我們談?wù)?Black Hat 和 DEF CON 的時候，總是將其并列在一起的，因為這兩個會的舉辦時間很近 —— 這兩天報道 Black Hat 專題的同時，第 25 屆 DEF CON 也在 7 月 27 日到 30 日間進(jìn)行中。黑客界的“兩會”其實都是由傳奇人士 Jeff Moss 一手創(chuàng)辦的。而且實際上，DEF CON 的歷史更為悠久，第一屆是在 1993 年舉辦的;而 Black Hat Briefings 計算機(jī)安全會議則是從 1997 年開始的。

[[198937]]

黑客界的世界級兩會，其本質(zhì)差異就在文化方面。如果你也有機(jī)會去往現(xiàn)場，去 Black Hat 和 DEF CON 都分別逛一逛就能明確感受到這兩者的文化差異。Black Hat 之上能看到很多大型企業(yè)、政府機(jī)關(guān)，可能還有電子前線基金會的律師;而 DEF CON 之上很難看到企業(yè)組織，顯然 DEF CON 更傾向于狂歡式的派對。不嚴(yán)謹(jǐn)?shù)卣f，這兩者是正式與休閑的區(qū)別，雖然大概其最終目標(biāo)是殊途同歸的。

相對而言，DEF CON 具備了明顯更強(qiáng)的包容力，比如一直以來都公開支持 Anonymous 黑客組織。Black Hat 則充斥著企業(yè)、政府、學(xué)院派人士和各種獨(dú)立黑客，空氣中偶爾還漂浮著文化沖突氣息。其實很多人這兩個會都會去參加，但 Black Hat 上會看到更多的正裝，而 DEF CON 總是以 T 恤為主的。DEF CON 大會之上先前不接受信用卡買東西，因為很多獨(dú)立安全研究人員不希望透露自己的真實身份，胸牌上面都沒有名字。

DEF CON 會上的與會者甚至?xí)|(zhì)疑演講者，然后一起愉快地喝著啤酒，而 Black Hat 則顯得更為莊重和商業(yè)。這可能是兩會同樣重要的原因。

[[198938]]

就中國和美國的時差，今年在拉斯維加斯舉行的 Black Hat USA 2017 現(xiàn)下已經(jīng)結(jié)束。在這篇介紹大會 DAY 2 的文章中，我們更愿意多些筆墨來談?wù)?Black Hat 與 DEF CON 大會這些年來的發(fā)展和變化。如果你更喜歡大會的議題干貨，除了文末仍有提供演講 PPT 下載，文章后半部分還是會列舉幾個 DAY 2 的議題，以供賞玩。因為實際上 Black Hat 每年的議題有 100 多個，我們也只能列舉一些讓人印象深刻的內(nèi)容。

對現(xiàn)實世界實實在在的影響

兩會這 20 年的發(fā)展，最明確的是內(nèi)容和觀眾群體覆蓋方面的變化。如 Black Hat，從先前專注于企業(yè)安全，到包含更多防御安全工作、安全團(tuán)隊管理，再到系統(tǒng)開發(fā)主題。如今甚至在行程表上還出現(xiàn)了 CISO Summit，所以 Black Hat 時間跨度也比從前變得更長。

會上的大量議題似乎都讓這一周七天的時間看起來更長了，老牌黑客團(tuán)隊 L0pht 兼軟件安全公司 Veracode CTO 的 Chris Wysopal 早年一直在參加 DEF CON 和 Black Hat：

DEF CON 舉辦第 20 屆之際，“我當(dāng)時覺得很值得去看一看，然后就震驚了。規(guī)模大了3倍，感覺已經(jīng)不是個會了，更想是個節(jié)慶。不光是因為有更多的活動，比如說有了開鎖的展位，而且現(xiàn)有的一些東西也加強(qiáng)了。CTF 原本就 5、6 桌人在搞攻防，一下就擴(kuò)張到了 50 桌。”

