Black Hat官網(wǎng)地址：https://www.blackhat.com/

活動簡介

如果讓世界黑客選出一個最頂尖的黑客會議，那Black Hat一定會以壓倒性優(yōu)勢被投票選出，Black Hat在世界黑客心中相當(dāng)于一年一度的“世界杯”和“奧斯卡”，同時也被公認(rèn)為世界信息安全行業(yè)的最高盛會。

Black Hat有著悠久歷史，今年已經(jīng)進(jìn)入了第21個年頭，每次會議的議題篩選都極為嚴(yán)格，眾多議題提交后通過率不足20%，所以Black Hat也被稱為最具技術(shù)性的信息安全會議。

這些世界頂尖的干貨議題不僅囊括了當(dāng)年最前端的技術(shù)和熱點(diǎn)，還將會引領(lǐng)未來的安全思想和技術(shù)風(fēng)向。

活動時間

2018年8月4日-9日

活動地點(diǎn)

美國拉斯維加斯，曼德勒海灣會議中心

[[239248]]

議程安排

BlackHat USA主要分為三部分：

(1) 8月4日-7日的BlackHat培訓(xùn)：

專為信息安全從業(yè)者設(shè)計，通過訓(xùn)練網(wǎng)絡(luò)進(jìn)攻和防守來提高黑客技能，BlackHat培訓(xùn)由行業(yè)專家講授，目標(biāo)是定義和捍衛(wèi)明天的信息安全格局。

(2) 8月8日-9日的展臺

BlackHat與超過17,000名信息安全專業(yè)人士合作，通過搭建展臺來展示Black Hat贊助商提供的一系列安全產(chǎn)品和解決方案。同時，這些展臺也為參會者、供應(yīng)商和安全社區(qū)提供了獨(dú)特的深入了解的機(jī)會。

(3) 8月8日-9日的議題

在Black Hat 上通過上百個議題，了解最新的信息安全風(fēng)險和趨勢，來自世界各地的安全專家將分享最新的突破性研究、開源工具和安全漏洞等。

議題簡介

1. AFL盲點(diǎn)以及如何抵抗AFL Fuzzing

• 演講人員：喬治亞大學(xué)教授-李康教授(360網(wǎng)絡(luò)安全北美研究員的負(fù)責(zé)人)
• 演講地點(diǎn)：Jasmine Ballroom
• 演講日期：2018年8月8日，星期三，17點(diǎn)05分-17點(diǎn)30分
• 演講形式：25分鐘陳述
• 主題標(biāo)簽：應(yīng)用安全、安全開發(fā)周期

在應(yīng)用程序模糊測試領(lǐng)域中，AFL的作用不言而喻。在過去的幾年里，研究人員一直在不斷地研發(fā)新的技術(shù)來提升AFL的功能以更好地幫助我們尋找安全漏洞。但是在這個過程中，卻很少有人關(guān)注如何隱藏漏洞并不被AFL發(fā)現(xiàn)。

此次演講內(nèi)容主要關(guān)于AFL的盲點(diǎn)，我們將討論AFL本身的限制因素，以及如何利用AFL的這種“缺陷”來隱藏特殊的安全漏洞。AFL能夠?qū)Υa覆蓋進(jìn)行追蹤，并利用代碼覆蓋信息來引導(dǎo)模糊測試過程中的輸入數(shù)據(jù)生成。AFL不會記錄完整的代碼執(zhí)行路徑，AFL使用的是一種壓縮后的哈希位圖來存儲代碼覆蓋信息。這種壓縮位圖能夠帶來的是執(zhí)行速度的提升，但是這種方法也有自身的缺陷：在壓縮位圖中，由于哈希碰撞的問題，新路徑將能夠被之前的路徑覆蓋。代碼覆蓋信息的這種不精確性和不完全性有時將會阻止AFL模糊測試器發(fā)現(xiàn)那些有可能導(dǎo)致代碼崩潰的潛在路徑。

在此次演講中，我們將演示AFL的這種缺陷，并通過一些例子來演示如何利用AFL的這一“盲點(diǎn)”來限制AFL尋找漏洞的能力。除此之外，我們也會介紹如何防止AFL通過其他方法(例如符號執(zhí)行)來生成并獲取隨機(jī)數(shù)種子。

