【热点事件】Blackhat USA 2021热点议题整理

本文作者：史洪@安全研究院（上海）

Blackhat USA作为全球顶尖的安全技术会议，是全球安全界的盛会，从1997年至今已举办了25届，提供了最新的网络安全研究、发展和趋势等资讯。Blackhat USA 2021于今年7月31日-8月5日在美国拉斯维加斯举行，由于新冠疫情的影响，今年大会采用“大会现场体验和网上虚拟体验”相结合的混合形式进行。

7月31日-8月3日为会议培训时间，由业界专家讲授，对网络安全多个方向做当面的深入指导，提供动手练习攻防技能的机会；8月4日-8月5日为会议的简报演讲时间，今年来自世界各地的安全专家在大会上进行95场主题分享和演讲活动，分享他们的攻击技术、漏洞挖掘和安全产品等研究成果。

我们列举了八个主题方向及部分热点议题内容，供安全研究人员进行参考。

利用开发方向

利用开发方向包括漏洞利用、安全机制突破和规避等内容，该方向一直以来都是安全人员研究的重点，也是每次黑帽大会上讨论最多的主题方向。

• 微软公司的Saar Amar和Nicolas Joly在分析了CHERI ISA安全性的基础上，介绍了在CheriBSD系统上进行漏洞利用的方法，指出在漏洞利用中，CHERI最强的部分也可能是这种安全防护新模式最致命的弱点；

• Palo Alto公司的Gal De Leon介绍了利用恶意符号调试文件（.pdb）作为一种网络攻击面，实现用户权限提升的漏洞利用方式；在该议题演讲中，Gal De Leon讲解了绕过ASLR、Heap hardening和CFG等漏洞缓解的利用技术；

• 针对主机安全软件越来越强的查杀能力，罗马大学的Daniele Cono D'Elia和Lorenzo Invidia介绍了一种基于分布式ROP执行（Distributed ROP-Driven Execution）的Rope技术，该技术通过事务性NTFS和ROP可以规避当下主流AV和EDR软件的检测和查杀；

• BM Research Europe的Andrea Mambretti和Alexandra Sandulescu介绍了一种通过推测控制流劫持的方法，实现对堆栈保护、CFI和边界检测等内存损坏缓解机制绕过的漏洞利用技术；

• 腾讯公司的钱文祥介绍了通过对vGPU漏洞的利用，实现由虚拟机到宿主机的逃逸，提供了一种实现虚拟机逃逸的攻击新思路；

• 近年来，要实现对Android设备的远程root利用十分困难。360阿尔法实验室的Han Hongli、Jian Rong、Wang Xiaodong和Zhou Peng介绍了通过两个漏洞组成的攻击利用链实现对当前Android设备的远程root利用，在演讲中，他们讲解了攻击利用链实现过程中的难点和解决利用技术。

信息物理系统方向

信息物理系统是指通过人机交互接口实现和物理实体的交互，使用网络化空间以远程、实时、安全和协作的方式操控一个物理实体。该方向在黑帽大会2020年之前包括Smart Grid/Industrial Security和Internet of Things等主题方向。

• OPC UA是工业4.0中一个重要的通信协议，解决工业现场数据通信标准不统一的问题，使得不同操作系统和不同制造商的设备之间可以进行数据交互。OTORIO公司的Eran Jacob介绍了对OPC UA协议进行安全分析的过程、该协议存在的攻击面及OPC UA软件供应链的漏洞利用技术等内容；

• Armis公司的Ben Seri和Barak Hadad介绍了医院关键基础设施“气动管道物流传输系统（PTS）”站点固件中存在的多个关键漏洞，强调研究嵌入式系统的重要性，指出了这类关键基础设施存在被网络攻击的危险；

• LEXFO公司的Kyasupa介绍了绕过各类安全保护机制，将六种不同IoT设备漏洞组合在一起加以利用的技术，实现对整个胶囊旅馆所有卧室中IoT设备的控制；

• NewAE公司的Colin Oflynn介绍了使用电磁故障注入(EMFI)实现对汽车发动机控制系统（ECU）的注入攻击；在演讲中，还进一步展示了如何在其他设备上执行这种攻击的方法。

Apple系列产品安全方向

Apple系列产品由于其外观出众、用户体验性好、安全性高等优点，因此很受用户欢迎，但是，这也使得Apple系列产品成为安全研究人员关注的对象。

• SecuRing公司的Wojciech Reguła和Offensive Security公司的Csaba Fitz在介绍macOS隐私限制框架（TCC）的基础上，讲解使用各种技术和特定漏洞实现对TCC的绕过，从而可以在用户无感的情况下实现对敏感数据的访问，这些技术可以被用于针对macOS的恶意软件中；

