Hack.lu 2023 总结
[编辑:抱歉采用“要点式”风格,这篇博客文章需要编译大量细节]
时隔四年,我们再次回到阿尔维斯公园酒店!2022年仅组织了轻量级的CTI峰会(参见我的总结),但今年hack.lu以新形式回归:两天专注于CTI,另外两天专注于常规安全议题。演讲采用每位演讲者30分钟的时间段,这意味着更多演讲,同时也需要收集大量信息。以下是四天的快速总结。
CTI专题日
第一位演讲者是Ange Albertini,主题是“SBud:信息安全中的信息可视化”。作为信息安全专业人员,我们必须准备幻灯片、报告,并经常需要展示高技术性信息。对读者而言理解这些信息至关重要。Ange展示了他的工具“SBud”,帮助在带有箭头、颜色等的精美布局中显示技术信息(如hex dumps)。该工具可在线获取,也可以克隆以运行本地实例。
Emmanuel Seemann展示了“通过分析VPN/代理的攻击模式来检测它们”。Crowdstrike以提供恶意IP地址阻止列表(约6万个条目)而闻名。他们发现越来越多的IP地址仅用于攻击者的“匿名化”(通过Tor出口节点或代理)。Emmanuel解释了如何通过机器学习模型改进此类用途的检测。
Philippe Ombredanne提出:“SBoM:它们是威胁还是危险?”SBoM代表“软件物料清单”。所有软件都依赖于现有代码片段(为什么要重新发明轮子?),FOSS也是如此。Philippe解释了SBoM如何被用于好的和坏的目的。
午餐休息后,我们进行了一轮有趣的闪电演讲。我个人喜欢MMDB-Server的演示。这是一个开源的事实API服务器,用于查找IP地址的地理详情、AS名称等。另一个是关于PyOTI,一个用于查询多个API以获取IOC信息的Python框架。可以看作是Python版的Cortex。
David Rufenacht就“CTI已死,CTI万岁!”进行了演讲。演讲的核心思想是通过收集组织中更多数据并进行分析,扩展经典的CTI操作(阅读报告、消化IOC和TTP)。
JJ Josing继续介绍了“FOSStering an ISAC:使用开源工具赋能社区”,并解释了FOSS如何有益于构建强大的CTI平台。他解释了如何使用MISP作为零售和酒店业ISAC成员的中心共享点。
Quentin Jérôme展示了他的新项目Kunai。其理念是编写一个类似Sysmon的Linux工具,以增强对进程执行操作的可见性。Linux版Sysmon已存在一段时间,但在Github上似乎是一个已停止的项目。Quentin解释了他不喜欢Sysmon的原因(我在某些方面同意他的观点,例如Linux和Windows是两个不同的操作系统,应映射事件ID)。他解释了项目是如何开始的,以及他必须学习什么来开发内核和用户态代码。该工具仍在开发中,但看起来很有前景。
Ondra Rojcik展示了“为什么CTI行业在沟通不确定性方面遇到困难?”。WEP不仅代表“无线加密协议”,在CTI语境下还代表“估计概率词语”。与置信水平相关联。它们有助于传达不确定性。确实,有时很难理解“可能”、“将会”、“可以”背后的含义,或区分“可能”和“很有可能”等术语。
Victor Barrault展示了“在CERT-FR确保IoC质量”。演讲的核心思想是解释如何处理我们每天收到并需要消化的海量IOC。如何确保发现最有趣的IOC,减少噪音、误报等。他们使用一套工具来执行此任务。这些工具基于一个内部库,该库本身基于pymisp。它提供了一组函数,取代pymisp的函数,用于在MISP中创建、更新和删除属性和标签。
Cocomelonc以“恶意软件AV规避 – 密码学与恶意软件”结束了第一天的议程。如今,加密在恶意软件领域无处不在,原因多种多样:函数调用混淆、Windows API函数调用哈希、字符串混淆和加密、有效载荷加密、系统调用等。演讲回顾了几种加密算法,并通过实际示例展示了如何通过它们降低样本的VT得分。
