0x00 序

今天是Black Hat 2015第一天，九點鐘開場。開場介紹是由Black Hat創始人Jeff Moss講的。隨后又請來了Stanford law school的Jennifer Granickz做了keynote speech。

隨后就開始Black Hat的正會了，因為Black Hat是9個分會場同時進行，所以我們只能挑一些比較感興趣的演講去聽。

0x01 ANDROID SECURITY STATE OF THE UNION

這個talk的演講者是Google Android security team的leader , Adrian Ludwig。 Adrian首先介紹了android系統的一些安全策略，比如說應用隔離(sandbox，SElinux，TrustZone等)，設備完整性(開機鎖，數據加密等)，內存通用防御(NX, ASLR等)等等。隨后介紹了google公司在android安全上的貢獻，比如說保證google play上app的安全性，更安全的瀏覽器chrome，設備管理器等。

接著Adrian提到google和越來越多的廠商開始進行合作，能夠更快的patch設備。比如說libstagefright漏洞在八月份就為上百個設備推送了patch。

隨后，Andrian說，因為我們在BH做演講，所以我們要講一些“壞”的消息。首先講的是在android有很多的malware，但是android有多層的防御，malware必須全部突破才能對設備產生危害。

接著Andrian介紹了一些Google統計的安全數據。主要是Potentially Harmful Applications (PHA)的數據。俄羅斯的PHA一直非常高，中國時高時低。并且Andrian的號稱從2015年2月開始Google play上就沒有發現PHA了，但第三方市場一直都有很多。

然后Andrian講了Google應對漏洞的策略：及時掃描google play和第三方市場，并將利用漏洞的malware加入黑名單;盡快發布patch;針對不同的漏洞增加一些應急策略(比如為了應對libstragefright漏洞，在修復前android不會自動加載附件)。

Andrian最后講了android的漏洞獎勵計劃。

個人總結：相對Andrian在之前大會上的演講，Android security team已經沒有以前的自信了，以前總是說Android絕對安全，那些病毒和漏洞的消息只不過是媒體夸大罷了。這次演講的態度卻有很大轉變，首先表示Google可以在漏洞出現的時候盡量第一時間patch。然后又公布漏洞獎勵計劃，鼓勵大家第一時間提交漏洞信息。明顯感覺對自己一家搞定android安全沒有太大信心了。#p#

0x02 ATTACKING INTEROPERABILITY - AN OLE EDITION

這個演講來自Intel security，也就是原來的麥咖啡。OLE是Object Linking and Embedding 的縮寫。OLE是COM (Component Object Model)的一部分。幾乎所有的office zero-day都和OLE有一定的關系。Hacker可以利用OLE加載非ASLR的dll，進行堆噴射等。比較常見的OLE就是一個文檔中包含了另一個文檔。當雙擊另一個文檔時，就會調用OLE。

Speaker首先介紹了OLE的初始化過程。然后講了三個在OLE初始化時候的攻擊面：CocreateInstance使用的CLSID，IPersistStorage::Load()函數調用的存儲，IOleObject::DOVerb使用的verb參數。 然后介紹了利用這些攻擊可以產生的結果：1.可以加載沒有ASLR的dll到內存中。2.可以造成內存破壞。3.dll預加載hijack攻擊。然后speaker預測會有更多office OLE 0day會被發現。最后speaker演示了win7 x64下的OLE 0day的2個demo。

0x03 ABUSING SILENT MITIGATIONS - UNDERSTANDING WEAKNESSES WITHIN INTERNET EXPLORERS ISOLATED HEAP AND MEMORYPROTECTION

這個talk是ZDI做的，也就是pwn2own的主辦者。ZDI首先講了heap上經常使用的UAF漏洞，然后講了微軟在2014年引進了兩種新的攻擊緩解技術：isolated heap和memory protection。

Isolated heap的防御方法是根據type來分配不同的heap，這樣的話不同類型的數據就不會互相影響。memory protection會對free()操作進行保護，并在free的過程中會加一些”0”到堆中。但是即使加上了這兩層，ZDI依然找到了應對的方法，并且獲得了微軟$125,000的獎金。但exploit的過程非常復雜，要經過很多階段的內存分配與釋放才行。有意思的是，因為memory protection的加入，反而讓ZDI找到了一種新的方法用來bypass ASLR。所以說，在沒有進行全面的測試就加入新的攻擊緩解技術不一定是一件好事。