• 在iPhone 11中搭载的U1芯片可以提供精确的空间测量能力。来自SEEMOO公司的Jiska Classen和Alexander Heinrich介绍了通过修改固件的方法，实现对U1芯片内部包括时间、空间、固件和内核模块的研究成果；

• M1芯片是Apple公司首款专为Mac电脑设计的处理芯片，标志着Apple公司正式开启了从Intel的x86 CPU过渡到基于Arm架构的产品。Corellium公司的Stan Skowronek分享了对Apple M1芯片逆向分析的研究成果，包括内存访问、AMX矢量指令集和设计模式等；

• 自2020年采用全新自研的M1芯片以来，Apple公司macOS系统的安全性达到了新的高度，但是这一全新的架构也给恶意软件开发者提供了一个攻击面。Objective-See公司的Patrick Wardle在介绍了许多专门用于分析MacOS系统上ARM64代码方法的基础上，详细介绍第一款针对M1/ARM64的恶意软件；

• F-Secure公司的Luke Roberts和从事红队安全的Calum Hall介绍了利用macOS管理工具对macOS系统进行红队攻击的各种战术/技术/过程（TTP），由于这类方式不需要在系统中引入新的程序，因此具有较强的安全对抗能力；

• iOS 14中引入的许多缓解措施让iOS漏洞利用变得很困难，这使得iOS 14成为有史以来最安全的内核。针对这一难以突破的智能终端系统，来自蚂蚁安全的FanZuozhi、XieJunDong和ZhouZhi分别做了关于绕过新的缓解措施实现对iOS 14“越狱”和突破Safari浏览沙箱访问限制的主题演讲。

漏洞挖掘方向

漏洞挖掘一直以来都是安全研究最为关注的领域，因此，每次黑帽大会都有研究人员进行这方面的技术分享。

• Secura公司的Tom Tervoort介绍了Netlogon中密码学相关的内容，讲解了其中导致ZeroLogon（CVE-2020-1472）漏洞的理论问题，说明了进行ZeroLogon漏洞利用的具体步骤过程；

• Exchange Server 2013将客户端访问服务（CAS）分成了前后端，这种体系架构的变化引入了新的安全漏洞攻击面。DEVCORE公司的Orange Tsai首先介绍了Exchange服务器中新引入的客户端访问服务体系结构，讲解了由于这种变化引起的在服务端、客户端和密码处理部分的错误而产生的7个漏洞，并且分享了由这7个漏洞组成漏洞攻击链可以实现的ProxyLogon、ProxyShell和ProxyOracle三种攻击场景；

• 十年前，Stuxnet病毒利用了Windows Printer Spooler中的特权提升漏洞，导致伊朗核设施中的众多离心机被破坏。在过去的十年中，Spooler服务被发现依然存在多个漏洞。来自深信服的彭峙酿、李雪峰和李彬分享了以Spooler服务为研究目标，挖掘的多个本地提权和远程代码执行漏洞的最新研究成果；

• Windows COM/WinRT组件是Windows UWP应用程序的常用组件并被广泛用于跨进程通信，同时，也是本地提权、远程利用和沙盒逃逸等漏洞的攻击面。来自深信服的彭峙酿和李雪峰介绍了他们是如何发现COM/WinRT组件中的100多个问题点，并分享了对这些问题点进行漏洞利用的技巧及方法；

• 来自SafeBreach公司的Peleg Hadar和Guardicore公司的Ophir Harpaz介绍了一种用于挖掘Hyper-V中漏洞的模糊测试平台hAFL1，并且展示了利用该平台挖掘到的一个0 day漏洞；

• 360阿尔法实验室的Leecraso、Jian Rong和龚广以Chrome浏览器为例，说明如何根据历史漏洞发现更多新漏洞。在演讲中，他们介绍了在Chrome中易受攻击的多种代码模式，通过对某些常见问题的总结，详细说明每种模式具体内容；不仅展示找到类似漏洞的基本工作流程，还说明调整并优化模式，以发现和原始漏洞不同的新漏洞。

人工智能和机器学习方向

人工智能和机器学习功能正越来越多地成为关键业务软件中的核心主体，其背后蕴藏的巨大价值引起了安全研究人员的关注，在本次黑帽大会上有多场关于人工智能和机器学习的主题演讲。

• 安全与新兴技术中心的Andrew Lohn以OpenAI开发的GPT-3为研究工具，介绍了利用自然语言模型工具进行大规模虚假信息传播，并讨论了如何为下一次自动虚假信息传播做好准备；

• 微软公司的Justin Grana和Yuchao Dai等人介绍了其开发并训练的用于检测假冒品牌的Siamese神经网络；另外，他们还讲解了其开发的一种用于检验该神经网络执行效果的度量标准；