第二天CTI专题
第二天CTI专题以Dennis Rant的Cratos演示开始 – “使用你的该死的指标”。该工具旨在解决在复杂基础设施中(例如多个MISP实例)可能遇到的问题。Cratos充当MISP实例与第三方工具之间的代理。它添加了一个安全控制层,因此人们无需访问完整实例。它使用FastAPI框架构建REST API,并在后端使用Memcached来加速操作。
下一个演示聚焦于IPFS:“IPFS揭秘 – 探索数据收集、分析和安全”。IPFS代表“星际文件系统”,是一个在对等网络中跨多个位置存储文件的网络。它被用于好的目的,但如今许多攻击者使用它来存储网络钓鱼组件或有效载荷(恶意软件)。演讲者详细解释了IPFS的工作原理,以及他们如何开始监控它以获取令人兴奋的内容。
咖啡休息后,我们进行了另一轮演讲。我们回顾了Lazarus组织:JeongGak Lyu的“Lazarus及其家族的故事”。Andras Iklody展示了Cerebrate,一个新的OSS社区管理和编排工具。接下来是Ondrej Nekovar展示的“揭秘UKR-RUS之间的网络战斗”。最后,在午餐休息前,Melanie Niethammer展示了“如何操作化CTI – 一个真实世界的例子”。
午餐休息后是新一轮闪电演讲。Paweł Pawliński和Alexandre Dulaunoy展示了“JTAN – 数据共享网络”。JTAN代表“联合威胁分析网络”,其目标是帮助欧盟组织之间共享信息。MISP当然是核心组件,但也使用了其他工具,如AIL、MWDB、Graphoscope或Taranis NG。
接着,Arwa Alomari展示了“涡轮增压IOC验证 – 成为更高效的CTI分析师”。目标是减少IOC数量并更快地处理它们。展示的模型是“低后悔评分”。
下一个演示是Eric Leblond和Peter Manev的“使用Suricata进行现代IOC匹配”。Suricata是一个很棒的工具,远不止是IDS/IPS。Eric和Peter解释了如何将Suricata连接到MISP实例,并用IOC喂养它以增强其检测能力。
接下来的三个演讲未被涵盖,因为其中两个被标记为TLP:Amber,第三个(关于Pyrrha)已在7月的Pass-The-Salt上展示(参见我的总结)。
下一个时间段分配给了Crowdstrike。他们解释了如何维护其IP地址阻止列表。从CTI的角度来看,它必须可靠(无误报)、定期更新、全面且自动化。他们当前的列表有6万个IP地址,有效期为7天。每日更新率为4%。
当天以两个关于有趣工具的演示结束:Rémi Seguy的“MISP42”。这是一个Splunk应用程序,与MISP实例互连,直接在Splunk中获取IOC。最后是Thomas Chopitea展示的“Yeti”。
会议第一天
周三,会议第一天以Mauro Vignati的“数字技术如何重新定义战争及为何重要”开始。“网络”组件已添加到常规组件中一段时间,但如果它仍然与军事活动相关,今天我们可以看到略微转向平民。他们拥有所有攻击军事目标的工具和设备。相反,针对基础设施的军事行动可能对平民产生重大影响。
下一个演讲由Paul Rascagnères展示:“针对CCP对手的持续EvilEye活动”。威胁行为者是“EvilBamboo”或“EvilEye”。它始于2019年,当时谷歌发布了一篇关于iOS 0-day的博客文章。演讲展示了一个时间线,包含许多关于此行为者的发现和文章。糟糕的三部曲:BadBazaar、BadSignal、BadSolar。他们的TTP被回顾。BadSignal能够静默与Signal应用程序交互。Whoscall是一个被EvilBamboo后门的合法应用程序。拿一个著名应用程序,添加后门并重命名为“MyApp+”。带有恶意JS有效载荷的虚假网站(受害者画像)。应用程序链接发布在论坛中。iOS植入物?Flygram是一个假的Telegram应用程序。苹果在发布几天后移除了TibetOne应用程序。该应用程序的存在甚至通过API帮助揭示(名称中带有“Ios”的相同调用)。
