Black Hat官網(wǎng)地址：https://www.blackhat.com/

活動(dòng)簡(jiǎn)介

如果讓世界黑客選出一個(gè)最頂尖的黑客會(huì)議，那Black Hat一定會(huì)以壓倒性優(yōu)勢(shì)被投票選出，Black Hat在世界黑客心中相當(dāng)于一年一度的“世界杯”和“奧斯卡”，同時(shí)也被公認(rèn)為世界信息安全行業(yè)的最高盛會(huì)。

Black Hat有著悠久歷史，今年已經(jīng)進(jìn)入了第21個(gè)年頭，每次會(huì)議的議題篩選都極為嚴(yán)格，眾多議題提交后通過率不足20%，所以Black Hat也被稱為最具技術(shù)性的信息安全會(huì)議。

這些世界頂尖的干貨議題不僅囊括了當(dāng)年最前端的技術(shù)和熱點(diǎn)，還將會(huì)引領(lǐng)未來的安全思想和技術(shù)風(fēng)向。

活動(dòng)時(shí)間

2018年8月4日-9日

活動(dòng)地點(diǎn)

美國拉斯維加斯，曼德勒海灣會(huì)議中心

[[239248]]

議程安排

BlackHat USA主要分為三部分：

(1) 8月4日-7日的BlackHat培訓(xùn)：

專為信息安全從業(yè)者設(shè)計(jì)，通過訓(xùn)練網(wǎng)絡(luò)進(jìn)攻和防守來提高黑客技能，BlackHat培訓(xùn)由行業(yè)專家講授，目標(biāo)是定義和捍衛(wèi)明天的信息安全格局。

(2) 8月8日-9日的展臺(tái)

BlackHat與超過17,000名信息安全專業(yè)人士合作，通過搭建展臺(tái)來展示Black Hat贊助商提供的一系列安全產(chǎn)品和解決方案。同時(shí)，這些展臺(tái)也為參會(huì)者、供應(yīng)商和安全社區(qū)提供了獨(dú)特的深入了解的機(jī)會(huì)。

(3) 8月8日-9日的議題

在Black Hat 上通過上百個(gè)議題，了解最新的信息安全風(fēng)險(xiǎn)和趨勢(shì)，來自世界各地的安全專家將分享最新的突破性研究、開源工具和安全漏洞等。

議題簡(jiǎn)介

1. AFL盲點(diǎn)以及如何抵抗AFL Fuzzing

• 演講人員：?jiǎn)讨蝸喆髮W(xué)教授-李康教授(360網(wǎng)絡(luò)安全北美研究員的負(fù)責(zé)人)
• 演講地點(diǎn)：Jasmine Ballroom
• 演講日期：2018年8月8日，星期三，17點(diǎn)05分-17點(diǎn)30分
• 演講形式：25分鐘陳述
• 主題標(biāo)簽：應(yīng)用安全、安全開發(fā)周期

在應(yīng)用程序模糊測(cè)試領(lǐng)域中，AFL的作用不言而喻。在過去的幾年里，研究人員一直在不斷地研發(fā)新的技術(shù)來提升AFL的功能以更好地幫助我們尋找安全漏洞。但是在這個(gè)過程中，卻很少有人關(guān)注如何隱藏漏洞并不被AFL發(fā)現(xiàn)。

此次演講內(nèi)容主要關(guān)于AFL的盲點(diǎn)，我們將討論AFL本身的限制因素，以及如何利用AFL的這種“缺陷”來隱藏特殊的安全漏洞。AFL能夠?qū)Υa覆蓋進(jìn)行追蹤，并利用代碼覆蓋信息來引導(dǎo)模糊測(cè)試過程中的輸入數(shù)據(jù)生成。AFL不會(huì)記錄完整的代碼執(zhí)行路徑，AFL使用的是一種壓縮后的哈希位圖來存儲(chǔ)代碼覆蓋信息。這種壓縮位圖能夠帶來的是執(zhí)行速度的提升，但是這種方法也有自身的缺陷：在壓縮位圖中，由于哈希碰撞的問題，新路徑將能夠被之前的路徑覆蓋。代碼覆蓋信息的這種不精確性和不完全性有時(shí)將會(huì)阻止AFL模糊測(cè)試器發(fā)現(xiàn)那些有可能導(dǎo)致代碼崩潰的潛在路徑。

