黑帽大会2020:云端安全技术深度解析

微软安全响应中心分享2020年黑帽大会的云端安全议题,涵盖虚拟化安全、Excel在线漏洞利用、安全分析工具MSTICpy、实时事件流处理技术,以及信息安全未来趋势的深度讨论。

Black Hat 2020: See you in the Cloud!

今年没有一年一度前往拉斯维加斯参加黑帽大会的旅程,夏天感觉就不完整。由于今年的活动完全基于云端,我们失去了与安全研究人员、行业合作伙伴和客户面对面交流的机会,这是我们每年都期待的机会。但我们仍然会在那里,并期待在虚拟会议平台上的精彩演讲和交流。

“我错过了与MAPP项目中行业合作伙伴面对面交流的机会。这是我一年中的亮点,我可以与这些关键的安全组织交流想法并建立协同效应。虚拟形式可行,但没有什么比面对面会议更好。” Al B.,MSRC-MAPP团队

“虽然我将错过再次在西雅图为Kraken队赢得斯坦利杯下注的机会,但我对所有的虚拟网络和信息共享感到兴奋。” Mechele G.,MSRC漏洞响应与解决团队

8月4日,星期二

启动我们本周的黑帽内容,周二早上我们将在MSRC博客上发布微软赏金计划的年度回顾。我们将探讨我们的计划和安全研究人员合作伙伴如何通过不断演变的新现实来增长和适应,以满足安全生态系统始终存在的需求。

“能够亲自见面并感谢研究人员为帮助我们保护客户所做的创造性和辛勤工作意义重大。需要很多视频通话才能等同于在黑帽或DEFCON的一天。” Jarek S.,MSRC赏金团队

8月5日,星期三

我们的安全研究人员社区对我们来说非常重要,虽然我们无法亲自见到你们,但我们非常兴奋地宣布2020年MSRC最有价值安全研究人员。我们将在周三早上在我们的博客上公布完整名单,请务必停下来看看谁上榜了!

“我很遗憾不能亲自见到大家(尽管不必在老虎机的声音中大喊大叫会很好)。我确实对即将公布的MSRC MVR名单感到兴奋——这是我个人最喜欢的黑帽部分!” Chloe B.,MSRC社区项目团队

“我会想念与我的#hackerfamily一起闲逛的时光,但一旦安全,我期待再次在百家乐与大家相聚!” Nate W. (@n0x08),漏洞处理员和安全研究人员,MSRC安全项目经理

8月6日,星期四

我们在周四全天安排了五场演讲,探讨的主题范围从虚拟化堆栈的安全性、Excel中的漏洞利用、安全调查的“瑞士军刀”工具,到在实时数据流中找到有用数据——无需等待存储。最后,一场关于第二天主题的 moderated 对话,以及它们对信息安全战略未来的指示。

“由于这是我第一次参加黑帽美国大会,我很兴奋地看到将呈现什么以及它作为第一次虚拟活动将如何运作。我期待简要介绍几场演讲!” Britney T.,MSRC安全项目经理

“我对我的第一年黑帽大会感到兴奋!我知道今年将是不寻常的一年,但我期待从信息安全社区学习并进行网络交流。” Jonathan D.,MSRC软件工程师

通过攻击SecureKernel破坏VSM(上午10:00-10:40)Saar Amar, Daniel King

基于虚拟化的安全技术(VBS)继续增加世界对虚拟化堆栈安全性的依赖。但像所有软件堆栈一样,虚拟化堆栈也容易受到漏洞的影响。 在这个演讲中,我们将解释我们如何在Windows 10的SecureKernel中发现并修复了两个漏洞,这是微软VBS模型核心TCB(可信计算基)的关键组件。这些漏洞可能允许攻击者在VTL1中获得任意代码执行,从而破坏整个VBS模型。我们还将逐步介绍我们在最新版本的Windows上利用这两个漏洞的过程(在撰写本文时)。 (完整摘要在此)

我计算了Calc - 利用Excel在线(上午11:00-11:40)Nicolas Joly

微软安全响应中心在监控野外漏洞利用方面具有独特地位。虽然我们在过去几年中看到了几个针对Office应用程序(通常是PowerPoint或Word)的漏洞利用案例,但针对在线应用程序的漏洞利用较少见。它们是否可能?在哪种情况下,如何攻击Office Web应用程序服务器(WAC)?恶意文档可以使用吗?那有多难,需要多少时间? 这是2018年夏季进行的一个项目的故事,试图用Excel在线回答这些问题。这个简短的演示描述了fnConcatenate公式中的整数溢出漏洞(CVE-2018-8331),以及如何将Excel公式链接在一起以在服务器上获得RCE。这个演讲将详细说明从零开始的研究,直到展示针对Excel OnPrem的漏洞利用演示。

MSTICpy:安全分析瑞士军刀(下午1:00-2:00)Pete Bryan, Ian Hellen, Ashwin Patil

MSTIC Jupyter和Python安全工具(MSTICpy)是一个Python库的安全调查工具,由微软威胁情报中心(MSTIC)开发,以协助和支持安全分析师进行安全调查和威胁狩猎。 该库提供功能,从一系列数据源收集数据,用威胁情报和OSINT丰富数据,使用ML和数据分析技术分析数据,并将分析结果可视化以便快速轻松地理解。 MSTICpy不是单一工具,而是安全调查的瑞士军刀。

实验实时事件流(下午1:30-2:10)Jose Morris

今天,典型安全运营中心的防御者依赖他们的SIEM对过去日志进行取证,并定义实时检测。这假设SIEM提前配置以收集有用的日志子集。但如何决定什么是有用的?此外,一些数据量如此之大,以原始形式存储成本过高。这些数据必须在存储前进行预过滤和汇总以供查询。 我们提出了工具和方法,用于比较在存储前过滤和预处理实时数据流的各种选项。这可以在没有SIEM覆盖的隔离环境中完成,例如用于研究恶意软件或漏洞概念验证(POC)的实验室/蜜罐。 该方法的学习可以应用于理解新颖威胁,并创建直接在事件流上工作的真正实时检测(不涉及存储)。

Locknote:第二天的结论和关键要点(下午3:30-4:00)Aanchal Gupta, Rodrigo Rubira Branco, Stefano Zanero,由Kymberlee Price主持

在今年虚拟会议的第二天结束时,加入黑帽评审委员会成员Rodrigo Rubira Branco、Aanchal Gupta和Stefano Zanero,由Kymberlee Price主持,进行一场关于信息安全社区面临的最紧迫问题的 insightful 对话。这个Locknote将 feature 一场关于第二天关键要点的坦诚讨论,以及这些趋势将如何影响未来的信息安全战略。

请继续关注此博客,并关注@msftsecresponse Twitter账户,获取今年活动的最新消息。 我们下周在线见,希望明年能亲自见面! 微软安全响应中心(MSRC)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次