【BlackHat 2017】美國黑客大會首日議題匯總，演講PPT下載也在這裡

新聞 07-29

今年是 Black Hat 舉辦的第 20 個年頭，高溫酷暑也擋不住全世界黑客和安全人員奔赴拉斯維加斯的熱情。畢竟這可是一年一度的盛大狂歡啊。今年的 BHUSA 從美國東部時間時間 7 月 22 日（北京時間 7 月 23 日）開始，到 7 月 27 日（北京時間 7 月 28 日）結束。前四天照例是各種 Training，而最後兩天則是乾貨滿滿的各類 Briefing 分享，以及 Arsenal 工具展示分會場和 Pwnie Awards頒獎等內容，這些都是 Black Hat 的保留節目了。

FreeBuf 對此進行了圖文直播，並設立專題報道，各位感興趣的可以點擊查看。

這兩天的 Briefing 分享主要包括：

無線安全

惡意軟體

漏洞利用工具

安全硬體/植入

網路防禦技術

攻防對抗

物聯網安全

智能電網與工控安全

Web應用安全

人工智慧（機器學習）

社會工程學

人類行為研究

加密技術

企業安全

攻擊程序的開發與應用

安全硬體

平台安全（虛擬機、操作系統、主機以及其他平台）

政策法規

安全開發

逆向工程

北京時間 7 月 27 日24:00 （拉斯維加斯時間 7 月 26 日 9:00），FaceBook 首席安全官 Alex Stamos 率先發言，以「向前一步：促使信息安全社區重新關注防禦，為每個人提供安全幫助」為主題進行分享，拉開了為期兩天的 BHUSA 主會場分享的序幕。

Stamos 表示，信息安全社區尚未發揮全部實力。

時代在飛速發展，我們所在的信息安全行業日新月異，行業新聞近乎每周都能上頭條。但與此同時，信息安全從業者卻大多跟不上行業發展步伐，也沒有充分認識到身為信息安全從業者所要承擔的責任。

我們現在能很嫻熟地不斷發現各種問題，但是卻沒法從根本上解決問題。我們需要更細心地思考一下，在發現問題之後，到底能採取哪些措施進行防禦。

對此，Stamos 提出了三點需要注意的問題：

首先，信息安全總是關注漏洞的複雜特性。然而，防禦者也許還在研究複雜問題，但攻擊者卻往往能利用最簡單的方法來達到目的。

其次，信息安全從業者缺乏同理心，而且總會傾向於批判那些做得不好的人。學會同理心，不僅是對同儕，還要學會從普通用戶的觀點看問題。

最後，許多信息安全從業者沒有真正發揮潛能。

基於以上問題，Stamos 相信，只要認識到問題並積極改進，整個行業還是有望更進一步的。

下面，就讓我們回顧一下 BHUSA 首日幾個比較熱門或者有趣的議題吧。FreeBuf 後續也會對其他議題進行精彩報道，歡迎關注。

【影響全球所有運營商的 3G, 4G LTE 漏洞】

3G 和 4G 網路終端目前在全世界範圍內都已普及。但這類 LTE 網路其實很容易受到各種攻擊。在今年的 BHUSA 大會上，來自 TU Berlin，哈佛大學、ETH Zürich 的六名研究員共同分享了最新發現的蜂窩網路中的漏洞，攻擊者可以利用這個漏洞定位手機並實施監聽，攻擊成本很低。這打破了 3G、4G 蜂窩網路比 2G 蜂窩網路更安全、能夠避免追蹤和監控的神話。

新發現的漏洞存在於 3G 和 4G LTE 網路所使用的協議中，是一種密碼學漏洞。這個協議能讓移動設備直接與蜂窩網運營商相連。兩名研究人員發現了認證和密鑰協議中的這個漏洞，該協議在設計上原本是讓用戶與網路進行安全通訊的。這種協議依靠存在於手機運營商系統中的計數器運行，實現對設備的認證並阻止重放攻擊。但是研究人員發現該計數器並沒有得到有效保護，導致攻擊者可以在消費者打電話或發信息的時候監控消費行為，或追蹤設備的地理位置。幸好這個漏洞不會讓攻擊者攔截通話和簡訊內容。

這個漏洞為下一代的 stingray 監聽設備（即 IMSI 追蹤器）鋪好了路。

Borgaonkar 表示

由於硬體和軟體設置成本都比較低，未來可能會很可能看到有人利用這種設備監聽自己的配偶，或者有老闆針對員工進行追蹤，以及出於商業和廣告需要用這種設備掌握用戶資料。」這種硬體最低成本僅需 1500 美元，這對某些攻擊者或者情報機構而言只是很少的投入。

