DEFCON官網(wǎng)鏈接：https://defcon.org/html/defcon-26/dc-26-index.html

會(huì)議簡介

DEFCON 是與BlackHat齊名的安全領(lǐng)域世界頂級(jí)會(huì)議，被譽(yù)為安全界 “奧斯卡”。

大會(huì)每年在美國拉斯維加斯緊接著BlackHat召開，會(huì)召會(huì)集近萬名來自全球各地的安全專家、白帽子黑客、安全愛好者相聚在此，集中展示全球網(wǎng)絡(luò)安全領(lǐng)域最新的技術(shù)研究成果，而能夠登上DEFCON的講壇展示交流也成為了全世界的網(wǎng)絡(luò)安全研究者的理想，是擁有世界頂尖安全技術(shù)實(shí)力的榮耀象征。

會(huì)議時(shí)間

2018年8月9日-12日

會(huì)議地點(diǎn)

美國拉斯維加斯，Caesars Palace和Flamingo會(huì)議中心

中國入選議題

1. 攻擊macOS內(nèi)核圖形驅(qū)動(dòng)器

• 演講人員：滴滴美國研究中心高級(jí)工程師- Yu Wang
• 演講日期：2018年8月12日，星期日，12點(diǎn)00分-12點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：技術(shù)演示、漏洞利用

跟Windows平臺(tái)一樣，macOS內(nèi)核的圖形驅(qū)動(dòng)器結(jié)構(gòu)同樣是非常復(fù)雜的，其中存在的安全問題也將暴露非常大的攻擊面，攻擊者將有可能利用這些安全問題并使用低權(quán)限進(jìn)程來實(shí)現(xiàn)EoP或沙盒逃逸等攻擊。去年，在對(duì)部分macOS內(nèi)核代碼進(jìn)行了分析之后，我們在其中發(fā)現(xiàn)了多個(gè)安全漏洞。其中包括空指針間接引用、堆緩沖區(qū)溢出、任意內(nèi)核內(nèi)存讀寫和用后釋放等關(guān)鍵漏洞。其中的某些漏洞我們已經(jīng)提交給了蘋果公司，比如說漏洞CVE-2017-7155、CVE-2017-7163和CVE-2017-13883。

在此次演講中，我們將跟大家分享相關(guān)漏洞的技術(shù)細(xì)節(jié)信息。除此之外，我們還會(huì)介紹幾種新的漏洞利用技術(shù)(針對(duì)0 day漏洞)，并從攻擊者的角度來看看如何利用這些漏洞去實(shí)現(xiàn)攻擊。

2. 黑掉你的“大腦”–自定義惡意協(xié)議黑掉SDN控制器

• 演講人員：白帽黑客-Feng Xiao
• 白帽黑客-Jianwei Huang
• 網(wǎng)絡(luò)安全博士-Peng Liu
• 演講日期：2018年8月10日，星期五，13點(diǎn)30分-13點(diǎn)50分
• 演講形式：20分鐘陳述
• 主題標(biāo)簽：漏洞利用

現(xiàn)如今，軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN )已經(jīng)普遍部署到各類產(chǎn)品的生產(chǎn)環(huán)境之中了，而且以其為主題的社區(qū)群體也在不斷壯大雖然SDN這種基于軟件的架構(gòu)能夠給網(wǎng)絡(luò)系統(tǒng)帶來可編程性，但同時(shí)這種架構(gòu)也會(huì)給SDN控制器帶來各種危險(xiǎn)的代碼漏洞。我們通過研究發(fā)現(xiàn)，SDN控制器與數(shù)據(jù)流之間的交互主要通過一種預(yù)定義的協(xié)議來進(jìn)行，而這種機(jī)制從很大程度上會(huì)增加攻擊者利用數(shù)據(jù)面安全漏洞的難度。