在此次演講中，我們將演示AFL的這種缺陷，并通過一些例子來演示如何利用AFL的這一“盲點(diǎn)”來限制AFL尋找漏洞的能力。除此之外，我們也會(huì)介紹如何防止AFL通過其他方法(例如符號(hào)執(zhí)行)來生成并獲取隨機(jī)數(shù)種子。

為了進(jìn)一步演示AFL的這種缺陷，我們開發(fā)了一款名叫DeafL的軟件原型，該工具能夠轉(zhuǎn)換和重寫EFL代碼并實(shí)現(xiàn)我們防止AFL模糊測(cè)試器成功發(fā)現(xiàn)漏洞的目的。在不需要修改給定ELF代碼的情況下，DeafL工具能夠?qū)⑤斎氲拇a重寫到一個(gè)新的ELF可執(zhí)行程序。這樣一來，AFL原本能夠輕松找到的漏洞在重寫后的代碼中將很難被找到。

2. 如何消除視頻流服務(wù)中的水印

• 演講人員：阿里巴巴安全研究專家-王康     清華大學(xué)碩士研究生-惠軼群
• 演講地點(diǎn)：Tradewinds EF
• 演講日期：2018年8月9日，星期四，12點(diǎn)10分-13點(diǎn)00分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：數(shù)據(jù)取證/事件響應(yīng)、策略

在中國，視頻直播服務(wù)越來越火了。為了確保各自的利益，很多視頻服務(wù)提供商都會(huì)在視頻中添加可見的水印，而且這種情況也越來越常見了。正因如此，這也讓很多用戶和觀眾對(duì)此深感厭倦，畢竟大家都是來看視頻的，誰又想去看那礙眼的水印呢?

我們通過研究發(fā)現(xiàn)，某些視頻服務(wù)提供商添加的水印是可以被用戶主動(dòng)清除的。也就是說，視頻的原創(chuàng)作者可以預(yù)先在自己制作的視頻流中放置一種反向水印，這樣就能夠清除掉視頻服務(wù)提供商額外增加的水印了。雖然這項(xiàng)技術(shù)的概念聽起來很簡(jiǎn)單也很直觀，但是在技術(shù)的實(shí)現(xiàn)過程中還存在一些問題，比如說水印的大小、位置和陰影等等。我們從理論上對(duì)計(jì)算機(jī)圖形卡的計(jì)算能力極限進(jìn)行了評(píng)估之后，我們制作了一個(gè)PoC并用它來對(duì)中國最大的一家視頻流服務(wù)提供商(這家公司已在紐交所上市)進(jìn)行了測(cè)試。測(cè)試的結(jié)果讓我們非常滿意，在解決了顏色管理以及顏色空間轉(zhuǎn)換等相關(guān)參數(shù)問題之后，我們現(xiàn)在幾乎能夠100%地實(shí)現(xiàn)主動(dòng)的水印消除了。

為了自動(dòng)化實(shí)現(xiàn)整個(gè)水印消除過程，我們還自主研發(fā)了一款ffmpeg過濾器和一個(gè)OBS插件，它們能夠幫助我們?cè)谝曨l直播的過程中對(duì)時(shí)間間隙較短的幀數(shù)進(jìn)行實(shí)時(shí)調(diào)整，從而獲得更好的水印消除效果。

除此之外，我們還會(huì)介紹水印技術(shù)現(xiàn)在所面臨的一些安全問題，比如說可以被主動(dòng)消除等等。其中涉及到：

• 轉(zhuǎn)換攻擊：將視頻中現(xiàn)有的水印轉(zhuǎn)換成其他提供商的水印。
• 碼率抖動(dòng)攻擊：添加高分辨率的組件并強(qiáng)制視頻編碼器降低水印附近的視頻碼率。
• 幀壓縮攻擊：通過壓縮屏幕來犧牲一定的分辨率，然后通過用戶自定義的JavaScript來繞過水印功能。

當(dāng)然了，在我們的演講中還會(huì)提供一些相應(yīng)的安全應(yīng)對(duì)策略，并且還會(huì)通過例子來進(jìn)行講解。

3. 用戶空間下的只讀內(nèi)存“殺傷力”巨大

• 演講人員：騰訊科恩實(shí)驗(yàn)室安全研究專家-陳良
• 演講地點(diǎn)：Jasmine Ballroom
• 演講日期：2018年8月8日，星期三，11點(diǎn)15分-12點(diǎn)05分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：移動(dòng)安全、漏洞利用開發(fā)

