数据;IDS/IPS等安全设备的堆叠并不是纵深防御(需要通过配置来规范攻击者的路径设备策略和权限,然后逐层削弱攻击面),防御设备甚至可以成为攻击者的跳板。”

  姚伟认为,企业做安全的动力来自于对信息资产、漏洞和威胁的管理; 其中,在漏洞层面,要有漏洞内部归属管理,明确漏洞产生原因,漏洞修复复检; 在安全威胁的同时,企业必须能够对安全事件进行定性并追溯威胁的来源,并知道谁将杀死他们。

  “企业安全部门需要对内部资产进行梳理,建立纵深防御体系与资产所有权对应,建立外部威胁情报和安全漏洞情报消化系统,配合企业运营和运营。维护和研发部门最终落实到信息资产,解决资产产生的安全问题。”

  总结:

  3. 安全问题——《App之三》

  "

  第三方库的范围包括图片库、音频库、浏览器、地图、协议相关库(如 )。 在:

  Fuzz工具及其特点:

  组合使用:

  MFFA+Peach,基于桃核生成样本,使用MFFA传输样本到手机,设置目标监控崩溃。

  避免第三方库安全风险的建议:

  开发前检查使用的SDK是否存在历史漏洞,使用第三方库开发后进行漏洞扫描(扫描器需支持第三方库漏扫)。

  4. iOS 安全——“在 iOS 中”

  黑人兄弟

  URL本身可以通过软件注册自定义,实现软件间的相互调用。 它在 Mac 和 iOS 下的定义位于 Info.plist 文件中,它具有“在 iOS 下全局有效,无需运行应用程序即可安装”。 生效”、“iOS下的连接会被或者”这两个特性在iOS下的Links属性识别为链接。

  本质上是跨应用脚本执行(UCAS),即在iOS系统上,安装一个注册为URL的app(一般是浏览器app),会导致使用并设置Links属性的app被攻击,达到恶意调用app的效果。

  当然XSS在iOS下还有一些其他的使用场景,其js代码的执行域取决于URL参数。 例如,使用promp函数的提示框和iOS系统下系统实体的提示框极具针对性,容易混淆用户和钓鱼; app A触发XSS,调用某个函数,实现给app B发送链接; iOS5之前,可以读取联系人、短信、照片等文件。

  “我认为这是iOS系统的设计缺陷,虽然苹果已经确认并在iOS10测试版中修复,但没有回应。移动应用安全的独立性非常重要,但在很多情况下安全并不重要。” “足够了。它必须在系统级别完成,每个应用程序只能通过自己的方式做到最好(安全)。”

  5. 无线安全问题——《倾听:无线之旅》

  去年的KCon讲了绕过电子锁的话题,给出了一些实用的破解方法,今年的也一样。

  无线电波的攻击方式有很多,比如信号干扰、重放攻击、数据伪造(注:之前360独角兽团队劫持伪造GPS信号实现无人机欺骗)和模糊测试等。在这些手段中typecho主题, “向目标发送畸形数据并获取崩溃信息”的fuzz test()似乎是发现漏洞最快的方法。

  攻击具体包括:

  “可用性和安全性之间的平衡是一个永恒的问题,任何交互都可能成为潜在的攻击点。”

  6. 车联网安全《智能汽车内网入侵检测研究》

  李军

  随着自动驾驶技术离我们越来越近,人们开始关注车联网的安全性。 主要原因是入侵者通过安全漏洞进入汽车内部网络后,可以控制汽车的加减速、转向等物理功能。wordpress主题,进而直接危及车内人员的生命安全。

  据李军介绍,除了入侵车载传感器(欺骗干扰数据采集过程)和GPS欺诈(影响自动驾驶和导航)外,最严重的是入侵CAN总线(网络协议)再由ECU(Unit)电控单元控制发动机、制动系统、变速器等部件,远程实现对车辆本身的整体控制。