在我們的演講中，我們將會(huì)擴(kuò)展相關(guān)的攻擊面，并給大家介紹關(guān)于自定義攻擊(Custom Attack)的內(nèi)容。所謂自定義攻擊，指的是一種針對(duì)SDN控制器的新型攻擊方法，這種方法主要利用的是合法SDN協(xié)議消息(例如自定義protocol域)來嘗試?yán)肑ava代碼漏洞。我們的研究表明，這種攻擊方式可以在存在安全漏洞的目標(biāo)設(shè)備中實(shí)現(xiàn)任意命令執(zhí)行或者在無需訪問SDN控制器及任意應(yīng)用程序的情況下修改SDN控制器中的數(shù)據(jù)(不過這樣只能控制一臺(tái)主機(jī)或交換機(jī))。

需要提醒大家的是，我們所設(shè)計(jì)的自定義攻擊(Custom Attack)是第一種能夠遠(yuǎn)程入侵SDN軟件棧并給SDN控制器同時(shí)帶來多種攻擊影響的攻擊方法。目前為止，我們已經(jīng)對(duì)五種熱門的SDN控制器以及相應(yīng)的應(yīng)用程序進(jìn)行了攻擊測試。測試結(jié)果表明，從某種程度上來說，這些SDN控制器全部都無法抵御自定義攻擊(Custom Attack)。我們總共發(fā)現(xiàn)了十四個(gè)嚴(yán)重的安全漏洞，而這些漏洞都可以被攻擊者遠(yuǎn)程利用并對(duì)目標(biāo)控制器執(zhí)行高級(jí)網(wǎng)絡(luò)攻擊，其中包括任意命令執(zhí)行、提取敏感文件或引起SDN服務(wù)崩潰等等。

我們此次演講的內(nèi)容將包括已下四個(gè)方面：

• 對(duì)我們的SDN安全研究報(bào)告以及相關(guān)實(shí)踐建議進(jìn)行闡述
• 介紹一種針對(duì)SDN控制器的新型攻擊方法，并演示如何入侵整個(gè)目標(biāo)網(wǎng)絡(luò)
• 介紹我們的研究過程、方法和研究成果，其中包括攻擊技術(shù)細(xì)節(jié)
• 給大家展示在現(xiàn)實(shí)生活中如何對(duì)真實(shí)的SDN項(xiàng)目執(zhí)行自定義攻擊(Custom Attack)

3. 您的外圍設(shè)備已被植入惡意軟件-NXP SOCs漏洞利用

• 演講人員：奇虎360獨(dú)角獸團(tuán)隊(duì)高級(jí)安全研究專家– Yuwei Zheng
• 安全研究專家– Shaokun CaoFreelance
• 奇虎360獨(dú)角獸團(tuán)隊(duì)高級(jí)安全研究專家– Yunding Jian
• 奇虎360無線安全研究部門高級(jí)安全研究專家– Mingchuang Qun
• 演講日期：2018年8月10日，星期五，16點(diǎn)00分-16點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：漏洞利用

目前已經(jīng)有數(shù)十億臺(tái)嵌入式系統(tǒng)采用了基于SOC的ARM Cortex M處理器，在這些設(shè)備中，絕大多數(shù)都是可以聯(lián)網(wǎng)的，而這些設(shè)備的安全問題往往也是我們最擔(dān)心的東西。廠商會(huì)在ARM Cortex M產(chǎn)品中采用大量的安全保護(hù)措施，主要原因有以下幾點(diǎn)：(1)防止他人仿造他們的產(chǎn)品;(2)實(shí)現(xiàn)對(duì)硬件和軟件產(chǎn)品的許可證控制;(3)防止攻擊者向固件中注入惡意代碼。廠商通常會(huì)直接在芯片層構(gòu)建安全保護(hù)措施，或者在芯片組件的周邊設(shè)備上并部署安全防護(hù)機(jī)制(例如secure boot等等)。

在我們的演講中，我們將跟大家分享一個(gè)ARM Cortex M SOC漏洞，我們將主要分兩個(gè)部分進(jìn)行闡述：

• 首先是廠商在SOC中構(gòu)建的安全防護(hù)措施，我們將演示如何去突破這種防護(hù)措施。漏洞利用成功后，我們將能夠修改SOC的唯一ID，并向固件中寫入數(shù)據(jù)，甚至還可以將目標(biāo)設(shè)備轉(zhuǎn)換為木馬或僵尸網(wǎng)絡(luò)主機(jī)。
• 第二部分是廠商圍繞SOC構(gòu)建的安全防護(hù)措施，我們將演示如何去攻擊Secure Boot組件，并向固件中寫入惡意數(shù)據(jù)。