Borgaonkar 的德國同事已經針對多個歐洲移動網路成功發起過 PoC 攻擊。由於該漏洞存在於 3G 和 4G標準中，所以研究人員表示，漏洞

影響到了全球所有的運營商

，以及現如今的絕大部分設備。

開發該協議的 3GPP 組織已經了解到該漏洞，研究人員期望該漏洞可以在未來的 5G 標準中解決。

【網路釣魚的心理探究】

關於網路釣魚，大家早已見怪不怪了。這種傳統的攻擊方式雖然屢見不鮮，但總能達到成效。在 BHUSA 2017 分享會中，來自 Stripe 的安全工程師 Karla Burnett 發表議題「Ichthyology: Phishing as A Science」，分享了自己對網路釣魚進行的科學研究，揭示了網路釣魚的心理學原理，以及釣魚攻擊總能取得成功的原因。

Burnett 表示，一般人們見到的網路釣魚多半是釣魚郵件，比如某個奈及利亞王子想讓你提供銀行賬號和明細，幫他一個忙，然後他就互給你一大筆錢作為答謝。這種郵件一看就是攻擊者懶得花心思，而受到郵件的用戶也大多能夠辨別出來，可以置之不理。但事實上，每年上鉤的人還是有很多。

究其原因，主要還是與人們的心理活動有關。Burnett 指出，某個思維研究心理學院校認為，人們主要有兩種思維模式：模式1（快速思考），模式2（慢速思考）。快速思考者大多相信直覺或本能（例如在路上突然轉向，躲避小轎車）。這種思維模式也被稱為直覺型思維。用這種思維模式的人非常情緒化，很容易受騙。而慢速思考者則會緩慢且系統地思考問題（例如在做商務決定時，寫下支持意見與反對意見的列表，幫助思考）。這類人比較理性，通常對失誤持懷疑態度（較不容易受騙）。

但是，在如今生活節奏飛快的時代，我們往往沒時間事事都採取慢速思維，所以看到釣魚網址或鏈接等時，很容易採用快速思維，直接點開，最後難免中招。

現如今，反釣魚培訓面臨的問題在於，它要求人們去觀察 URL 地址或者在點擊鏈接之前停留一下，這就要求人們採用第二種思維模式而非第一種。這種培訓僅在人們對一封郵件產生懷疑時才會產生作用。如果某封郵件看起來和其他郵件差不多，是無法訓練某個人用第一種思維模式去判斷這封郵件是否可疑。

Karla Burnett

認為，

不論一個人自身技術水平有多高，都難免受到釣魚攻擊的影響，因為釣魚攻擊深深利用了人們的心理和思維弱點。所以，

Burnett

對於反釣魚培訓其實

表達了一種悲觀的態度：無論如何，每個人都會被釣魚。

更多詳情可以點擊原文閱讀。

【 HTTP 中隱藏的攻擊面】

現如今的網站都是通過透明的系統（反向代理、負載平衡器、後端分析系統等））進行訪問，這樣主要是為了提升性能、方便提取分析數據、並提供大量附加服務。這就造成了這些透明系統的攻擊面幾乎不可見，因而多年來一直被忽視。

來自 PortSwigger Web Security 的首席研究員 James Kettle 就此在 BHUSA 上做了一個主題為「Cracking the Lens: Targeting HTTP』s Hidden Attack-Surface」的分享。在分享中，Kettle 使用構造出的惡意請求和相對少見的 header 對這些透明系統進行誘導，讓系統自動顯現弱點，敞開攻擊受害者網路的入口。同時，Kettle 還展示了自己綜合利用這些技術並配合Bash，入侵美國國防部網路的過程。因為發現了這些漏洞，他還拿到了 3 萬美元的獎金。此外，他還意外入侵了自己的運營商。

Kettle 還展示了入侵過程中發現的其他隱藏系統，包括英國最大網路運營商的隱蔽請求攔截、來自哥倫比亞的可疑網路運營商、一個複雜的 Tor 後端，以及一個反射型 XSS 演變為 SSRF 攻擊的系統。分享內容還包含利用一系列工具和緩存機制暗中執行 SSRF 攻擊的策略。