下一个演示是Maxime Clementz的“击败始终在线VPN”。这曾在DEFCON上展示。但在与Palo Alto讨论后幻灯片已更新。始终在线VPN的理念:无法访问LAN,仅通过隧道连接到企业环境。当隧道关闭时,应用受限网络访问,用户无法禁用该功能。两个关键概念:
- 可信网络检测(TND)
- captive portal检测(CPD)
了解不同解决方案如何检测captive portal很有趣……例如:Google执行HTTP GET clients3.google.com/generate_204并期望“204 No Content”。
Daniel Kapellmann Zafra的“网络物理攻击能力的复兴”。与OT相关的威胁演变:2010:Stuxnet,2014;Black Energy,2023:CosmicEnergy。CosmicEnergy?为破坏电力而开发的恶意软件。与IEC-104设备交互。它可能是一个红队工具。
Lukasz Olejnik的“网络战介绍:理论与实践”。
午餐后,我们进行了另一轮有趣的闪电演讲。我想提及Veloricaptor和Tenzir的集成以加速调查。TIDeMEC是欧盟委员会的一个项目,旨在自动化检测规则的部署。(“威胁知情检测建模和工程即代码”)。
下午的第一个演讲是Markus Vervier的“嵌入式威胁:eSIM世界深度探索”。核心思想是:如何使用eSIM作为C2通道?eSIM如何工作?主要思想是在不改变物理SIM卡的情况下切换运营商。安全问题与旧系统类似(隐私、克隆、欺骗等)。这里解释的攻击是在eSIM上使用桌面计算机应用程序部署的。通过SMS进行C2通信的精彩演示……速度慢,但有效!
下一个演讲是Stef van Dop和Tomas Philippart的“构建邪恶手机充电站”。USB(-C)不仅有助于为手机充电。USB以太网、HID设备等。Lightning:苹果的专有连接器。基本PoC:受害者的手机 -> 充电槽 -> 电源/HDMI -> HDMI捕获 -> 镜像。提取敏感信息:PIN码/密码。自动提取密码?当输入时,最后一个字符被显示。意识:不要将手机插入未知端口。
Ange Albertini带着“文件格式中的注意事项”回归。Ange涵盖了MP3文件格式。原始格式开发于1994年,仅包含数据,无元数据(作者、歌曲名称等)。
Christophe Brocas展示了“ACME:在企业网络内部部署互联网安全协议的好处”。由于Let’s Encrypt,ACME协议如今相当知名。但是,如何为内部主机生成证书?你总是可以使用某种反向代理并请求Let’s Encrypt证书,但你的(内部)主机名将发布在证书透明度列表中!许多人使用ACME但不知道其内部原理(我承认我举手)。如今,HTTPS在许多组织中甚至是内部应用程序的强制要求。默认过程很痛苦:CSR -> 批准 -> 生成 -> 下载证书 -> 安装。
咖啡休息后,Vladimir Kropotov展示了“你未知的双胞胎:深度伪造、AI和大规模生物识别暴露时代的身份”。勒索软件双重勒索商业模式:
- 作为副作用暴露大量数据(PII等)
- 推动了对这些信息的地下扫描。我们在野外泄露了什么?录音(语音)、照片和视频、3D模型,甚至指纹都可以在Instagram图片中检测到!