4. 蘋果內(nèi)核驅(qū)動(dòng)的安全分析與攻擊

• 演講人員：阿里巴巴安全工程師-Xiaolong Bai
• 阿里巴巴安全專家– Min (Spark)
• 演講日期：2018年8月12日，星期日，14點(diǎn)00分-14點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：技術(shù)演示、工具、漏洞利用

雖然蘋果的macOS和iOS系統(tǒng)采用了非常多的安全機(jī)制，但是其中還遺留有很多已過時(shí)或質(zhì)量不高的內(nèi)核代碼，而這些低質(zhì)量的代碼將會(huì)給攻擊者提供可乘之機(jī)。毫無疑問，內(nèi)核絕對(duì)是一臺(tái)設(shè)備的核心組件，很多攻擊者都會(huì)利用設(shè)備驅(qū)動(dòng)器或內(nèi)核漏洞來對(duì)蘋果系統(tǒng)進(jìn)行攻擊。實(shí)際上，想要找出蘋果內(nèi)核驅(qū)動(dòng)器中存在的漏洞并不容易，因?yàn)樘O果的系統(tǒng)采取的是閉源策略，并且及其依賴于面向?qū)ο蟮木幊谭椒āＴ谖覀兊拇舜窝葜v中，我們將跟大家分析一下蘋果內(nèi)核驅(qū)動(dòng)器的安全問題，并分享針對(duì)蘋果內(nèi)核驅(qū)動(dòng)器的攻擊方法。除此之外，我們還將給大家介紹一款名叫Ryuk的新型工具，這款工具(Ryuk)不僅采用了靜態(tài)分析技術(shù)來自動(dòng)搜索內(nèi)核漏洞，而且還可以給研究人員的手動(dòng)審計(jì)提供幫助。

當(dāng)然了，我們還會(huì)演示怎樣結(jié)合靜態(tài)分析技術(shù)和動(dòng)態(tài)模糊測試技術(shù)來尋找蘋果驅(qū)動(dòng)器中的安全漏洞。也就是說，我們將在演講過程中介紹如何將Ryuk整合到針對(duì)蘋果驅(qū)動(dòng)器的模糊測試工具(PassiveFuzzFrameworkOSX)之中，并嘗試尋找可利用的漏洞。

值得一提的是，我們還會(huì)通過幾個(gè)新發(fā)現(xiàn)的安全漏洞來更好地展示Ryuk的能力，而這些漏洞都是Ryuk近期發(fā)現(xiàn)的新漏洞。在這個(gè)過程中，我們將演示如何利用這些漏洞來在macOS 10.13.3和10.13.2上實(shí)現(xiàn)權(quán)限提升。我們不僅會(huì)介紹這些漏洞的成因以及漏洞的挖掘過程，我們還會(huì)演示如何去利用這些漏洞實(shí)施攻擊，這個(gè)部分將涉及到內(nèi)核漏洞利用技術(shù)的相關(guān)內(nèi)容。

5. 你的錢都去哪兒了?針對(duì)以太坊智能合約的重放攻擊技術(shù)分析

• 演講人員：安全研究專家-Zhenxuan Bai
• 奇虎360獨(dú)角獸團(tuán)隊(duì)高級(jí)安全研究專家– Yuwei Zheng
• 安全研究專家– Senhua Wang
• 奇虎360無線安全研究部PegasusTeam- Kunzhe Chai
• 演講日期：2018年8月11日，星期六，10點(diǎn)00分-10點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：技術(shù)演示、漏洞利用