為了進(jìn)一步演示AFL的這種缺陷，我們開發(fā)了一款名叫DeafL的軟件原型，該工具能夠轉(zhuǎn)換和重寫EFL代碼并實(shí)現(xiàn)我們防止AFL模糊測試器成功發(fā)現(xiàn)漏洞的目的。在不需要修改給定ELF代碼的情況下，DeafL工具能夠?qū)⑤斎氲拇a重寫到一個新的ELF可執(zhí)行程序。這樣一來，AFL原本能夠輕松找到的漏洞在重寫后的代碼中將很難被找到。

2. 如何消除視頻流服務(wù)中的水印

• 演講人員：阿里巴巴安全研究專家-王康     清華大學(xué)碩士研究生-惠軼群
• 演講地點(diǎn)：Tradewinds EF
• 演講日期：2018年8月9日，星期四，12點(diǎn)10分-13點(diǎn)00分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：數(shù)據(jù)取證/事件響應(yīng)、策略

在中國，視頻直播服務(wù)越來越火了。為了確保各自的利益，很多視頻服務(wù)提供商都會在視頻中添加可見的水印，而且這種情況也越來越常見了。正因如此，這也讓很多用戶和觀眾對此深感厭倦，畢竟大家都是來看視頻的，誰又想去看那礙眼的水印呢?

我們通過研究發(fā)現(xiàn)，某些視頻服務(wù)提供商添加的水印是可以被用戶主動清除的。也就是說，視頻的原創(chuàng)作者可以預(yù)先在自己制作的視頻流中放置一種反向水印，這樣就能夠清除掉視頻服務(wù)提供商額外增加的水印了。雖然這項(xiàng)技術(shù)的概念聽起來很簡單也很直觀，但是在技術(shù)的實(shí)現(xiàn)過程中還存在一些問題，比如說水印的大小、位置和陰影等等。我們從理論上對計算機(jī)圖形卡的計算能力極限進(jìn)行了評估之后，我們制作了一個PoC并用它來對中國最大的一家視頻流服務(wù)提供商(這家公司已在紐交所上市)進(jìn)行了測試。測試的結(jié)果讓我們非常滿意，在解決了顏色管理以及顏色空間轉(zhuǎn)換等相關(guān)參數(shù)問題之后，我們現(xiàn)在幾乎能夠100%地實(shí)現(xiàn)主動的水印消除了。

為了自動化實(shí)現(xiàn)整個水印消除過程，我們還自主研發(fā)了一款ffmpeg過濾器和一個OBS插件，它們能夠幫助我們在視頻直播的過程中對時間間隙較短的幀數(shù)進(jìn)行實(shí)時調(diào)整，從而獲得更好的水印消除效果。

除此之外，我們還會介紹水印技術(shù)現(xiàn)在所面臨的一些安全問題，比如說可以被主動消除等等。其中涉及到：

• 轉(zhuǎn)換攻擊：將視頻中現(xiàn)有的水印轉(zhuǎn)換成其他提供商的水印。
• 碼率抖動攻擊：添加高分辨率的組件并強(qiáng)制視頻編碼器降低水印附近的視頻碼率。
• 幀壓縮攻擊：通過壓縮屏幕來犧牲一定的分辨率，然后通過用戶自定義的JavaScript來繞過水印功能。

當(dāng)然了，在我們的演講中還會提供一些相應(yīng)的安全應(yīng)對策略，并且還會通過例子來進(jìn)行講解。

3. 用戶空間下的只讀內(nèi)存“殺傷力”巨大

• 演講人員：騰訊科恩實(shí)驗(yàn)室安全研究專家-陳良
• 演講地點(diǎn)：Jasmine Ballroom
• 演講日期：2018年8月8日，星期三，11點(diǎn)15分-12點(diǎn)05分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：移動安全、漏洞利用開發(fā)