1993 年首屆 DEF CON 大會是在 Sands Hotel & Casino 舉辦的，當(dāng)時只有大概 100 名與會人員。而去年參與 DEF CON 的人有 22000 人，Black Hat 也有 15000 人參與。

[[198939]]

著名作者 + 會棍 Richard Thieme 從 DEF CON 第四屆到第二十五屆基本都參與了演講，“這樣的會議以這樣的方式表現(xiàn)著安全社區(qū)的成熟。”他談到當(dāng)年第四屆 DEF CON 的時候，才有一群黑客突然意識到他們掌握的技術(shù)，對于其它專家而言也是有價值的，這些技術(shù)通過這樣的一個大會傳遞出去。

“那個時候，他們自己才真正發(fā)現(xiàn)，對于其他人而言所做的是有價值的事情，就是如何保護(hù)資產(chǎn)。他們找到了方向。”

這種影響有時的確是巨大的，比如大會上高危安全漏洞公布的瞬間。當(dāng)年 David Litchfield 公布針對 SQL Server 的 PoC 攻擊，很快導(dǎo)致 2003 年的 SQL Slammer 蠕蟲爆發(fā)。

還有像是安全研究人員 Michael Lynn 當(dāng)年認(rèn)為他唯有從 Internet Security Systems 辭職，才能在大會演講中公開他在思科路由器中發(fā)現(xiàn)的安全漏洞(因為當(dāng)時思科向 Internet Security Systems 施壓，阻止其公開信息)。這些都是此類安全大會造成的實實在在的影響。

而在這個時代，此類研究都已經(jīng)先于大會本身公開了，就像 Black Hat 主題演講之前 FreeBuf 就已經(jīng)報道了一些公開的研究內(nèi)容。這是 Black Hat 的意義得到擴(kuò)大的表現(xiàn)。

對于絕大部分長期參加 Black Hat 和 DEF CON 大會的研究人員來說，除了會議本身已經(jīng)產(chǎn)生的影響，在他們看來“兩會”最大的價值在于能夠見到平常見不到的安全專家，并且建立起真正的聯(lián)系。

[[198940]]

信息安全咨詢顧問與研究人員，同時也是 Black Hat 審查委員會成員的 Stefano Zanero 回顧他首次參加 2004 年 Black Hat 大會的印象時說：“當(dāng)時我還是很年輕的 Ph.D. 學(xué)生，第一次面向這么多的全球觀眾。Black Hat 真的很迷人。當(dāng)時的會規(guī)模比現(xiàn)在要小。我作為一個演講人，就是想要有機(jī)會碰到安全圈的那些名人。”

“我覺得建立起聯(lián)系，是大會真正的價值所在，尤其是在安全行業(yè)不斷壯大的今天。這些年我在大會建立起的專業(yè)人士網(wǎng)，對于我自己的工作而言是無價資產(chǎn)。”

Black Hat 在成長中變得更商業(yè)

ACE Hackware 安全研究人員、首席“Hacktologist” Taylor Banks 說：“我頭一次參加 Black Hat的時候，這場大會看起來是黑客文化混合了企業(yè)的一場集會，圍繞著信息安全。”他說，在某些參加 DEF CON 的人們眼中，現(xiàn)在的 Black Hat 大會更像是個銷售產(chǎn)品。

“對我而言，我覺得 Black Hat 是個很不錯的結(jié)合體。我很高興地看到，信息安全會議能夠有較高的價碼，同時又能為溝通和招募提供好的環(huán)境，另外對參與者而言也有不錯的價值。”

“老實說，我覺得把 Black Hat 和 DEF CON 比是不公平的。應(yīng)該說，雖然兩個會會給出一些相同的內(nèi)容(而且經(jīng)常是一樣的人)，這讓 DEF CON 顯得有價值得多。”“我覺得因為環(huán)境的關(guān)系，那些新來的人會發(fā)現(xiàn) DEF CON 更嚇人一些，而 Black Hat 會是個更容易投入的會吧。”