如今，很多現(xiàn)代操作系統(tǒng)在各自的CPU架構(gòu)層級(jí)中都實(shí)現(xiàn)了只讀內(nèi)存映射功能，并依靠此方法來抵御某些常見的安全攻擊行為。通過將內(nèi)存數(shù)據(jù)映射成只讀內(nèi)容，內(nèi)存數(shù)據(jù)的擁有者(進(jìn)程)將能夠信任可訪問到的內(nèi)存數(shù)據(jù)，并減少一些不必要的安全方面的擔(dān)憂，例如內(nèi)存邊界檢測(cè)和TOCTTOU等問題。因?yàn)樵谥蛔x內(nèi)存映射功能的幫助下，我們可以假設(shè)其他進(jìn)程在各自的虛擬空間內(nèi)是無法對(duì)映射出來的只讀內(nèi)存進(jìn)行直接操作的。

但是，這種假設(shè)并不一定是正確的。在過去的幾年時(shí)間里，安全社區(qū)已經(jīng)解決了不少相關(guān)的邏輯問題了，而這些問題絕大多數(shù)都是由操作系統(tǒng)對(duì)只讀內(nèi)存映射功能處理不當(dāng)所導(dǎo)致的。比如說，某些情況下操作系統(tǒng)會(huì)將只讀數(shù)據(jù)映射為可寫數(shù)據(jù)，并且還沒有對(duì)權(quán)限進(jìn)行設(shè)定。這樣一來，目標(biāo)進(jìn)程所擁有的內(nèi)存內(nèi)容將不再是可信任的了，并引起內(nèi)存崩潰等問題，甚至還有可能導(dǎo)致攻擊者在用戶空間內(nèi)實(shí)現(xiàn)權(quán)限提升。不過隨著現(xiàn)代操作系統(tǒng)的不斷升級(jí)，這些問題也很少出現(xiàn)了。從另一方面來看，移動(dòng)設(shè)備附加的外圍設(shè)備所提供的功能越來越豐富，DMA(直接內(nèi)存訪問)技術(shù)將允許我們快速地在主機(jī)和外圍設(shè)備之間進(jìn)行數(shù)據(jù)交換。DMA技術(shù)利用了IOMMU(輸入/輸出內(nèi)存管理單元)來進(jìn)行內(nèi)存操作，因此CPU MMU所提供的內(nèi)存保護(hù)機(jī)制在DMA進(jìn)行數(shù)據(jù)傳輸期間將處于不可用狀態(tài)。在2017年中旬，Google Project Zero團(tuán)隊(duì)的Gal Beniamini就利用DMA技術(shù)成功實(shí)現(xiàn)了對(duì)Nexus 6P和iPhone 7的攻擊。然而，這種新型的攻擊模型通常只適用于從設(shè)備到主機(jī)的攻擊場(chǎng)景，并且需要固件漏洞才有可能實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備的完整控制。不幸的是，DMA相關(guān)的接口并不會(huì)直接暴露給用戶空間的應(yīng)用程序。

經(jīng)過了幾個(gè)月的研究之后，我們?cè)趇OS設(shè)備上發(fā)現(xiàn)了一個(gè)特例：即Apple圖形(驅(qū)動(dòng))。在2017年的MOSEC移動(dòng)安全技術(shù)峰會(huì)上，我們演示了如何對(duì)iOS 10.3.2和iOS 11 beta2系統(tǒng)進(jìn)行越獄，而這兩個(gè)版本是當(dāng)時(shí)的iOS最新版本，iPhone 6s和iPhone 7運(yùn)行的都是這兩個(gè)版本操作系統(tǒng)的其中之一，不過演示過程的具體細(xì)節(jié)我們至今都沒有對(duì)外公布。

在此次演講過程中，我們將介紹相關(guān)漏洞的核心概念，其中包括：

• 暴露在iOS用戶空間內(nèi)的間接DMA功能。
• IOMMU內(nèi)存保護(hù)的實(shí)現(xiàn)。
• GPU和蘋果圖形驅(qū)動(dòng)器之間的通知機(jī)制。

在下一個(gè)部分中，我們將介紹兩個(gè)漏洞的技術(shù)細(xì)節(jié)：第一個(gè)漏洞是DMA在處理主機(jī)虛擬內(nèi)存時(shí)出現(xiàn)的，第二個(gè)漏洞是一個(gè)越界寫入漏洞，該漏洞是由不受信任的用戶空間只讀內(nèi)存導(dǎo)致的。

最后，我們將介紹怎樣結(jié)合Apple Graphics組件中的這兩個(gè)漏洞來在iOS應(yīng)用程序沙箱中實(shí)現(xiàn)穩(wěn)定的內(nèi)存代碼執(zhí)行。