  由于汽车控制系统本身的实时性要求和CAN总线协议的局限性(CAN数据帧不包含源地址和目的地址,难以追踪数据传输的来源),攻击者可以通过参数注入和伪造 ECU 的目的。

  《我们的汽车内网入侵检测系统采集实时数据流->提取车速、挡位、转速等实时参数->利用深度学习对各参数的非线性关系进行建模并进行交叉预测->设置阈值,比较均方误差偏差->实现检测CAN总线异常,即可能发生入侵行为。”

  7.工控安全问题——《感知、诱捕、情报、协同:网络空间工控系统威胁情报》

  和服

  Kimon一开始提到了一个很有意思的概念,叫做“高级威胁情报”。 在他看来,威胁情报分为三种,一种是基于数据情报的“基础威胁情报”,包括流量、文件、BGP、whois、DNS等信息; 另一种是机器可读的“战术威胁情报”,经过数据关联分析,目的是情报的落地和各方的合作联动; 然后是“战略威胁情报”黑客信息收集的目的,它的特点是它是给人看的报告,它的价值在于辅助上层决策,包括分析、感知预测。 而且,由于战略情报与决策直接相关,不容有任何损失,否则企业将付出惨重的代价。 比如威胁情报公司Norse,去年对索尼影业的攻击做出错误判断,最终面临破产。 工控系统的威胁情报,由于关系到国家的关键基础设施,作为网络空间安全的底线,将直接影响国家的战略方向。

  在工控设备的搜索识别中,目前常见的有五种类型:

  对于工控设备的威胁采集,除了建立威胁事件数据库外,Kimon认为更重要的是识别威胁背后的潜在行为,比如是否有工控服务暴露在设备上。公网,入侵者是否开始尝试下发指令、植入后门或PLC木马等。

   Labs提出的被动威胁感知平台架构

  “我们希望利用被动威胁感知架构,对那些扫描并试图攻击我们工控设备的人进行识别和聚类。我们计划使用探针来监控正在扫描设备并渗透到企业内网的黑客,并通过数据镜像,交互通过反馈等方式收集数据情报,并结合第三方威胁情报,进行数据关联分析协同,最终将分析结果反馈给SIEM平台。”

  8.僵尸网络问题——《对抗僵尸网络攻防的激情岁月》

  b1t

  b1t之前对僵尸网络的研究源于他在阿里云工作时对“恶意主机”工单的处理。 他当时的想法是利用PE和ELF代码段的哈希值作为静态特征,通过进程通信提取恶意软件CNC,实现对主机流量和进程的检测,进而实现对恶意IP和进程。

  随后,他提到了他目前作为Orion Labs威胁情报团队负责人正在从事的“ ”的规划。 目的是监视和控制僵尸网络。 这个阶段主要是识别和监控。

  僵尸网络威胁情报工程分为情报收集平台、情报分析平台、情报分发平台三部分,其中蜜罐系统是情报收集平台的主体部分。 b1t使用MHN进行分布式部署的蜜罐类型主要有数据库蜜罐、web蜜罐、服务蜜罐。 b1t的主要目的是收集主流PoC和恶意下载源,以及提取恶意样本。 CNC攻击指挥监控系统是情报分析平台的主体,通过情报采集平台的恶意样本提取并检测C&C服务器,僵尸网络控制机C&C的IP、端口和协议(模拟僵尸网络通信协议尝试连接,测试端口是否仍然打开)黑客信息收集的目的,分类,通信协议反向和监控。 之后,将对上述相关数据进行简单的数据分析。

  当然,除了技术干货,还有足够的啤酒和摇滚黑客,也是KCon的看点之一。

  写在最后

  正如杰夫所说,安全是全球性的,是所有使用互联网的人共同面临的问题。 任何国家都不可能是唯一的,更何况是一个企业。 安全需要更多多层次的交流与分享,思想的碰撞。

  愿KCcon在成为中国第一“黑客集市”的道路上走得更远。

  - - -

  最新版微信,长按公众号,即可“置顶”