Black Hack 這些年來究竟發(fā)生了怎樣的變化。 Zanero 說：“答案應(yīng)該是成長迅速。相對隱晦的答案則應(yīng)該是成長帶來了不同領(lǐng)域、更多的人，所以社交活動也發(fā)生了變化。” Zanero 說他很想念多年前，那個彼此聯(lián)系更為緊密的社區(qū)。

“現(xiàn)在大會大廳已經(jīng)被人海淹沒，在我看來沒變的可能就是議題的質(zhì)量和水準(zhǔn)了，雖然議題內(nèi)容也已經(jīng)擴(kuò)展到了更廣的領(lǐng)域。”

[[198941]]

不過不少參與大會多年的“老人”對此卻有不同的看法。Thieme 說：“相較過去，現(xiàn)在已經(jīng)消失的東西就是前沿的入侵技術(shù)。”“現(xiàn)在的大會已經(jīng)是個供應(yīng)商驅(qū)動的會議了，會議主要由技術(shù)專家主導(dǎo)，但也明顯有了市場需要的聲音，而市場往往并不需要那么技術(shù)化的東西。”

隨著大會觀眾的增多，展區(qū)也在發(fā)生變化。Wysopal 說，展區(qū)是企業(yè)在 Black Hat 之上唯一關(guān)注的地方，里面充斥著各種公司——可能是做滲透測試的，或者所謂“hardcore”的安全企業(yè)，而不會是那種“恰巧有個安全產(chǎn)品或服務(wù)需要展示的企業(yè)”。

其實從今年我們關(guān)注到的 Black Hat 議題來看，出彩的內(nèi)容相較往年有些乏善可陳。但實際上，在這些安全行業(yè)的大佬眼中，Black Hat 依舊充滿價值。“如果你有目標(biāo)，并且也知道如何尋找價值，那么這地方絕對是與猛獸組隊的叢林。”

Wysopal 認(rèn)為，“現(xiàn)在會有各種不同的觀眾來到這場秀。很多人都想要加入到議題中去。還會有其它可以去社交、建立聯(lián)系的人?？赡軙腥耸且曳莨ぷ?，或者可能只是單純想和往年的那些朋友碰個頭。另外還有人是來找安全產(chǎn)品和解決方案的。這些事都在這個會議上同時發(fā)生。”

“只要能滿足不同的觀眾，這就是一場成功的會議。”Black Hat，我們明年再見。

更多議題與花絮分享

ShieldFS：勒索軟件殺手終于來了?

來自意大利的 7 名研究人員在昨天的 Black Hat 大會上分享議題《SHIELDFS : The Last Word in Ransomware Resilient File System》。FreeBuf 今天發(fā)布的文章更詳細(xì)地闡述了這種對抗勒索軟件的技術(shù)。這 7 名研究人員來自米蘭理工大學(xué)，實際上他們已經(jīng)在今年早前公布了兩份研究 paper。

他們介紹了一種名為 ShieldFS 的項目，這是個 Windows 嵌入驅(qū)動與定制文件系統(tǒng)，可用于檢測勒索程序感染信號，并及時阻止惡意行為，甚至還能將加密文件還原到先前的狀態(tài)。

ShiledFS 實際上是用于檢測 COW 操作的一種復(fù)雜機(jī)制。COW 也就是 Copy-On-Write，進(jìn)行文件操作，包括復(fù)制、修改、替換這些都是 COW 操作?，F(xiàn)如今的絕大部分勒索軟件家族都依賴于 COW 操作，如獲取原始文件、對其內(nèi)容進(jìn)行加密、替換原有文件。

[[198942]]

不過 ShieldFS 不僅能夠檢測 COW 操作，同時還能發(fā)現(xiàn)加密的一些特征。當(dāng) ShieldFS 檢測到符合其場景的事件后，還會檢查內(nèi)部行為模型，以區(qū)分良性進(jìn)程和惡意的勒索程序。研究人員表示，ShieldFS 現(xiàn)如今已經(jīng)配備有 2245 個合法應(yīng)用適應(yīng)模型，這些主要是為了防止太高的誤報率。