最後，Kettle 還分享了兩款工具：

Collaborator Everywhere，這是一款 Burp Suite 插件，可以通過向 web 流量中自動注入危害較小的 payload 讓後端系統現形。這款工具可以在 BApp 商店中下載安裝，也可以在 github 上下載。下載地址可以點擊閱讀原文查看鏈接。

Rendering Engine Hackability Probe 是一個可以分析相關用戶攻擊面的 web 頁。可以在 github 上下載，也可以點擊原文查看鏈接並直接使用。

關於這個議題的詳細內容，FreeBuf 後續會給出報道。著急的同學也可以先查看原文啃一啃原版報告。

【在移動生態系統中打擊目的明確的惡意軟體】

這個議題是由來自谷歌的軟體工程師 Megan Ruthven 和來自 Lookout 的安全研究員 Andrew Blaich 所分享的。議題與谷歌新發現的一個安卓間諜軟體有關。

今天谷歌安卓安全團隊宣布發現了一個名為 Lipizzan 的間諜軟體，公然出現在 Google Play 商店中。所幸目前感染的設備數量較少，谷歌已經用前不久剛剛全面發布的 Google Play Protect 產品移除了受害者設備上的 Lipizzan。據統計，目前感染 Lipizzan 的 APP 共有 20 款，只出現在不到 100 台設備中。

Lipizzan 感染設備之後，利用傳統的手段，繞過 Google Bouncer 安全系統，並將惡意行為拆解成兩步，在第二階段組件運行時可以獲取設備上的谷歌安全檢查歷史。

在第一階段，Lipizzan 軟體會運行合法代碼，不會被 Google Bouncer 標記為惡意代碼。此後，便進入第二階段，以「合法認證」的名義運行組件。事實上，第二階段組件運行時會掃描用戶的設備，獲取特定數據。如果手機通過了一些特定檢查，第二階段就能利用已知工具包，獲取用戶設備的 root 許可權。

獲取root許可權後， Lipizzan 可以進行如下操作：

獲取通話記錄

獲取VOIP 記錄

用設備麥克風錄音

監控定位

截屏

用設備相機拍照

獲取設備信息和文件

獲取用戶信息（聯繫人、通話日誌、簡訊、特定應用信息）

恢復 Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber, 以及 Whatsapp 的數據

在 BHUSA 上，谷歌對 Lipizzan 以及發現過程進行了更詳細分析。並以此為引子，分享了在當前移動 APP 大肆盛行的環境中迅速響應、打擊惡意軟體的方法和技術。

【某國內廠商被曝收集 Android 收集用戶信息？】

去年 11 月，Kryptowire安全公司的專家發布報告稱，美國在售某些品的的Andriod手機固件中存在廣升公司的後門。廣升為這些手機提供FOTA固件升級解決方案，從而在未經用戶允許的情況下，將個人數據傳輸至其在上海的伺服器，包括簡訊全文、聯繫人、通話記錄等信息。美國主要受這一固件影響的手機品牌為BLU，包括型號R1 HD和Life One X2，在Amazon和Best Buy上有售。

而在今年的 BHUSA 大會上，廣升科技再次被推上風口浪尖。Kryptowire公司聯合創始人Ryan Johnson發表演講稱，今年5月他發現廣升公司依然在收集用戶數據並將他們傳回中國的伺服器。收集的數據包括機主的完整簡訊、完整號碼的通話記錄，還有一些設備標識（包括IMSI、序列號、MAC地址、IMEI號等）。此外，另一家名叫Cubot的中國手機公司也在使用廣升的軟體，收集的信息除了基站ID、安裝程序列表、用戶的IMSI碼和SIM卡序列號以外還包括手機瀏覽器的瀏覽記錄。

受影響的兩款手機中，Cubot手機在歐洲、非洲、南美和亞洲銷售，而Blu的手機則在美國銷售較多，百思買和沃爾瑪都有銷售。據查詢，Blu手機是Amazon上銷量最高的無鎖手機。雖然這次受影響的是國外手機，但廣大用戶還是要多長個心眼啊。此事詳情可以查看 FreeBuf 的報道文章。

此次 BHUSA 首日，來自北京長亭科技的三名研究員也做了分享，議題是《一石多鳥：利用單一的SQLITE 漏洞攻擊大量軟體》，主要介紹了 SQLITE 漏洞利用。

首日議題的所有 PPT以及材料等都可以點擊閱讀原文，在原文鏈接中獲取，大家不要客氣~

更多 BHUSA 議題內容歡迎關注 FreeBuf 明天的報道！

【現場花絮】

來看看現場那些眼熟的公司：