• Elastic公司的Andrew Davis介绍了一种可解释的机器学习模型，该模型可以生成可调的签名，以优化对恶意软件的检测率和减少误报；

移动通信安全方向

随着移动通信技术的不断发展，人们在享受便利化信息服务的同时，也存在很多信息安全隐患，移动通信的安全性变得尤其重要。

• SINTEF Digital公司的avishankar Borgaonkar和柏林工业大学的Altaf Shaik详细地讲解了5G移动通信网的安全保护技术，介绍了他们基于5G技术开展的假基站方面的实验情况，总结了基于5G技术的假基站对5G用户的影响，为移动设备供应商、运营商和终端用户提供了相关意见；

• 腾讯基恩实验室的Marco Grassi和Chen Xingyu分享了他们对5G智能手机基带方面开展的研究情况，介绍了5G通信网在安全方面的改进，同时，通过演示证明了利用空中信号完全突破5G智能手机基带模块，在手机上获得远程代码执行仍然是可能的；

• Pen Test Partners公司的Christopher Wade在演讲中讲解了对Android智能手机中引导加载进行突破利用的技术，分享了智能手机辅助硬件中存在引导加载的缺陷，并通过一个实验证明可以利用签名验证中的缺陷实现在芯片上部署自定义固件；

• 挪威大学的Gunnar Alendal介绍了对三星手机数据安全芯片S3K250AF的远程攻击方法，分享了挖掘实施这一攻击的0 day漏洞的方法，通过这种方法可以实现对受影响手机在before-first-unlock状态下的数字取证；

• Google公司的Natalie Silvanovich介绍了针对Signal、JioChat、Mocha、Google Duo和Facebook Messenger等手机应用程序挖掘漏洞的过程，实现对用户的无介入监控；

• TASZK安全实验室的Daniel Komaromy和Lorant Szabo分享了对华为最新一代手机进行突破的技术成果，包括利用引导加载中的漏洞实现对手机的解锁、构建调试器和突破操作系统中的缓解措施等，通过对这些技术成果的利用，可以实现华为手机的零点击（无介入）控制。

云安全方向

云计算作为信息系统发展的重要方向，已经逐步融入到人们的工作和生活中，很多应用都已经转移并部署到云端，因此，云安全的重要性日益凸显，相关研究也成为网络安全的一个重要的领域。

• Wiz.io公司的Shir Tamari和Ami Luttwak讲解了发现多个AWS服务受到跨帐户攻击漏洞的发现过程和引起该类漏洞的原因，展示了通过跨帐户漏洞实现对AWS客户端的执行操作过程，提出了针对IAM漏洞的具体缓解措施，并讨论当前IAM漏洞管理流程的处理方式；

• Hyper-V是微软Azure虚拟化解决方案，同时也是微软云虚拟化的基石。蚂蚁安全的Hong Zhenhao和360安全的Liao Chuanjian介绍了Hyper-V漏洞和传统Windows EOP漏洞之间的区别，分享了他们发现的3个Hyper-V RCE漏洞的内部细节，最后，解释与Hyper-V相关的潜在攻击接口；

• Mandiant公司的Doug Bienstock和Josh Madeley首先介绍了他们监控到APT组织采用的、对Microsoft 365进行持久化访问和数据提取的技术；然后详细说明了这些技术的实现方法和技术原理，最后分享了这些ATP技术的发展方向和特点。

应用安全方向

各类系统上部署着大量不同类型的应用，这些应用能够提供丰富的功能；但是，各种应用由于其在实现或配置时的问题，会导致出现多种安全隐患，因此，应用安全也一直是黑帽大会关注的一个方向。

• Windows Server的IIS服务具有可扩展和模块化的特点，但是，这种可扩展性却被恶意软件开发者滥用，进行拦截或修改网络流量。ESET公司的Zuzana Hromcova在演讲中基于对多个IIS恶意软件的逆向分析成果，详细说明了IIS恶意软件的组成结构和实现技术，总结了IIS类恶意软件的共同特性，最后通过实际操作一个IIS恶意软件说明之前介绍的各种IIS恶意软件利用技术；

• 斯坦福大学的Mathew Hogan、北卡罗莱纳大学的Saba Eskandarian和Anjuna公司的Yan Michalevsky分享了他们针对数据库data-at-rest encryption功能开展的攻击技术研究成果，演示了针对真实数据库的压缩旁道攻击方法，介绍了数据库压缩旁道攻击的实现原理和方法，并讨论了可能的缓解措施；

• SpecterOps公司的Will Schroeder和Lee Christensen在介绍活动目录中相关证书背景知识后，详细说明了通过对活动目录证书服务（ADCS）的滥用，实现凭据盗窃、持久化控制、域升级和利用窃取的私钥伪造金票据等技术。