檢測到勒索程序之后，ShieldFS 會讓操作系統(tǒng)阻止該進(jìn)程，并采用定制的文件系統(tǒng)，對惡意行為進(jìn)行逆向。從技術(shù)層面來說，這個過程在于 ShieldFS 是個嵌入驅(qū)動，它會安裝定制的虛擬文件系統(tǒng)，能夠?qū)?COW 操作進(jìn)行追蹤，短時保留原有文件備份，并恢復(fù)一定量的文件。這種技術(shù)未來會廣泛應(yīng)用到勒索軟件查殺么?詳情點(diǎn)擊這里 [ 1 , 2 ] 查看這兩篇論文。

你知道去年最賺錢的勒索軟件是哪款嗎?

今天 FreeBuf 的安全快訊報道了一件事：希臘警方逮捕一名俄羅斯人，指控其運(yùn)營 BTC-e 比特幣交易平臺，洗錢超過 40 億美元。此人名為 Alexander Vinnik，現(xiàn)年38歲。先前負(fù)責(zé)調(diào)查Mt Gox盜竊案的東京安全公司 WizSec 指出 Vinnik 對當(dāng)時被竊的比特幣進(jìn)行洗清，導(dǎo)致 Mt Gox 平臺的關(guān)閉。Mt Gox 錢包私鑰于 2011 年被竊，此事曾轟動一時。東京地方法庭文檔顯示，Mt Gox 的 30.7 萬比特幣轉(zhuǎn)往 BTC-e 錢包。此外，BTC-e 的這些錢包于 2011 和 2012 年間針對多起網(wǎng)絡(luò)搶劫案進(jìn)行了洗錢操作。

大約在 Vinnik 被逮捕的同時，Black Hat 大會現(xiàn)場，谷歌的研究人員在分享他們針對勒索軟件的研究，其中就特別提到了 BTC-e 比特幣交易平臺。全球比特幣贖金支付，最終的取現(xiàn)操作，有 95% 都是通過 BTC-e 進(jìn)行的。

實際上這項針對勒索軟件的研究是由谷歌、區(qū)塊鏈分析公司 Chainalysis 和來自加州、圣地亞哥和紐約大學(xué)的研究人員共同發(fā)起的。他們對 34 個勒索軟件家族進(jìn)行分析，樣本超過 30 萬?；诖罅繑?shù)據(jù)，研究人員公布了不少圖表。

研究結(jié)果顯示，2016 年是勒索軟件收獲最多的一年。每個月勒索軟件贖金支付平均超過 100 萬美元，有兩個月甚至超過了 200 萬美元。而最賺錢的兩個勒索程序家族分別是 Locky 和 Cerber 。Locky 的成功和 Necurs 垃圾信息僵尸網(wǎng)絡(luò)是分不開的，同時它還采用 RaaS 服務(wù)的方式，攻擊者根本不需要多少技術(shù)知識，就能用上 Locky。谷歌的研究顯示，Locky 賺到 780 萬美元。排在第二的 Cerber 則賺了 690 萬美元。更多研究內(nèi)容可點(diǎn)擊這里查看。

直接讓洗車系統(tǒng)變死亡陷阱

來自 Whitescope 的創(chuàng)始人 Billy Rios，以及 IFIP Working Group on Critical Infrastructure Protection 委員會主席 Jonathan Butts 共同分享有關(guān)洗車系統(tǒng)的議題。他們演示要入侵國外當(dāng)前廣泛應(yīng)用的洗車系統(tǒng) Laserwash 系列是很容易的，該系列系統(tǒng)由 PDQ 制造。

