0x00 序

今天是Black Hat 2015第一天，九點(diǎn)鐘開場(chǎng)。開場(chǎng)介紹是由Black Hat創(chuàng)始人Jeff Moss講的。隨后又請(qǐng)來了Stanford law school的Jennifer Granickz做了keynote speech。

隨后就開始Black Hat的正會(huì)了，因?yàn)锽lack Hat是9個(gè)分會(huì)場(chǎng)同時(shí)進(jìn)行，所以我們只能挑一些比較感興趣的演講去聽。

0x01 ANDROID SECURITY STATE OF THE UNION

這個(gè)talk的演講者是Google Android security team的leader , Adrian Ludwig。 Adrian首先介紹了android系統(tǒng)的一些安全策略，比如說應(yīng)用隔離(sandbox，SElinux，TrustZone等)，設(shè)備完整性(開機(jī)鎖，數(shù)據(jù)加密等)，內(nèi)存通用防御(NX, ASLR等)等等。隨后介紹了google公司在android安全上的貢獻(xiàn)，比如說保證google play上app的安全性，更安全的瀏覽器chrome，設(shè)備管理器等。

接著Adrian提到google和越來越多的廠商開始進(jìn)行合作，能夠更快的patch設(shè)備。比如說libstagefright漏洞在八月份就為上百個(gè)設(shè)備推送了patch。

隨后，Andrian說，因?yàn)槲覀冊(cè)贐H做演講，所以我們要講一些“壞”的消息。首先講的是在android有很多的malware，但是android有多層的防御，malware必須全部突破才能對(duì)設(shè)備產(chǎn)生危害。

接著Andrian介紹了一些Google統(tǒng)計(jì)的安全數(shù)據(jù)。主要是Potentially Harmful Applications (PHA)的數(shù)據(jù)。俄羅斯的PHA一直非常高，中國(guó)時(shí)高時(shí)低。并且Andrian的號(hào)稱從2015年2月開始Google play上就沒有發(fā)現(xiàn)PHA了，但第三方市場(chǎng)一直都有很多。

然后Andrian講了Google應(yīng)對(duì)漏洞的策略：及時(shí)掃描google play和第三方市場(chǎng)，并將利用漏洞的malware加入黑名單;盡快發(fā)布patch;針對(duì)不同的漏洞增加一些應(yīng)急策略(比如為了應(yīng)對(duì)libstragefright漏洞，在修復(fù)前android不會(huì)自動(dòng)加載附件)。

Andrian最后講了android的漏洞獎(jiǎng)勵(lì)計(jì)劃。

個(gè)人總結(jié)：相對(duì)Andrian在之前大會(huì)上的演講，Android security team已經(jīng)沒有以前的自信了，以前總是說Android絕對(duì)安全，那些病毒和漏洞的消息只不過是媒體夸大罷了。這次演講的態(tài)度卻有很大轉(zhuǎn)變，首先表示Google可以在漏洞出現(xiàn)的時(shí)候盡量第一時(shí)間patch。然后又公布漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)大家第一時(shí)間提交漏洞信息。明顯感覺對(duì)自己一家搞定android安全沒有太大信心了。#p#

0x02 ATTACKING INTEROPERABILITY - AN OLE EDITION

這個(gè)演講來自Intel security，也就是原來的麥咖啡。OLE是Object Linking and Embedding 的縮寫。OLE是COM (Component Object Model)的一部分。幾乎所有的office zero-day都和OLE有一定的關(guān)系。Hacker可以利用OLE加載非ASLR的dll，進(jìn)行堆噴射等。比較常見的OLE就是一個(gè)文檔中包含了另一個(gè)文檔。當(dāng)雙擊另一個(gè)文檔時(shí)，就會(huì)調(diào)用OLE。

Speaker首先介紹了OLE的初始化過程。然后講了三個(gè)在OLE初始化時(shí)候的攻擊面：CocreateInstance使用的CLSID，IPersistStorage::Load()函數(shù)調(diào)用的存儲(chǔ)，IOleObject::DOVerb使用的verb參數(shù)。 然后介紹了利用這些攻擊可以產(chǎn)生的結(jié)果：1.可以加載沒有ASLR的dll到內(nèi)存中。2.可以造成內(nèi)存破壞。3.dll預(yù)加載hijack攻擊。然后speaker預(yù)測(cè)會(huì)有更多office OLE 0day會(huì)被發(fā)現(xiàn)。最后speaker演示了win7 x64下的OLE 0day的2個(gè)demo。

0x03 ABUSING SILENT MITIGATIONS - UNDERSTANDING WEAKNESSES WITHIN INTERNET EXPLORERS ISOLATED HEAP AND MEMORYPROTECTION

這個(gè)talk是ZDI做的，也就是pwn2own的主辦者。ZDI首先講了heap上經(jīng)常使用的UAF漏洞，然后講了微軟在2014年引進(jìn)了兩種新的攻擊緩解技術(shù)：isolated heap和memory protection。

Isolated heap的防御方法是根據(jù)type來分配不同的heap，這樣的話不同類型的數(shù)據(jù)就不會(huì)互相影響。memory protection會(huì)對(duì)free()操作進(jìn)行保護(hù)，并在free的過程中會(huì)加一些”0”到堆中。但是即使加上了這兩層，ZDI依然找到了應(yīng)對(duì)的方法，并且獲得了微軟$125,000的獎(jiǎng)金。但exploit的過程非常復(fù)雜，要經(jīng)過很多階段的內(nèi)存分配與釋放才行。有意思的是，因?yàn)閙emory protection的加入，反而讓ZDI找到了一種新的方法用來bypass ASLR。所以說，在沒有進(jìn)行全面的測(cè)試就加入新的攻擊緩解技術(shù)不一定是一件好事。