最后ZDI 做了在開啟了兩種防御的情況下彈計算器的demo，以及開了Memory Protection的情況下利用加載dll方法做到bypass ASLR的demo。#p#

0x04 REMOTE EXPLOITATION OF AN UNALTERED PASSENGER VEHICLE

[[144377]]

Charlie Miller是twitter的安全研究員，是工業界非常有名的人物。這次的talk估計是本屆BH最火的talk了，還沒開始下面就已經人山人海了。

talk講了兩種遠程攻擊汽車的方法。首先是通過wifi入侵車: Charlie Miller先逆向了汽車WPA2密碼的生成方式，發現WPA2的密碼是根據設定密碼的時間作為種子生成的隨機密碼，并且首次生成以后并不會改變。所以說當知道了生成密碼的時間，就可以暴力破解出密碼。比如說知道了哪一天設置的密碼就可以在1小時內暴力猜出密碼。

進入車的wifi內網后，Charlie發現汽車打開了6667端口運行D-BUS服務。D-BUS是以root模式運行。其中有一個服務叫NavTrailService可以進行命令injection，然后就獲取到root shell。

另一種方式是通過蜂窩網絡入侵汽車，首先采用femto-cell(偽造蜂窩基站)的方法對區域內的ip進行掃描，然后尋找打開了6667端口的設備，也就是打開D-BUS服務端口的汽車。隨后采用和wifi攻擊渠道一樣的命令injection方法獲取到root shell。

[[144378]]

但是Charlie講到，即使有root權限也只能控制一些media的東西。想要控制汽車還需要對系統進行修改。Charlie采用的方法是修改并更新固件。Charlie發現目標汽車有個嚴重的安全漏洞，那就是汽車的系統不會驗證固件的簽名，因此通過固件修改系統并加入后門變為了可能。

所以最終攻擊過程如下：先利用基站搜索有漏洞的汽車，然后遠程攻擊NavTrailSerivce，重新刷帶有后門的固件，等待目標汽車固件更新后就可以進行進行遠程控制了。隨后Charlie Miller演示了各種控制汽車的視頻，讓全場沸騰不已。

[[144379]] 

[[144380]] #p#

0x05 OPTIMIZED FUZZING IOKIT IN IOS

帶來這個演講的是阿里移動安全部門的long lei以及潘愛民老師。

這個工作主要有三個貢獻：1、一套非常詳細的獲取IOKit內核信息的方法。2、一套用來fuzzy IOKit的框架。3、2個fuzzy出來的漏洞分享。

在這個工作之前，安全研究人員一般使用ida進行靜態的分析，但效果并不理想。于是long lei提出了一種在越獄的情況下動態獲取IOKit信息的方法。但是獲取IOKit在內核中的信息非常麻煩，要對各種meta數據信息進行parse，是一項工程量非常大工作。

在Fuzz方面，Fuzzer系統會使用Mobile Substrate框架對關鍵函數進行hook，隨后進行fuzz工作。

最后，long lei分享了2個用這套fuzz系統發現的漏洞，并且其中一個信息泄露的漏洞已經報給了蘋果并且在最新iOS上修復了。

0x06 ATTACKING ECMASCRIPT ENGINES WITH REDEFINITION

這個talk的演講者是Natalie Silvanovich。來自Google的Project Zero團隊。ECMAScript 是javascript的前身。這個talk主要講了在ECMAScript中，數據類型進行轉換時產生的問題。比如說類型A轉換成了類型B，有一些數據可能會進行錯誤的轉換，從而造成可利用的漏洞。

Natalie Silvanovich舉了很多例子進行講解，其中包括了最近非常火的Hacking Team的flash 0day。隨后還講解了如何尋找這類的漏洞，比如說多用IDA對數據轉換函數進行進行逆向以及使用fuzzer等。

0x07 第一天總結

總的來說第一天的演講無論是在名氣上還是質量上都是相當高的。并且這次有很多國內安全公司的人參與和學習，一定會對國內安全圈的發展有很好的推進作用。那就讓我們繼續期待明天的會議吧。