在我們發(fā)表的這篇報(bào)告中，將介紹一種針對(duì)以太坊智能合約的新型重放攻擊技術(shù)。在令牌傳輸?shù)倪^程中，當(dāng)發(fā)送方的簽名被竊取之后，重放攻擊所帶來的潛在安全風(fēng)險(xiǎn)將無法被完全規(guī)避，這樣一來用戶將會(huì)承受不同程度的經(jīng)濟(jì)損失。原因就是，現(xiàn)有智能合約中廣泛采用的簽名機(jī)制其實(shí)存在設(shè)計(jì)缺陷。未來了測試并驗(yàn)證這種安全漏洞，我們選取了兩種類似的智能合約來進(jìn)行實(shí)驗(yàn)，在同一時(shí)間點(diǎn)，我們在兩個(gè)智能合約中使用了自己的賬號(hào)來進(jìn)行測試。在實(shí)驗(yàn)過程中，由于我們使用的是相同的合約簽名，我們成功從發(fā)送方那里拿到了兩倍收入。實(shí)驗(yàn)結(jié)果表明，針對(duì)以太坊智能合約的重放攻擊是真實(shí)存在并且可行的。除此之外，重放攻擊也許還可以對(duì)其他的智能合約有效。我們計(jì)算了所有存在該漏洞的智能合約數(shù)量，以及相應(yīng)的交易活動(dòng)特征，并成功找到了一些包含該漏洞的以太坊智能合約。在對(duì)合約簽名漏洞進(jìn)行了分析之后，我們對(duì)該漏洞的風(fēng)險(xiǎn)等級(jí)和漏洞特征進(jìn)行了評(píng)估。除此之外，重放攻擊的模式還可以擴(kuò)展到合約內(nèi)部、跨合約或者跨區(qū)塊鏈。最后，我們還提出了針對(duì)該漏洞的修復(fù)策略以及應(yīng)對(duì)策略，這些內(nèi)容可以給廣大研究人員提供可用性較高的安全參考。

6. 史上最難?不存在的!看我們?nèi)绾文玫紸SR漏洞獎(jiǎng)勵(lì)計(jì)劃的最高額獎(jiǎng)金

• 演講人員：奇虎360Alpha團(tuán)隊(duì)– Guang Gong
• 奇虎360Alpha團(tuán)隊(duì)– Wenlin YangAlpha
• 奇虎360Alpha團(tuán)隊(duì)– Jianjun Dai
• 演講日期：2018年8月19日，星期四，11點(diǎn)00分-11點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：技術(shù)演示、漏洞利用

近些年來，Google為了增強(qiáng)安卓操作系統(tǒng)的安全性，他們在漏洞利用以及攻擊面緩解方面做出了非常多的努力。在Google技術(shù)人員的努力之下，攻擊者已經(jīng)越來越難遠(yuǎn)程入侵安卓設(shè)備了，尤其是Google的Pixel手機(jī)。

Pixel引入了非常多的安全保護(hù)功能，而它也是2017年移動(dòng)Pwn2Own比賽上唯一一臺(tái)沒有被參賽者成功“拿下”的設(shè)備。但是我們的團(tuán)隊(duì)成功發(fā)現(xiàn)了一個(gè)遠(yuǎn)程漏洞利用鏈，這也是自從安卓安全獎(jiǎng)勵(lì)計(jì)劃(ASR)規(guī)模擴(kuò)大以來第一個(gè)公開的針對(duì)Pixel手機(jī)的漏洞利用鏈，我們已經(jīng)將相關(guān)漏洞信息提交給了安卓安全團(tuán)隊(duì)。他們也非常重視這個(gè)問題，并且在很短的時(shí)間內(nèi)修復(fù)了相關(guān)漏洞。由于我們的漏洞報(bào)告非常詳細(xì)，并且相關(guān)漏洞也是高危漏洞，因此我們得到了ASR計(jì)劃提供的112500美元的漏洞獎(jiǎng)金，這也是ASR計(jì)劃有史以來的最高額獎(jiǎng)金。