最后ZDI 做了在開啟了兩種防御的情況下彈計(jì)算器的demo，以及開了Memory Protection的情況下利用加載dll方法做到bypass ASLR的demo。#p#

0x04 REMOTE EXPLOITATION OF AN UNALTERED PASSENGER VEHICLE

[[144377]]

Charlie Miller是twitter的安全研究員，是工業(yè)界非常有名的人物。這次的talk估計(jì)是本屆BH最火的talk了，還沒開始下面就已經(jīng)人山人海了。

talk講了兩種遠(yuǎn)程攻擊汽車的方法。首先是通過wifi入侵車: Charlie Miller先逆向了汽車WPA2密碼的生成方式，發(fā)現(xiàn)WPA2的密碼是根據(jù)設(shè)定密碼的時(shí)間作為種子生成的隨機(jī)密碼，并且首次生成以后并不會(huì)改變。所以說當(dāng)知道了生成密碼的時(shí)間，就可以暴力破解出密碼。比如說知道了哪一天設(shè)置的密碼就可以在1小時(shí)內(nèi)暴力猜出密碼。

進(jìn)入車的wifi內(nèi)網(wǎng)后，Charlie發(fā)現(xiàn)汽車打開了6667端口運(yùn)行D-BUS服務(wù)。D-BUS是以root模式運(yùn)行。其中有一個(gè)服務(wù)叫NavTrailService可以進(jìn)行命令injection，然后就獲取到root shell。

另一種方式是通過蜂窩網(wǎng)絡(luò)入侵汽車，首先采用femto-cell(偽造蜂窩基站)的方法對(duì)區(qū)域內(nèi)的ip進(jìn)行掃描，然后尋找打開了6667端口的設(shè)備，也就是打開D-BUS服務(wù)端口的汽車。隨后采用和wifi攻擊渠道一樣的命令injection方法獲取到root shell。

[[144378]]

但是Charlie講到，即使有root權(quán)限也只能控制一些media的東西。想要控制汽車還需要對(duì)系統(tǒng)進(jìn)行修改。Charlie采用的方法是修改并更新固件。Charlie發(fā)現(xiàn)目標(biāo)汽車有個(gè)嚴(yán)重的安全漏洞，那就是汽車的系統(tǒng)不會(huì)驗(yàn)證固件的簽名，因此通過固件修改系統(tǒng)并加入后門變?yōu)榱丝赡堋?/p>

所以最終攻擊過程如下：先利用基站搜索有漏洞的汽車，然后遠(yuǎn)程攻擊NavTrailSerivce，重新刷帶有后門的固件，等待目標(biāo)汽車固件更新后就可以進(jìn)行進(jìn)行遠(yuǎn)程控制了。隨后Charlie Miller演示了各種控制汽車的視頻，讓全場(chǎng)沸騰不已。

[[144379]] 

[[144380]] #p#

0x05 OPTIMIZED FUZZING IOKIT IN IOS

帶來這個(gè)演講的是阿里移動(dòng)安全部門的long lei以及潘愛民老師。

這個(gè)工作主要有三個(gè)貢獻(xiàn)：1、一套非常詳細(xì)的獲取IOKit內(nèi)核信息的方法。2、一套用來fuzzy IOKit的框架。3、2個(gè)fuzzy出來的漏洞分享。

在這個(gè)工作之前，安全研究人員一般使用ida進(jìn)行靜態(tài)的分析，但效果并不理想。于是long lei提出了一種在越獄的情況下動(dòng)態(tài)獲取IOKit信息的方法。但是獲取IOKit在內(nèi)核中的信息非常麻煩，要對(duì)各種meta數(shù)據(jù)信息進(jìn)行parse，是一項(xiàng)工程量非常大工作。

在Fuzz方面，F(xiàn)uzzer系統(tǒng)會(huì)使用Mobile Substrate框架對(duì)關(guān)鍵函數(shù)進(jìn)行hook，隨后進(jìn)行fuzz工作。

最后，long lei分享了2個(gè)用這套fuzz系統(tǒng)發(fā)現(xiàn)的漏洞，并且其中一個(gè)信息泄露的漏洞已經(jīng)報(bào)給了蘋果并且在最新iOS上修復(fù)了。

0x06 ATTACKING ECMASCRIPT ENGINES WITH REDEFINITION

這個(gè)talk的演講者是Natalie Silvanovich。來自Google的Project Zero團(tuán)隊(duì)。ECMAScript 是javascript的前身。這個(gè)talk主要講了在ECMAScript中，數(shù)據(jù)類型進(jìn)行轉(zhuǎn)換時(shí)產(chǎn)生的問題。比如說類型A轉(zhuǎn)換成了類型B，有一些數(shù)據(jù)可能會(huì)進(jìn)行錯(cuò)誤的轉(zhuǎn)換，從而造成可利用的漏洞。

Natalie Silvanovich舉了很多例子進(jìn)行講解，其中包括了最近非?；鸬腍acking Team的flash 0day。隨后還講解了如何尋找這類的漏洞，比如說多用IDA對(duì)數(shù)據(jù)轉(zhuǎn)換函數(shù)進(jìn)行進(jìn)行逆向以及使用fuzzer等。

0x07 第一天總結(jié)

總的來說第一天的演講無(wú)論是在名氣上還是質(zhì)量上都是相當(dāng)高的。并且這次有很多國(guó)內(nèi)安全公司的人參與和學(xué)習(xí)，一定會(huì)對(duì)國(guó)內(nèi)安全圈的發(fā)展有很好的推進(jìn)作用。那就讓我們繼續(xù)期待明天的會(huì)議吧。