如今，很多現(xiàn)代操作系統(tǒng)在各自的CPU架構(gòu)層級中都實(shí)現(xiàn)了只讀內(nèi)存映射功能，并依靠此方法來抵御某些常見的安全攻擊行為。通過將內(nèi)存數(shù)據(jù)映射成只讀內(nèi)容，內(nèi)存數(shù)據(jù)的擁有者(進(jìn)程)將能夠信任可訪問到的內(nèi)存數(shù)據(jù)，并減少一些不必要的安全方面的擔(dān)憂，例如內(nèi)存邊界檢測和TOCTTOU等問題。因?yàn)樵谥蛔x內(nèi)存映射功能的幫助下，我們可以假設(shè)其他進(jìn)程在各自的虛擬空間內(nèi)是無法對映射出來的只讀內(nèi)存進(jìn)行直接操作的。

但是，這種假設(shè)并不一定是正確的。在過去的幾年時間里，安全社區(qū)已經(jīng)解決了不少相關(guān)的邏輯問題了，而這些問題絕大多數(shù)都是由操作系統(tǒng)對只讀內(nèi)存映射功能處理不當(dāng)所導(dǎo)致的。比如說，某些情況下操作系統(tǒng)會將只讀數(shù)據(jù)映射為可寫數(shù)據(jù)，并且還沒有對權(quán)限進(jìn)行設(shè)定。這樣一來，目標(biāo)進(jìn)程所擁有的內(nèi)存內(nèi)容將不再是可信任的了，并引起內(nèi)存崩潰等問題，甚至還有可能導(dǎo)致攻擊者在用戶空間內(nèi)實(shí)現(xiàn)權(quán)限提升。不過隨著現(xiàn)代操作系統(tǒng)的不斷升級，這些問題也很少出現(xiàn)了。從另一方面來看，移動設(shè)備附加的外圍設(shè)備所提供的功能越來越豐富，DMA(直接內(nèi)存訪問)技術(shù)將允許我們快速地在主機(jī)和外圍設(shè)備之間進(jìn)行數(shù)據(jù)交換。DMA技術(shù)利用了IOMMU(輸入/輸出內(nèi)存管理單元)來進(jìn)行內(nèi)存操作，因此CPU MMU所提供的內(nèi)存保護(hù)機(jī)制在DMA進(jìn)行數(shù)據(jù)傳輸期間將處于不可用狀態(tài)。在2017年中旬，Google Project Zero團(tuán)隊(duì)的Gal Beniamini就利用DMA技術(shù)成功實(shí)現(xiàn)了對Nexus 6P和iPhone 7的攻擊。然而，這種新型的攻擊模型通常只適用于從設(shè)備到主機(jī)的攻擊場景，并且需要固件漏洞才有可能實(shí)現(xiàn)對目標(biāo)設(shè)備的完整控制。不幸的是，DMA相關(guān)的接口并不會直接暴露給用戶空間的應(yīng)用程序。

經(jīng)過了幾個月的研究之后，我們在iOS設(shè)備上發(fā)現(xiàn)了一個特例：即Apple圖形(驅(qū)動)。在2017年的MOSEC移動安全技術(shù)峰會上，我們演示了如何對iOS 10.3.2和iOS 11 beta2系統(tǒng)進(jìn)行越獄，而這兩個版本是當(dāng)時的iOS最新版本，iPhone 6s和iPhone 7運(yùn)行的都是這兩個版本操作系統(tǒng)的其中之一，不過演示過程的具體細(xì)節(jié)我們至今都沒有對外公布。

在此次演講過程中，我們將介紹相關(guān)漏洞的核心概念，其中包括：

• 暴露在iOS用戶空間內(nèi)的間接DMA功能。
• IOMMU內(nèi)存保護(hù)的實(shí)現(xiàn)。
• GPU和蘋果圖形驅(qū)動器之間的通知機(jī)制。

在下一個部分中，我們將介紹兩個漏洞的技術(shù)細(xì)節(jié)：第一個漏洞是DMA在處理主機(jī)虛擬內(nèi)存時出現(xiàn)的，第二個漏洞是一個越界寫入漏洞，該漏洞是由不受信任的用戶空間只讀內(nèi)存導(dǎo)致的。

最后，我們將介紹怎樣結(jié)合Apple Graphics組件中的這兩個漏洞來在iOS應(yīng)用程序沙箱中實(shí)現(xiàn)穩(wěn)定的內(nèi)存代碼執(zhí)行。