在此次演講中，我們將詳細(xì)介紹如何使用該漏洞利用鏈來向目標(biāo)設(shè)備的system_server金成中注入任意代碼，并獲取到系統(tǒng)用戶權(quán)限。該漏洞利用鏈包括了兩個(gè)漏洞，即CVE-2017-5116和CVE-2017-14904。漏洞CVE-2017-5116是一個(gè)V8引擎漏洞，這個(gè)漏洞跟Webassembly和SharedArrayBuffer有關(guān)。攻擊者可以利用該漏洞在Chrome進(jìn)程的沙盒環(huán)境中實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。漏洞CVE-2017-14904是一個(gè)存在于安卓libgralloc模塊中的漏洞，攻擊者可以用它來實(shí)現(xiàn)沙箱逃逸。我們利用這項(xiàng)技術(shù)的方式非常有意思，而且此前也很少有人探討過這方面內(nèi)容。所有的漏洞細(xì)節(jié)信息和相關(guān)環(huán)節(jié)技術(shù)都將會(huì)在此次演講中提供給大家。

7. 系好“安全帶”!讓我們一起逃離iOS 11的沙盒

• 演講人員：阿里巴巴安全研究專家– Min (Spark) Zheng
• 阿里巴巴安全工程師– Xiaolong Bai
• 演講日期：2018年8月10日，星期五，13點(diǎn)30分-13點(diǎn)50分
• 演講形式：20分鐘陳述
• 主題標(biāo)簽：漏洞利用

蘋果在macOS 10.5中引入的沙盒機(jī)制名叫“SeatBelt”，這個(gè)功能是MACF策略的第一次完整實(shí)現(xiàn)。該功能在macOS上非常成功，因此蘋果也將這種沙盒機(jī)制引入到了iOS 6中。在實(shí)現(xiàn)過程中，有多種系統(tǒng)操作需要掛鉤MACF策略。隨著新的系統(tǒng)調(diào)用請求和新發(fā)現(xiàn)的安全威脅數(shù)量不斷增長，整個(gè)沙盒系統(tǒng)會(huì)變得越來越復(fù)雜。在一開始，蘋果的沙盒使用的是一種基于黑名單的方法，這也就意味著蘋果從一開始就收集到了大量已知的危險(xiǎn)API，并通過黑名單機(jī)制來進(jìn)行風(fēng)險(xiǎn)控制。但是，隨著蘋果沙盒系統(tǒng)的逐步升級(jí)，它開始采用一種基于白名單的方法來拒絕所有的API請求，并只允許處理那些蘋果信任的請求。

在此次演講中，我們將對(duì)蘋果的沙盒系統(tǒng)以及最新版iOS的配置文件進(jìn)行介紹。接下來，我們會(huì)討論iOS IPC機(jī)制，并對(duì)幾種經(jīng)典的沙盒逃逸漏洞進(jìn)行介紹。最重要的是，我們還會(huì)詳細(xì)介紹兩個(gè)最新的沙盒逃逸漏洞，這兩個(gè)0 day漏洞是我們在最新的iOS 11.4版本中發(fā)現(xiàn)的。除此之外，我們還會(huì)跟大家分享如何通過OOL msg堆噴射以及ROP技術(shù)來利用系統(tǒng)服務(wù)中的安全漏洞。

除了上述內(nèi)容之外，我們還會(huì)討論一種任務(wù)端口利用技術(shù)，這種技術(shù)可以通過Mach消息來實(shí)現(xiàn)對(duì)遠(yuǎn)程進(jìn)程的完整控制。在這項(xiàng)技術(shù)的幫助下，安全研究人員可以尋找并利用沙盒逃逸漏洞來控制iOS用戶模式下的系統(tǒng)服務(wù)，并進(jìn)一步實(shí)現(xiàn)對(duì)內(nèi)核的攻擊。

8. 智能揚(yáng)聲器到底有多智能?我可以監(jiān)聽你的一切

• 演講人員：騰訊Blade團(tuán)隊(duì)安全研究專家– Wu HuiYu
• 騰訊Blade團(tuán)隊(duì)安全研究專家– Qian Wenxiang
• 演講日期：2018年8月12日，星期日，12點(diǎn)00分-12點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：技術(shù)演示、漏洞利用