当天的最后是Rémi Matasse的“PHP过滤器链:如何使用它”。这曾在PTS上展示。
最后一天
最后一天以Patrice Auffrets开始,他展示了“卫星调制解调器的互联网暴露及其漏洞”。这始于俄罗斯入侵ViaSat网络。2022年2月,数千个调制解调器离线。攻击生命周期:IP地址侦察,攻击找到的IP,利用VPN漏洞。卫星生态系统正在增长(市场也是如此),因为如今卫星尺寸非常小。(星链是一个完美的例子)每个找到的设备都有一个状态:安全、易受攻击或“根本不安全”。Patrice进行了寻找受损或敏感设备的现场演示。
然后Frédérique D展示了“Log4j之后近2年..如果你的PSIRT幸存下来,安全事件和漏洞管理的经验教训是学到了还是没学到?”。你还记得著名的Log4j漏洞吗?Frederique对该漏洞进行了总结。然后她解释了如何基于评分和方法论(必须事先确定)来检测它。为了将来能够处理此类事件,你必须做好准备,并且在流行软件组件的情况下,SBOM可能是解决方案。
下一个演讲是Jacobs Torrey的“避免蛇怪之牙:AI LLM检测的最新进展”。如果越来越多的人(滥)用LLM工具,那么能够检测由此类工具产生的数据也变得至关重要。LLM是不理解文本的语言模型。它们只是处理数据,这就是为什么我们可以尝试检测它们的使用。一些工具:
- OpenAI有一个LLN检测器
- GLTR
- GPTZero, CrossPlag
Jacobs展示了ZipPy,一个基于压缩的估计工具,能够检测文本文件上的LLM使用。
Dimitrios Valsamaras展示了“无权限通用覆盖层”。他从Android用户界面的基本概念开始。应用程序有“表面” -> SurfaceFlinger。理念是窗口根据其类型显示(例如:TYPE_SYSTEM_ALERT)。还有其他标志如“FLAG_NOT_TOUCHABLE”。你也可以有浮动窗口。正如你所料,这些“功能”被恶意软件使用。任何应用程序都可以伪造另一个应用程序的外观并声称是原始应用程序。
Stefan Hager展示了“失落的艺术的掠夺者”。在早期,信任存在,犯罪不是问题,互联网速度慢且可用性差。协议未加密且未认证:DNS、SNMP、NTP、TFTP、Syslog等。UDP放大攻击。没有真正的细节流动……丢失了?
午餐休息后,我们进行了最后一轮闪电演讲:
- 欺诈性智能合约
- Suricata语言服务器
- Wintermute(基于LLM的笔测试伙伴)
- SLP(服务位置提供者)协议放大(DDoS)
- 使用asn1template编辑DER
- 供应链问题
然后,Xeno Kovah展示了“开放性伤口:过去5年让蓝牙流血”。问题:我们设备中有什么BT芯片?它们易受攻击吗?BT无处不在。他回顾了许多研究人员用于评估BT实现的工具和技术。darkmentors.com/bt.html
Shogo Hayashi和Rintaro Kokie展示了“恶意MSIX文件的兴起”。MSIX文件是MSI文件(Windows包文件)的继任者。它们自Windows 10起受支持,允许人们安装应用程序。新文件不是基于OLE格式,而是像Microsoft Office文档一样,是带有XML文件的ZIP存档。他们解释了这些文件的内部结构以及攻击者如何滥用它。在演讲的下一部分,他们演示了通过MSIX文件部署恶意软件的真实案例。
Emanuel Seemann的“复兴我们最古老的工具 – 使用贝叶斯推理检测网络攻击”。
David Durvaux和Aaron Kaplan展示了“使用Apple Sysdiagnose进行移动取证和完整性检查”。核心思想是不(越狱)破坏设备以访问有趣数据。Sysdiagnose是苹果为支持原因提供的工具。该工具收集的信息巨大,包含大量文件类型等。分析起来很混乱。因此,他们开发了一个框架来解析数据。主要问题是苹果管理其工具,并且可以在不通知的情况下更改格式或添加/删除某些数据。
咖啡休息后,Jacq展示了“海事网络安全深度探索”。海事部门非常复杂,包含许多组件。该部门属于NISv2(“关键基础设施”),但船舶不在范围内。它们也是供应链的关键要素。如今,80%的全球货物通过海运。与任何领域一样,我们正面临海事数字化。Jacq解释了与这一特定主题相关的问题和挑战。这是一个很棒的演讲。注意报告所有事件的ADMIRAL数据集。
Pol Thill的“猎鸭行动 – DuckTail幕后一瞥”。这是对基于.Net的恶意软件活动的回顾。该恶意软件使用Telegram进行C2通信。进行了一个有趣的Telegram现场演示……Pol解释了恶意软件的工作原理以及幕后黑手是谁。作者犯了一些OPSEC错误,很容易揭示他的操作。越来越多的恶意软件样本使用Telegram作为C2。如果可能,从你的网络阻止访问api.telegram.com。
这就是本届大会的全部内容!许多演讲者,许多幻灯片,大量信息需要编译。希望所有演讲(如果演讲者接受)都已录制并可在Cooper的Youtube页面上获取。干得好!