-
-
BlackHat 2015黑客大会精华报道(8月6日)
-
发表于: 2015-8-10 21:39
-
新闻链接:http://www.freebuf.com/news/74586.html
新闻时间:2015-08-10
新闻正文:
2015年度黑客盛宴在拉斯维加斯如火如荼的上演着,世界各地、不同肤色、不同种族、不同语言的黑客们欢聚一堂,静静的聆听这如春雨般洗礼的华丽乐章。相信所有的黑客们在参加这场大会之后都会受益匪浅,下面是黑帽大会第二日(8月6日)的精彩回顾。
两分钟内开走你的汽车
不要让Samy Kamkar靠近你的汽车!
**Kamkar开发了一个像钱包一样大小的设备,可以远程劫持车钥匙解锁时发送的代码,进而解锁车门或者车库门。该设备叫做Rolljam。由于设备及其微小,可被很容易的隐藏起来,当车主靠近并解锁汽车时,该设备就会趁机劫持其中的代码,然后存储,后续使用。
设备的工作原理
正常情况下,智能车钥匙的工作原理是:车主远程按下解锁车门的按钮,钥匙就会向汽车发送一条远程的动态指令代码。汽车系统识别动态指令代码,解锁车门。注意:动态指令代码属于一次性代码,用过即废,所以当汽车系统第二次接收到相同的代码,是不会同意开启车门的。
Rolljam之所以能够成功的解锁汽车,是因为它会在信号传向汽车系统的过程中将其拦截下来,这样汽车就不会收到该信号,而Rolljam却成功收集到了信号。
Kamkar给予的解释是:
当你靠近汽车,按下解锁按钮,我的设备会劫持该解锁信号,也就获得了动态解锁代码。当然你不会注意到这是我在捣乱,会继续按下按钮,这样我会再次获得动态代码。所以我就可以在不久的将来用这些动态代码解锁你的汽车。
利用Windows Server更新服务漏洞篡改更新
Windows Server更新服务(WSUS)本应是IT企业的伙伴,因为它能够让你更方便地下载安全补丁、安装SP包、硬件驱动等。然而来自英国Context Information Security的Paul Stone和Alex Chapman发现,当WSUS服务器连接微软检查驱动更新时,它会使用XML SOAP web服务来检查。
而这些检查不是通过SSL进行的。虽然更新中会有微软的签名,并且更新必须被微软认证,Stone和Chapman发现,如果攻击者已经处在企业网络中的“中间人(man-in-the-middle)”位置,他就可以通过篡改未加密的流量,注入恶意的更新。
在WSUS初始化配置的最后一步就是设置打开SSL,但有些公司会跳过这一步骤。微软也无法帮忙修复这一问题,因为设置打开SSL需要使用准备SSL证书,微软无法帮忙自动完成这一过程。
他们在论文中详细介绍了利用漏洞篡改更新的步骤:
Windows Update会验证更新是否是微软签名的。但是,没有专门用于Windows Update的证书——所有有微软CA证书签名的文件都会通过验证。所以他们就使用了微软出品的Windows Sysinternals工具集中的PsExec,这是一款远程命令工具,带有微软签名。研究人员使用中间人攻击篡改WSUS流量,然后制作虚假的更新,让电脑下载PsExec,然后附上某些恶意的参数,受害者就中招了。
DGA Changer恶意程序生成虚假域名,躲避追踪
DGA Changer下载器团队修改了其恶意程序,专门躲避沙箱的检测。来自Seculert的安全研究员发布了一个关于最新DGA Changer的报告,报告中指出如果DGA发现自己运行在一个虚拟设备上,它就会产生一些虚假的域名。
Seculert的技术主管在Black Hat大会上指出:
如果它检测到自己不是在真实的环境中,而是在VMware或者VBox中,它就会生成虚假的域名进行通信。
域名生成算法一直是僵尸网络使用的躲避追踪的一种技术方法。在某些情况下,该算法会生成一系列新的域名,被攻击者用于通信。
如果它发现有人在查看该恶意程序并试图改变它,或者它发现有人在查看恶意程序的动态分析并运行了一段时间,那么它就不会在继续工作,因为它不能生成真正的域名,如果继续工作就会被发现。