在過去的兩年里，智能揚(yáng)聲器已經(jīng)變成了一款非常熱門的物聯(lián)網(wǎng)設(shè)備。亞馬遜、谷歌和蘋果都已經(jīng)推出了自家的智能揚(yáng)聲器產(chǎn)品。在這些智能揚(yáng)聲器產(chǎn)品中，絕大多數(shù)都擁有自然語言識(shí)別、聊天、音樂播放、物聯(lián)網(wǎng)設(shè)備控制以及購物等功能。制造商們使用了人工智能技術(shù)來讓這些智能揚(yáng)聲器變得更加智能，并讓它們擁有了跟人類對(duì)話的能力。但是，隨著越來越多的家庭開始使用智能揚(yáng)聲器，制造商們也在不斷地給智能揚(yáng)聲器產(chǎn)品添加新的功能，因此這類產(chǎn)品的安全問題也逐漸開始引起了人們的關(guān)注。很多人都擔(dān)心智能揚(yáng)聲器會(huì)被黑客攻擊，并泄露他們的隱私，而我們的研究結(jié)果表明，這種擔(dān)憂是非常實(shí)際的。

在此次演講中，我們將跟大家介紹如何利用多個(gè)漏洞來入侵某些當(dāng)前熱門的智能揚(yáng)聲器。攻擊成功之后，我們將能夠在后臺(tái)對(duì)用戶進(jìn)行監(jiān)聽，或控制揚(yáng)聲器播放的內(nèi)容等等。除此之外，我們還會(huì)介紹如何從BGA數(shù)據(jù)包閃存芯片(例如EMMC、EMCP和NAND閃存等等)中提取出固件。當(dāng)然了，這部分內(nèi)容還涉及到如何通過修改固件內(nèi)容和重構(gòu)閃存芯片來開啟設(shè)備的調(diào)試接口并獲取到root權(quán)限，因?yàn)檫@部分內(nèi)容將會(huì)對(duì)后續(xù)的漏洞分析和調(diào)試起到非常大的幫助。最后，我們將會(huì)播放幾個(gè)演示視頻來展示我們?nèi)绾卫胷oot權(quán)限遠(yuǎn)程訪問某些智能揚(yáng)聲器，并使用揚(yáng)聲器來實(shí)現(xiàn)用戶監(jiān)聽和播放任意音頻。

9. Lora智能水表的安全分析報(bào)告

• 演講人員：奇虎360獨(dú)角獸無線安全研究部門安全研究專家– Yingtao Zeng、奇虎360安全技術(shù)部門高級(jí)無線安全研究專家和SDR技術(shù)專家– Lin Huang、奇虎360無線安全研究部門高級(jí)安全研究專家– Jun Li
• 演講日期：2018年8月10日，星期五，11點(diǎn)00分-11點(diǎn)45分
• 演講形式：45分鐘陳述
• 主題標(biāo)簽：工具演示

在智能水表出現(xiàn)之前，水電行業(yè)的朋友們都需要去用戶的家中收集水表數(shù)據(jù)。為了避免去進(jìn)行這種繁瑣無謂的工作，制造商們向水表中添加了無線通信模塊，智能水表便應(yīng)運(yùn)而生。在此次演講中，我們將對(duì)一款智能水表的安全性進(jìn)行分析。這款智能水表使用了Lora無線協(xié)議，我們將以此作為樣例來對(duì)其安全性進(jìn)行分析，并對(duì)其面臨的安全風(fēng)險(xiǎn)進(jìn)行描述。除此之外，我們還會(huì)介紹如何對(duì)智能水表的硬件系統(tǒng)和軟件系統(tǒng)進(jìn)行逆向工程分析。在演講過程中，我們將從多個(gè)角度來對(duì)智能水表的安全問題進(jìn)行介紹，其中包括物理、數(shù)據(jù)流和傳感器等多個(gè)方面。需要注意的是，Lora無線協(xié)議并不只有智能水表在使用，很多物聯(lián)網(wǎng)設(shè)備都在使用這種通信協(xié)議，所以我們在分析Lora時(shí)所采用的方法也可以適用于其他基于Lora的物聯(lián)網(wǎng)設(shè)備。