研究人員發(fā)現(xiàn) Laserwash 設(shè)施可被遠(yuǎn)程監(jiān)控，通過基于 web 的用戶界面就能控制系統(tǒng)。實際上洗車設(shè)施內(nèi)部有個 web 服務(wù)器，掛接到公網(wǎng)上就能被攻擊者遠(yuǎn)程監(jiān)視。該設(shè)施的控制系統(tǒng)實際上是個嵌入式 Windows CE 計算機(jī)，采用 ARM 兼容處理器。不過當(dāng)前微軟已經(jīng)不再支持其上所用的 Windows CE 版本，所以本質(zhì)上就存在安全威脅。

兩名研究人員還真的發(fā)現(xiàn)有個洗車系統(tǒng)連接了網(wǎng)絡(luò)，訪問 web 界面，居然還是默認(rèn)密碼 12345 ，之后就實現(xiàn)了這套系統(tǒng)的完整控制。他們寫了個 exploit 令洗車系統(tǒng)進(jìn)行物理攻擊，洗車過程中可以對人進(jìn)行攻擊。“這可能是可導(dǎo)致聯(lián)網(wǎng)設(shè)備攻擊人的首個 exploit”。

在整個演講過程中，兩人演示了他們?nèi)绾卫@過洗車系統(tǒng)門上的安全傳感器，并將其關(guān)閉。“我們控制了洗車系統(tǒng)內(nèi)部的所有設(shè)備，而且能夠關(guān)閉安全系統(tǒng)。我們可以設(shè)置搖臂下探到更低的位置，摧毀汽車頂蓋。”

他們還說實際上早在 2015 年 2 月份就已經(jīng)發(fā)現(xiàn)了其中的安全問題，接下來 2 年都在試圖對 PDQ 公司發(fā)出示警。直到今年他們的議題要搬上 Black Hat，生產(chǎn)商才回復(fù)了郵件，并且還說無法針對 exploit 進(jìn)行漏洞修復(fù)。PDQ 發(fā)言人表示，已經(jīng)在本周向客戶發(fā)出警告，催促修改默認(rèn)密碼，或在網(wǎng)絡(luò)中增加安全設(shè)施。值得一提的是，類似洗車系統(tǒng)這樣的安全漏洞，已經(jīng)屬于工業(yè)控制領(lǐng)域了。

解決供應(yīng)鏈安全問題真的很難

我們每天口袋里揣著的這部智能手機(jī)，其安全絕對不是蘋果或者谷歌一家系統(tǒng)供應(yīng)商的問題。它涉及到整個供應(yīng)鏈的安全問題，比如說本屆大會上揭露影響博通 WiFi 芯片固件的漏洞，影響范圍起碼也有百萬級別的手機(jī)量。這類安全問題的解決難度有多大?是在芯片制造商發(fā)現(xiàn)這些問題，解決后需要知會受影響的手機(jī)制造商，和谷歌、蘋果這樣的系統(tǒng)制造商，隨后谷歌和蘋果進(jìn)行系統(tǒng)升級，最終在手機(jī)制造商和運(yùn)營商的共同配合下，才能修復(fù)漏洞。這一連串環(huán)節(jié)走下來，光是時間就要耗費(fèi)很久。就好比即便本月 Android 系統(tǒng)更新已經(jīng)修復(fù) Broadpwn 漏洞，依然會有百萬級別的 Android 手機(jī)受到漏洞影響。

來自 Gigamon 的首席工程師 Jack Hamm，與 Luta Security 公司的 CEO Katie Moussouris 分享了議題《Cyber Risks and Supply Chain Failures: Wheather to Zig or Zag》。講述的就是解決供應(yīng)鏈安全的難度。如上面的例子，即便拋開從系統(tǒng)供應(yīng)商，到運(yùn)營商最終向用戶設(shè)備推送固件更新，用戶本身都是供應(yīng)鏈安全方面的一個環(huán)節(jié)。

“你選擇推遲補(bǔ)丁更新，你就是供應(yīng)鏈安全方面的一環(huán)，你積極地參與到了其中。”