4. 無線安全：我們?nèi)绾芜h(yuǎn)程入侵特斯拉的網(wǎng)關(guān)、BCM以及自動駕駛ECU

• 演講人員：騰訊科恩實(shí)驗(yàn)室安全研究專家-劉令、騰訊科恩實(shí)驗(yàn)室安全研究專家-聶森、騰訊科恩實(shí)驗(yàn)室安全研究專家-張文凱、騰訊科恩實(shí)驗(yàn)室安全研究專家-杜岳峰
• 演講地點(diǎn)：South Seas CDF
• 演講日期：2018年8月9日，星期四，17點(diǎn)00分-18點(diǎn)00分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：物聯(lián)網(wǎng)安全、漏洞利用開發(fā)

在2016年和2017年，我們騰訊科恩實(shí)驗(yàn)室已經(jīng)成功對特斯拉Model S/X實(shí)現(xiàn)了兩種遠(yuǎn)程攻擊。去年，在美國舉辦的Black Hat黑客大會上，我們向全世界展示了第一條攻擊鏈的技術(shù)細(xì)節(jié)。不僅如此，我們當(dāng)時還向外界提供了第二條攻擊鏈的攻擊演示視頻，不過我們并沒有在視頻中介紹攻擊的技術(shù)細(xì)節(jié)。但是今年，我們準(zhǔn)備將我們完整的研究內(nèi)容以及技術(shù)細(xì)節(jié)信息全部分享給大家。

在此次演講過程中，我們將介紹這項(xiàng)技術(shù)的內(nèi)部工作機(jī)制。除此之外，我們還在2017年特斯拉攻擊技術(shù)的基礎(chǔ)之上添加了新的功能，這部分我們也將會進(jìn)行演示。值得一提的是，在新的攻擊鏈中，將會涉及到特斯拉汽車組件中的多個0 day漏洞，大家期待嗎?

當(dāng)然了，我們還會對特斯拉汽車中的關(guān)鍵組件進(jìn)行深入分析，其中包括網(wǎng)關(guān)、BCM(車身控制模塊)以及自動駕駛ECU。比如說，我們將會利用到一個代碼簽名繞過漏洞來攻擊特斯拉的網(wǎng)關(guān)ECU，而且我們還能夠?qū)CM進(jìn)行逆向分析并對其進(jìn)行自定義修改。

最后，我們將介紹一種新的遠(yuǎn)程攻擊技術(shù)，在這項(xiàng)攻擊技術(shù)的幫助下，我們能夠利用一個非常有意思的漏洞成功入侵特斯拉汽車的自動駕駛ECU。提醒大家一下，據(jù)我們所知，在此之前還沒有人公開演示過如何入侵特斯拉的自動駕駛模塊。

5. 如何攻擊現(xiàn)代智能手機(jī)的基帶?

• 演講人員：騰訊科恩安全實(shí)驗(yàn)室高級安全研究專家- Marco Grassi (意大利)、騰訊科恩安全實(shí)驗(yàn)室安全研究專家-Muqing Liu、騰訊科恩安全實(shí)驗(yàn)室高級安全研究專家-謝天億
• 演講地點(diǎn)：South Seas ABE
• 演講日期：2018年8月9日，星期四，14點(diǎn)30分-15點(diǎn)20分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：移動安全、漏洞利用開發(fā)

在此次演講中，我們將對現(xiàn)代智能手機(jī)的基帶進(jìn)行深入分析，并討論與智能手機(jī)基帶相關(guān)的設(shè)計方案以及安全應(yīng)對策略。接下來，我們還會解釋如何尋找并利用內(nèi)存崩潰漏洞。除此之外，我們還會介紹一個案例以供大家研究，我們將詳細(xì)介紹當(dāng)時我們在2017年 Mobile Pwn2Own大會上得獎的技術(shù)案例，其中就涉及到智能手機(jī)基帶中的一個0 day漏洞(可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行)。通過深入研究，我們現(xiàn)在可以在無需用戶交互且無需接觸目標(biāo)手機(jī)設(shè)備的情況下成功利用該漏洞實(shí)現(xiàn)對目標(biāo)手機(jī)的遠(yuǎn)程控制，而這個漏洞也幫助我們贏得了十萬美元的獎金。