4. 無線安全：我們?nèi)绾芜h(yuǎn)程入侵特斯拉的網(wǎng)關(guān)、BCM以及自動(dòng)駕駛ECU

• 演講人員：騰訊科恩實(shí)驗(yàn)室安全研究專家-劉令、騰訊科恩實(shí)驗(yàn)室安全研究專家-聶森、騰訊科恩實(shí)驗(yàn)室安全研究專家-張文凱、騰訊科恩實(shí)驗(yàn)室安全研究專家-杜岳峰
• 演講地點(diǎn)：South Seas CDF
• 演講日期：2018年8月9日，星期四，17點(diǎn)00分-18點(diǎn)00分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：物聯(lián)網(wǎng)安全、漏洞利用開發(fā)

在2016年和2017年，我們騰訊科恩實(shí)驗(yàn)室已經(jīng)成功對(duì)特斯拉Model S/X實(shí)現(xiàn)了兩種遠(yuǎn)程攻擊。去年，在美國舉辦的Black Hat黑客大會(huì)上，我們向全世界展示了第一條攻擊鏈的技術(shù)細(xì)節(jié)。不僅如此，我們當(dāng)時(shí)還向外界提供了第二條攻擊鏈的攻擊演示視頻，不過我們并沒有在視頻中介紹攻擊的技術(shù)細(xì)節(jié)。但是今年，我們準(zhǔn)備將我們完整的研究內(nèi)容以及技術(shù)細(xì)節(jié)信息全部分享給大家。

在此次演講過程中，我們將介紹這項(xiàng)技術(shù)的內(nèi)部工作機(jī)制。除此之外，我們還在2017年特斯拉攻擊技術(shù)的基礎(chǔ)之上添加了新的功能，這部分我們也將會(huì)進(jìn)行演示。值得一提的是，在新的攻擊鏈中，將會(huì)涉及到特斯拉汽車組件中的多個(gè)0 day漏洞，大家期待嗎?

當(dāng)然了，我們還會(huì)對(duì)特斯拉汽車中的關(guān)鍵組件進(jìn)行深入分析，其中包括網(wǎng)關(guān)、BCM(車身控制模塊)以及自動(dòng)駕駛ECU。比如說，我們將會(huì)利用到一個(gè)代碼簽名繞過漏洞來攻擊特斯拉的網(wǎng)關(guān)ECU，而且我們還能夠?qū)CM進(jìn)行逆向分析并對(duì)其進(jìn)行自定義修改。

最后，我們將介紹一種新的遠(yuǎn)程攻擊技術(shù)，在這項(xiàng)攻擊技術(shù)的幫助下，我們能夠利用一個(gè)非常有意思的漏洞成功入侵特斯拉汽車的自動(dòng)駕駛ECU。提醒大家一下，據(jù)我們所知，在此之前還沒有人公開演示過如何入侵特斯拉的自動(dòng)駕駛模塊。

5. 如何攻擊現(xiàn)代智能手機(jī)的基帶?

• 演講人員：騰訊科恩安全實(shí)驗(yàn)室高級(jí)安全研究專家- Marco Grassi (意大利)、騰訊科恩安全實(shí)驗(yàn)室安全研究專家-Muqing Liu、騰訊科恩安全實(shí)驗(yàn)室高級(jí)安全研究專家-謝天億
• 演講地點(diǎn)：South Seas ABE
• 演講日期：2018年8月9日，星期四，14點(diǎn)30分-15點(diǎn)20分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：移動(dòng)安全、漏洞利用開發(fā)

在此次演講中，我們將對(duì)現(xiàn)代智能手機(jī)的基帶進(jìn)行深入分析，并討論與智能手機(jī)基帶相關(guān)的設(shè)計(jì)方案以及安全應(yīng)對(duì)策略。接下來，我們還會(huì)解釋如何尋找并利用內(nèi)存崩潰漏洞。除此之外，我們還會(huì)介紹一個(gè)案例以供大家研究，我們將詳細(xì)介紹當(dāng)時(shí)我們?cè)?017年 Mobile Pwn2Own大會(huì)上得獎(jiǎng)的技術(shù)案例，其中就涉及到智能手機(jī)基帶中的一個(gè)0 day漏洞(可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行)。通過深入研究，我們現(xiàn)在可以在無需用戶交互且無需接觸目標(biāo)手機(jī)設(shè)備的情況下成功利用該漏洞實(shí)現(xiàn)對(duì)目標(biāo)手機(jī)的遠(yuǎn)程控制，而這個(gè)漏洞也幫助我們贏得了十萬美元的獎(jiǎng)金。

