Black Hat大会每年都会汇聚业界最优秀的安全研究人员,展示新的威胁研究和漏洞发现,这样自然而言就能洞察到今年最大的、致命性的新攻击。今年的威胁研究名单中,包括在一些渠道最常用的软硬件中发现的安全漏洞,包括苹果设备、容器、Office 365、Windows 10、VMware、安卓移动设备等等。下面就让我们来看看今年Black Hat大会上最受关注的10个安全威胁。
Black Hat 2017:需要当心的10大安全威胁
苹果
今年Black Hat大会上有几个议题都提到了对苹果设备和苹果操作系统的安全威胁。Objective-See创始人Patrick Wardle今年展示了第一个OS X/macOS恶意软件,名为FruitFly。这个恶意软件似乎是瞄准了生物医学研究机构,允许有针对性的监控。Wardle表示,他已经看到有大约400多例受恶意软件感染了。接下来,Longterm Security创始人Alex Radocea展示了iCloud加密中的一个实施缺陷,可能会允许中间人受到高级黑客的攻击,从而让黑客侵入iCloud Keychain。
容器安全性
容器的安全性挑战也成为今年Black Hat大会的一个焦点。Aqua Security公司研究负责人Michael Cherny和高级安全研究员Sagie Dulce展示了对使用Docker的开发者发起的一次复杂攻击。开发者在Docker中访问了一个恶意网页,最后是与内部网络上的攻击者设备进行反向外壳通信。该研究员还利用Host Rebinding和Shadow Container发起攻击,并表示对容器环境的攻击将越来越普遍,因为开发者成为攻击者的主要目标,而且容器也越来越受欢迎。Capsule8公司首席技术官Dino Dai Zovi还探讨了新数据中心层操作系统——包括Docker Enterprise——是如何改变攻击向量,并让但节点特权升级和持久性变得对攻击者毫无作用。他说,当攻击和防御整个集群或者单一设备的时候,企业需要制定不同的策略。
Broadcom Wi-Fi芯片组
Exodus Intelligence Vulnerability研究员Nitay Artenstein展示了Broadcom Wi-Fi芯片组中的一个芯片组漏洞,攻击者可以远程触发完全代码在住应用处理器中运行。这个名为Broadpwn的漏洞不需要用户交互,影响范围涉及Broadcom BCM43xx家族Wi-Fi芯片。这些芯片用于某些型号的iPhone、HTC、LG和Nexus中,以及大多数三星手机中。
安卓固件挑战
Krytowire安全研究员公布了某些安卓移动设备上的中间件允许远程监控用户,并在未经用户许可的情况下获取个人信息,包括用户和设备信息、短信、通话记录、应用使用信息和唯一的设备标识符。这个固件还允许设备远程重新编程或者远程安装应用。受影响的设备包括通过美国在线零售商供货的BLU R1 HD和BLU Life One X2。该固件是随测试过的设备出货的,可绕过大多数移动AV工具的检测,是由上海Adups科技有限公司管理的。
VMware
越来越多的企业正在转向VMware,因为他们希望将基础设施域与客户机域分开。但是,GuardiCore研究副总裁Ofri Ziv发现,这可能会带来安全挑战。VMware VIX API允许用户自动客户跨VMware不同产品操作功能,它自身有一个未记录的功能,允许恶意用户绕过客户域认证,Ziv表示。他说,为了做到这一点,攻击者只需要可以发送客户机器指令,使用API运行在根权限。他说,现在用工具可以测试出有哪些用户可以在客户机上进行这种类型的攻击。
3G和4G设备隐私
来自TU Berlin、牛津大学和苏黎世科技大学的安全研究人员展示了新型攻击可追踪和监控3G及4G设备,因而引起了很多隐私问题。这些研究人员展示了容易受到IMSI捕手攻击技术攻击的设备——也就是Stingray设备——允许追踪和监控用户的行为。研究人员还展示了这些设备分你给我网络中的密码协议漏洞。他们说,这些漏洞似乎并不影响5G网络设备。
安卓防病毒
来自乔治亚理工学院的安全研究人员发现,安卓的最新漏洞在于移动病毒。这些研究人员提到AVPASS,一个会绕过安卓防病毒程序的工具。AVPASS利用AV程序的泄漏检测模型,加上APL扰动技术,将恶意软件伪装成良性应用程序,因为它了解检测功能以及软件的检测规则链。研究人员表示,这些发现有助于展示商用AV系统中的一些罗东,以及提供对APK扰动程序、泄露模式以及自动绕过的洞察。
Active Directory
去年秋天Mirai利用物联网设备进行攻击的事件让僵尸网络成为焦点,但是Threat Intelligence高级安全顾问Paul Kalinin和管理总监Ty Miller表示,现在出现了一种新型的僵尸网络攻击,可以把Active Directory Domain Controller变成C&C服务器来指挥僵尸网络。这种攻击迫使Domain Controller成为网络中已经受损系统的中央通信点,利用Active Directory自身的标准属性。大多数Active Directory是设置为连接到Domain Controller进行认证的。研究人员表示,这种攻击如此具有破坏性是因为它运行在企业组织防火墙内的,绕过了所有传统网络控制,可以跨内部多个网络进行通信。
Office 365
随着越来越多的企业采用Office 365解决方案,这些企业需要考虑这些软件可能带来的新安全风险,Juniper Networks首席安全架构师Craig Dods表示。Dods说,企业需要了解攻击者如何利用Office 365和PowerShell绕过AV和其他安全防护措施,秘密盗取数据,加密通信和加载外部Office 365存储。
Windows 10
微软一直升级操作系统以防止内核级别的漏洞,特别是围绕着内核池分配器,有多个例子显示微软在修复发布的漏洞。独立安全研究员Nikita Tarakanov详细介绍了一种新技术,可找出运行在Windows 7、Windows 8、Windows 8.1和Windows 10上的内核池溢出。Improsec Security顾问Morten Schenk还详细介绍了如何利用读写内核原语滥用内核模式的Windows和Bitmap对象。绕过的集中于KASLR绕过Windows 10 Creators Update,利用漏洞攻克KASLR,通过逆向工程对Page Table条目进行通用的去随机化。第二个方法还利用任意大小的可执行内核池内存,将代码执行用于劫持系统调用。