5. 漏洞利用自動化生成：如何自動化開發(fā)針對任意類型內(nèi)核漏洞的漏洞利用方案

• 演講人員：京東安全硅谷研究中心博士-Su 蘇志剛、賓夕法尼亞州立大學(xué)&中國科學(xué)院大學(xué)研究員-吳煒、賓夕法尼亞州立大學(xué)博士-Xinyu Xing
• 演講地點(diǎn)：Islander FG
• 演講日期：2018年8月9日，星期四，14點(diǎn)30分-15點(diǎn)20分
• 演講形式：50分鐘陳述
• 主題標(biāo)簽：漏洞利用開發(fā)

針對某個安全漏洞來專門設(shè)計和開發(fā)相應(yīng)的漏洞利用代碼，通常是一項(xiàng)非常具有挑戰(zhàn)性的任務(wù)，這類工作不僅需要耗費(fèi)大量的時間，而且它還屬于一種勞動密集型的工作。為了解決目前的這種問題，我們可以在漏洞利用的開發(fā)過程中引入自動化漏洞利用生成技術(shù)。然而在開發(fā)漏洞利用代碼的實(shí)踐過程中，現(xiàn)有的技術(shù)還存在很多的不足之處。一方面，很多現(xiàn)有的技術(shù)方法只會在發(fā)生崩潰的進(jìn)程上下文環(huán)境中嘗試實(shí)現(xiàn)漏洞利用，但想要成功利用內(nèi)核漏洞的話，往往需要在內(nèi)核崩潰的上下文環(huán)境中才能實(shí)現(xiàn)。從另一方面來說，很多現(xiàn)有的程序分析技術(shù)只適用于某些簡單的軟件，而不適用于像操作系統(tǒng)內(nèi)核這樣具有高度復(fù)雜性和可擴(kuò)展性的對象。

在此次演講過程中，我們將介紹并發(fā)布一款新型的漏洞利用框架，該框架將能夠完全實(shí)現(xiàn)自動化利用內(nèi)核漏洞。從技術(shù)上來說，我們的框架利用了內(nèi)核模糊測試技術(shù)來豐富了內(nèi)核崩潰的上下文環(huán)境，并利用符號執(zhí)行來在不同的上下文環(huán)境中去嘗試?yán)媚繕?biāo)漏洞。除此之外，我們還會在大會上從多個方面演示如何基于該框架實(shí)現(xiàn)手動開發(fā)。

首先，它能夠增強(qiáng)安全分析人員識別系統(tǒng)調(diào)用和開發(fā)漏洞利用代碼的能力，這將給他們帶來非常大的幫助。其次，它為安全研究人員提供了很多現(xiàn)成的安全緩解繞過方案。第三，它允許安全分析人員針對不同的漏洞來自動化生成相應(yīng)的漏洞利用代碼(例如權(quán)限提升或數(shù)據(jù)泄露)。值得一提的是，它不僅能夠針對已知漏洞來生成漏洞利用代碼，而且它還能夠識別一些未知的內(nèi)核漏洞，并自動化生成相應(yīng)的漏洞利用代碼。

除了上述內(nèi)容之外，我們還會在演講過程中介紹幾個此前未公布的針對多個內(nèi)核漏洞的漏洞利用方案。需要注意的是，我們的實(shí)驗(yàn)覆蓋了大部分常見的用后釋放漏洞以及堆溢出漏洞。在所有的測試案例中，有超過50%的漏洞目前還沒有公開可用的漏洞利用代碼。為了對此次發(fā)布的內(nèi)容進(jìn)行簡單說明，我已經(jīng)在我的個人網(wǎng)站(http://ww9210.cn/)上發(fā)布了其中一份漏洞利用代碼。這份漏洞利用代碼適用于漏洞CVE-2017-15649，目前社區(qū)還沒有針對該漏洞的公開可用的漏洞利用代碼，而這個漏洞將允許攻擊者繞過SMAP的驗(yàn)證機(jī)制。