这就像是猫鼠游戏一般,他们做着,我们抓着。
利用物联网设备盗取计算机文件
位于美国纽约的安全公司Red Balloon Security的研究人员发现了一种新技术,可以通过病毒感染打印机或洗衣机等物联网设备,将计算机的机密信息以无线电信号的方式发送出去。研究人员向大家展示了感染打印机的过程,通过快速地开关打印机芯片内I/O针脚的输出就可以生成信号,并且信号强到能够穿过混凝土墙,发送到数公里之外。
它的原理是通过操控针脚的供电,导致设备中的通用异步接收/发送装置中的电容“蜂鸣和振动”,从而发送无线电信号。研究小组将这项技术成果称为“Funtenna”。
通过这种方法传递的是一种非常缓慢的信息流。一秒只能传输一个字母,但是粗光缆——像那种连接大型计算机房服务器的电缆可以充当某种放大器,也就意味着这是窃取计算机机房中电脑数据的最有效手段。
“你可能有网络检测工具,有防火墙,但这种传输数据的方式是它们都无法检测监控的。”研究员Ang Cui说道,“这种方式彻底挑战了网络安全。”
2015美国黑帽大会之怪 TOP 10
坐拥巨额预算,同时还带着那么点诡异的幽默感,安全会议常常充满了奇异与古怪的场景。黑帽大会当然也不例外。从明星模仿秀到魔术表演、视频游戏等等,安全厂商拼尽全力为了让自己能从中脱颖而出。
安全厂商正面擂台
大会如火如荼地开展之时,在这样一个尴尬的角落,出现了互为竞争对手的FireEye和Palo Alto网络占了房间中的最大两个展位。“巧合的是”他们比邻而居,尽管在安排上似乎有点针锋相对的意味儿,但是在这场没有硝烟的战争中并没有产生一个最后的赢家。与会者对他们二者的展台都很感兴趣。
吧台占个座儿
很多供应商在自己的站台都设有酒吧,但是Authentify无疑凭借其精致的酒吧布局拔得头筹。这家从事多因素身份验证的公司为与会者提供了瓶装沙士(无醇饮料),同时他们还在地板上布置了导航提示。
娱乐和游戏
Tenable网络安全公司在经典街机游戏太空入侵者中设立了一个新方法让与会者参加“保护他们的网络”。参加的人有机会通过消灭所有攻击网络的威胁而获得“等级提升”。
黑客面前“耍花招”
拉斯维加斯以其技艺精湛的魔术师闻名于世,黑帽大会当然也没有让我们失望。安全与特权管理公司Lieberman软件带来了(与黑客无关的)魔术,魔术师现场秀了下高超的牌技,就是不知道现场有没有托儿呐。
来,放放松
参加大会可不是件轻松的事儿。自动响应公司Invotas意识到了这点,并为与会人员提供了现场按摩的贴心服务。
我还会回来的
为了“终止攻击”,你显然需要一个终结者。Blue Coat提供了与施瓦辛格模仿者拍照的机会,假如危险降临,你也不用担心了。
星球大战
你需要适应在工作时多一点乐趣与游戏。Bit9 + Carbon Black提供了一个完整版星球大战雅达利视频游戏机,出席会议的人员可以在这里施展自己的游戏才能。
锤子
你是否感觉有时候需要一个锤子来对付你的电脑呢?Zscaler在黑帽大会上给你这个机会,在一个封闭房间中,将你全部的愤怒发泄在过时或者表现很差劲的硬件设备上,当然了,使用的是大锤。
我们在招聘
职位空缺在不同的公司都有发生,无论是供应商或者解决方案提供商。而在这场顶尖人才的争夺战中,Accenture则是一个重量级的选手。
FBI通缉令
尽管黑帽大会并非一个政府友好型活动,但FBI还是出色地展示出吸纳优秀网络安全好手的决心:“识别、追求并打败网络攻击对手”。FBI表示,他们正在寻求能够与世界上最复杂计算机威胁正面交锋的黑客,并培养政府和私营部门的网络信息共享的合作关系。
* FreeBuf综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
新闻时间:2015-08-10
新闻正文:
2015年度黑客盛宴在拉斯维加斯如火如荼的上演着,世界各地、不同肤色、不同种族、不同语言的黑客们欢聚一堂,静静的聆听这如春雨般洗礼的华丽乐章。相信所有的黑客们在参加这场大会之后都会受益匪浅,下面是黑帽大会第二日(8月6日)的精彩回顾。
两分钟内开走你的汽车
不要让Samy Kamkar靠近你的汽车!