5. 漏洞利用自動(dòng)化生成：如何自動(dòng)化開發(fā)針對(duì)任意類型內(nèi)核漏洞的漏洞利用方案

• 演講人員：京東安全硅谷研究中心博士-Su 蘇志剛、賓夕法尼亞州立大學(xué)&中國科學(xué)院大學(xué)研究員-吳煒、賓夕法尼亞州立大學(xué)博士-Xinyu Xing
• 演講地點(diǎn)：Islander FG
• 演講日期：2018年8月9日，星期四，14點(diǎn)30分-15點(diǎn)20分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：漏洞利用開發(fā)

針對(duì)某個(gè)安全漏洞來專門設(shè)計(jì)和開發(fā)相應(yīng)的漏洞利用代碼，通常是一項(xiàng)非常具有挑戰(zhàn)性的任務(wù)，這類工作不僅需要耗費(fèi)大量的時(shí)間，而且它還屬于一種勞動(dòng)密集型的工作。為了解決目前的這種問題，我們可以在漏洞利用的開發(fā)過程中引入自動(dòng)化漏洞利用生成技術(shù)。然而在開發(fā)漏洞利用代碼的實(shí)踐過程中，現(xiàn)有的技術(shù)還存在很多的不足之處。一方面，很多現(xiàn)有的技術(shù)方法只會(huì)在發(fā)生崩潰的進(jìn)程上下文環(huán)境中嘗試實(shí)現(xiàn)漏洞利用，但想要成功利用內(nèi)核漏洞的話，往往需要在內(nèi)核崩潰的上下文環(huán)境中才能實(shí)現(xiàn)。從另一方面來說，很多現(xiàn)有的程序分析技術(shù)只適用于某些簡(jiǎn)單的軟件，而不適用于像操作系統(tǒng)內(nèi)核這樣具有高度復(fù)雜性和可擴(kuò)展性的對(duì)象。

在此次演講過程中，我們將介紹并發(fā)布一款新型的漏洞利用框架，該框架將能夠完全實(shí)現(xiàn)自動(dòng)化利用內(nèi)核漏洞。從技術(shù)上來說，我們的框架利用了內(nèi)核模糊測(cè)試技術(shù)來豐富了內(nèi)核崩潰的上下文環(huán)境，并利用符號(hào)執(zhí)行來在不同的上下文環(huán)境中去嘗試?yán)媚繕?biāo)漏洞。除此之外，我們還會(huì)在大會(huì)上從多個(gè)方面演示如何基于該框架實(shí)現(xiàn)手動(dòng)開發(fā)。

首先，它能夠增強(qiáng)安全分析人員識(shí)別系統(tǒng)調(diào)用和開發(fā)漏洞利用代碼的能力，這將給他們帶來非常大的幫助。其次，它為安全研究人員提供了很多現(xiàn)成的安全緩解繞過方案。第三，它允許安全分析人員針對(duì)不同的漏洞來自動(dòng)化生成相應(yīng)的漏洞利用代碼(例如權(quán)限提升或數(shù)據(jù)泄露)。值得一提的是，它不僅能夠針對(duì)已知漏洞來生成漏洞利用代碼，而且它還能夠識(shí)別一些未知的內(nèi)核漏洞，并自動(dòng)化生成相應(yīng)的漏洞利用代碼。

除了上述內(nèi)容之外，我們還會(huì)在演講過程中介紹幾個(gè)此前未公布的針對(duì)多個(gè)內(nèi)核漏洞的漏洞利用方案。需要注意的是，我們的實(shí)驗(yàn)覆蓋了大部分常見的用后釋放漏洞以及堆溢出漏洞。在所有的測(cè)試案例中，有超過50%的漏洞目前還沒有公開可用的漏洞利用代碼。為了對(duì)此次發(fā)布的內(nèi)容進(jìn)行簡(jiǎn)單說明，我已經(jīng)在我的個(gè)人網(wǎng)站(http://ww9210.cn/)上發(fā)布了其中一份漏洞利用代碼。這份漏洞利用代碼適用于漏洞CVE-2017-15649，目前社區(qū)還沒有針對(duì)該漏洞的公開可用的漏洞利用代碼，而這個(gè)漏洞將允許攻擊者繞過SMAP的驗(yàn)證機(jī)制。