要解決這樣的安全問題實際上非常復(fù)雜。“從安全運(yùn)營的角度來說，要保護(hù)供應(yīng)鏈安全很難。你需要去看大量的數(shù)據(jù)、進(jìn)行大量數(shù)據(jù)處理、進(jìn)行大量聚合，還要從大量噪聲數(shù)據(jù)中獲取大量信息。這很難。”“即便你知道如何保護(hù)供應(yīng)鏈安全，仍然會有像 NotPetya 這樣的源自供應(yīng)鏈的問題出現(xiàn)。”

而對供應(yīng)鏈的入侵，就會影響到下游所有參與者，包括作為用戶的你。在 Hamm 看來要解決這些問題，就需要從取證響應(yīng)轉(zhuǎn)變?yōu)閷崟r監(jiān)控，他將之稱為“新型安全模型：防御者生命周期(The New Security Model: The Defender Lifecycle)”。其核心就是使用機(jī)器來與機(jī)器進(jìn)行對抗，采用自動化的方式來彌合攻擊者和防御者之間的間隙。

“針對漏洞做好多方準(zhǔn)備，也就意味著為下一次‘心臟滴血’做好了準(zhǔn)備，其中包括下次每個用戶都會為你的手機(jī)做好補(bǔ)丁更新。”這涉及到供應(yīng)鏈上的每個人。“自動化是做到這一點(diǎn)的關(guān)鍵所在。”

利用 Docker 容器來隱藏、植入惡意程序

攻擊者濫用 Docker API 這樣的新式攻擊向量也能在目標(biāo)系統(tǒng)中隱藏惡意程序，并遠(yuǎn)程執(zhí)行代碼。這套攻擊方案的 PoC 已經(jīng)被 Aqua Security 的研究人員開發(fā)出來。這家公司的安全研究員 Sagie Ducle 針對這個問題在 Black Hat 會議上進(jìn)行了內(nèi)容分享。

Docker 會將其 API 通過 TCP 暴露出來。這種攻擊最終能夠?qū)崿F(xiàn)在企業(yè)網(wǎng)絡(luò)中做到遠(yuǎn)程代碼執(zhí)行，而且常駐在主機(jī)中，主機(jī)上的現(xiàn)有安全產(chǎn)品是無法檢測到的。攻擊分成多個步驟，第一步是誘使開發(fā)者運(yùn)行 Docker for Windows 到攻擊者控制的 web 頁面，該頁面上有惡意 JS 腳本。JS 能夠繞過瀏覽器的同源策略。研究人員采用的 API 命令并沒有違反同源策略，還能在主機(jī)上創(chuàng)建一個 Docker 容器，以某個 Git 庫作為 C&C。

[[198943]]

不過最終目標(biāo)還是要訪問整個 Docker API，這樣才能以高權(quán)限運(yùn)行任意容器，訪問主機(jī)或者說下層的虛擬機(jī)。為此，研究人員打造了一種“Host Rebinding Attack”技術(shù)，這其實類似于 DNS 重新綁定攻擊——也就是利用 DNS 欺騙瀏覽器不實施同源策略。這種攻擊達(dá)到也是類似的目的，但通過虛擬接口進(jìn)行，所以攻擊本身無法通過網(wǎng)絡(luò)檢測到。

Ducle 解釋說，最終就能在受害者 Hyper-V VM 內(nèi)部運(yùn)行一個 container，共享主機(jī)網(wǎng)絡(luò)，執(zhí)行攻擊者控制的任意代碼。

下面一步就是要創(chuàng)建所謂的“Shadow Container”，最終是要讓惡意 container 指令常駐，即便重啟主機(jī)或者重啟 Docker for Windows，攻擊也能夠持續(xù)。在這個過程中，攻擊者寫了個 container 關(guān)閉腳本，保存攻擊者狀態(tài)。在 Shadow Container 中保存攻擊狀態(tài)，然后寫回到虛擬機(jī)中。Docker 重啟或者重置，甚至主機(jī)重啟，都會運(yùn)行攻擊者的 container。感興趣的同學(xué)可以點(diǎn)擊這里看更為具體的內(nèi)容。