**Kamkar开发了一个像钱包一样大小的设备,可以远程劫持车钥匙解锁时发送的代码,进而解锁车门或者车库门。该设备叫做Rolljam。由于设备及其微小,可被很容易的隐藏起来,当车主靠近并解锁汽车时,该设备就会趁机劫持其中的代码,然后存储,后续使用。
设备的工作原理
正常情况下,智能车钥匙的工作原理是:车主远程按下解锁车门的按钮,钥匙就会向汽车发送一条远程的动态指令代码。汽车系统识别动态指令代码,解锁车门。注意:动态指令代码属于一次性代码,用过即废,所以当汽车系统第二次接收到相同的代码,是不会同意开启车门的。
Rolljam之所以能够成功的解锁汽车,是因为它会在信号传向汽车系统的过程中将其拦截下来,这样汽车就不会收到该信号,而Rolljam却成功收集到了信号。
Kamkar给予的解释是:
当你靠近汽车,按下解锁按钮,我的设备会劫持该解锁信号,也就获得了动态解锁代码。当然你不会注意到这是我在捣乱,会继续按下按钮,这样我会再次获得动态代码。所以我就可以在不久的将来用这些动态代码解锁你的汽车。
利用Windows Server更新服务漏洞篡改更新
Windows Server更新服务(WSUS)本应是IT企业的伙伴,因为它能够让你更方便地下载安全补丁、安装SP包、硬件驱动等。然而来自英国Context Information Security的Paul Stone和Alex Chapman发现,当WSUS服务器连接微软检查驱动更新时,它会使用XML SOAP web服务来检查。
而这些检查不是通过SSL进行的。虽然更新中会有微软的签名,并且更新必须被微软认证,Stone和Chapman发现,如果攻击者已经处在企业网络中的“中间人(man-in-the-middle)”位置,他就可以通过篡改未加密的流量,注入恶意的更新。
在WSUS初始化配置的最后一步就是设置打开SSL,但有些公司会跳过这一步骤。微软也无法帮忙修复这一问题,因为设置打开SSL需要使用准备SSL证书,微软无法帮忙自动完成这一过程。
他们在论文中详细介绍了利用漏洞篡改更新的步骤:
Windows Update会验证更新是否是微软签名的。但是,没有专门用于Windows Update的证书——所有有微软CA证书签名的文件都会通过验证。所以他们就使用了微软出品的Windows Sysinternals工具集中的PsExec,这是一款远程命令工具,带有微软签名。研究人员使用中间人攻击篡改WSUS流量,然后制作虚假的更新,让电脑下载PsExec,然后附上某些恶意的参数,受害者就中招了。
DGA Changer恶意程序生成虚假域名,躲避追踪
DGA Changer下载器团队修改了其恶意程序,专门躲避沙箱的检测。来自Seculert的安全研究员发布了一个关于最新DGA Changer的报告,报告中指出如果DGA发现自己运行在一个虚拟设备上,它就会产生一些虚假的域名。
Seculert的技术主管在Black Hat大会上指出:
如果它检测到自己不是在真实的环境中,而是在VMware或者VBox中,它就会生成虚假的域名进行通信。
域名生成算法一直是僵尸网络使用的躲避追踪的一种技术方法。在某些情况下,该算法会生成一系列新的域名,被攻击者用于通信。
如果它发现有人在查看该恶意程序并试图改变它,或者它发现有人在查看恶意程序的动态分析并运行了一段时间,那么它就不会在继续工作,因为它不能生成真正的域名,如果继续工作就会被发现。
这就像是猫鼠游戏一般,他们做着,我们抓着。
利用物联网设备盗取计算机文件
位于美国纽约的安全公司Red Balloon Security的研究人员发现了一种新技术,可以通过病毒感染打印机或洗衣机等物联网设备,将计算机的机密信息以无线电信号的方式发送出去。研究人员向大家展示了感染打印机的过程,通过快速地开关打印机芯片内I/O针脚的输出就可以生成信号,并且信号强到能够穿过混凝土墙,发送到数公里之外。
它的原理是通过操控针脚的供电,导致设备中的通用异步接收/发送装置中的电容“蜂鸣和振动”,从而发送无线电信号。研究小组将这项技术成果称为“Funtenna”。
通过这种方法传递的是一种非常缓慢的信息流。一秒只能传输一个字母,但是粗光缆——像那种连接大型计算机房服务器的电缆可以充当某种放大器,也就意味着这是窃取计算机机房中电脑数据的最有效手段。
“你可能有网络检测工具,有防火墙,但这种传输数据的方式是它们都无法检测监控的。”研究员Ang Cui说道,“这种方式彻底挑战了网络安全。”
2015美国黑帽大会之怪 TOP 10
坐拥巨额预算,同时还带着那么点诡异的幽默感,安全会议常常充满了奇异与古怪的场景。黑帽大会当然也不例外。从明星模仿秀到魔术表演、视频游戏等等,安全厂商拼尽全力为了让自己能从中脱颖而出。
安全厂商正面擂台
大会如火如荼地开展之时,在这样一个尴尬的角落,出现了互为竞争对手的FireEye和Palo Alto网络占了房间中的最大两个展位。“巧合的是”他们比邻而居,尽管在安排上似乎有点针锋相对的意味儿,但是在这场没有硝烟的战争中并没有产生一个最后的赢家。与会者对他们二者的展台都很感兴趣。
吧台占个座儿
很多供应商在自己的站台都设有酒吧,但是Authentify无疑凭借其精致的酒吧布局拔得头筹。这家从事多因素身份验证的公司为与会者提供了瓶装沙士(无醇饮料),同时他们还在地板上布置了导航提示。
娱乐和游戏
Tenable网络安全公司在经典街机游戏太空入侵者中设立了一个新方法让与会者参加“保护他们的网络”。参加的人有机会通过消灭所有攻击网络的威胁而获得“等级提升”。
黑客面前“耍花招”
拉斯维加斯以其技艺精湛的魔术师闻名于世,黑帽大会当然也没有让我们失望。安全与特权管理公司Lieberman软件带来了(与黑客无关的)魔术,魔术师现场秀了下高超的牌技,就是不知道现场有没有托儿呐。
来,放放松
参加大会可不是件轻松的事儿。自动响应公司Invotas意识到了这点,并为与会人员提供了现场按摩的贴心服务。
我还会回来的
为了“终止攻击”,你显然需要一个终结者。Blue Coat提供了与施瓦辛格模仿者拍照的机会,假如危险降临,你也不用担心了。
星球大战
你需要适应在工作时多一点乐趣与游戏。Bit9 + Carbon Black提供了一个完整版星球大战雅达利视频游戏机,出席会议的人员可以在这里施展自己的游戏才能。
锤子
你是否感觉有时候需要一个锤子来对付你的电脑呢?Zscaler在黑帽大会上给你这个机会,在一个封闭房间中,将你全部的愤怒发泄在过时或者表现很差劲的硬件设备上,当然了,使用的是大锤。
我们在招聘
职位空缺在不同的公司都有发生,无论是供应商或者解决方案提供商。而在这场顶尖人才的争夺战中,Accenture则是一个重量级的选手。
FBI通缉令
尽管黑帽大会并非一个政府友好型活动,但FBI还是出色地展示出吸纳优秀网络安全好手的决心:“识别、追求并打败网络攻击对手”。FBI表示,他们正在寻求能够与世界上最复杂计算机威胁正面交锋的黑客,并培养政府和私营部门的网络信息共享的合作关系。
* FreeBuf综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
