Hack.lu 2023 技术内容总结
会议概览
时隔四年,Hack.lu 2023 重返 Alvisse Parc 酒店!今年的会议采用全新形式:两天专注于威胁情报(CTI),另外两天则聚焦常规安全议题。每位演讲者拥有30分钟的时间,这意味着更多演讲内容需要消化。以下是四天会议的快速总结。
第一天:威胁情报专题
SBud:信息安全中的信息可视化
Ange Albertini 展示了工具「SBud」,帮助以美观的布局(如箭头、颜色等)展示技术信息(如内存转储)。该工具可在线使用,也可克隆到本地运行。
通过分析攻击模式检测VPN/代理
Emmanuel Seemann 介绍了 Crowdstrike 如何利用机器学习模型改进对匿名化攻击者(通过Tor出口节点或代理)的检测。他们的恶意IP地址黑名单包含约6万个条目。
SBoM的双面性
Philippe Ombredanne 探讨了软件物料清单(SBoM)的利弊。SBoM 可用于追踪软件依赖,但也可被恶意利用。
闪电演讲亮点
- MMDB-Server:开源事实API服务器,用于查询IP地址的地理详情和AS名称。
- PyOTI:Python框架,用于查询多个API以获取IOC信息,类似于Python版的Cortex。
CTI的演进
David Rufenacht 提出扩展传统CTI操作(阅读报告、消化IOC和TTP),通过收集和分析组织内的更多数据。
开源工具构建CTI平台
JJ Josing 解释了如何使用MISP作为零售和酒店业ISAC成员的中心共享点,展示开源工具在构建强大CTI平台中的价值。
Kunai:Linux版的Sysmon
Quentin Jérôme 介绍了新项目Kunai,旨在为Linux开发类似Sysmon的工具,提升进程操作的可见性。他解释了开发内核和用户态代码的学习过程,工具仍在开发中但前景看好。
CTI中的不确定性沟通
Ondra Rojcik 讨论了CTI行业在传达不确定性时的挑战,介绍了「估计概率词」(WEP)及其与置信水平的关联。
CERT-FR的IOC质量保证
Victor Barrault 分享了如何应对每日涌入的IOC,确保识别最有价值的指标,减少噪音和误报。他们使用基于pymisp的内部工具库来管理MISP中的属性和标签。
恶意软件AV规避:密码学应用
Cocomelonc 展示了密码学在恶意软件中的多种应用:函数调用混淆、Windows API哈希、字符串混淆和加密、有效载荷加密、系统调用等,并通过实际例子说明如何降低VirusTotal评分。
第二天:CTI深入探讨
Cratos:利用你的指标
Dennis Rant 介绍了Cratos,该工具作为MISP实例与第三方工具之间的代理,添加安全控制层,使用FastAPI框架构建REST API,后端使用Memcached加速操作。
IPFS的数据收集与分析
演讲者详细解释了IPFS(星际文件系统)的工作原理,以及如何监控其以发现恶意内容(如网络钓鱼组件或恶意软件)。
其他演讲摘要
- Lazarus小组回顾
- Cerebrate:新的OSS社区管理和编排工具
- 乌克兰-俄罗斯网络战分析
- CTI操作化实战案例
闪电演讲:JTAN数据共享网络
Pawe? Pawli?ski 和 Alexandre Dulaunoy 介绍了JTAN(联合威胁分析网络),旨在促进欧盟组织间的信息共享,核心组件包括MISP、AIL、MWDB等。
加速IOC验证
Arwa Alomari 提出了「低后悔评分」模型,以减少IOC数量并加快处理速度。
Suricata的现代IOC匹配
Eric Leblond 和 Peter Manev 解释了如何将Suricata与MISP实例连接,通过IOC馈送提升检测能力。
Crowdstrike的IP黑名单维护
Crowdstrike 分享了如何维护可靠、定期更新、全面且自动化的IP黑名单,当前列表包含6万个IP地址,有效期7天,每日更新4%。
工具展示
- MISP42:Splunk应用,与MISP实例互联,直接在Splunk中获取IOC。
- Yeti:由Thomas Chopitea展示。
第三天:会议正式开始
数字技术重新定义战争
Mauro Vignati 讨论了网络组件如何从军事活动扩展到民用领域,攻击工具和设备对军事目标和民用基础设施的影响。
EvilEye针对CCP对手的活动
Paul Rascagnères 回顾了威胁行为者「EvilBamboo」或「EvilEye」的时间线,包括BadBazaar、BadSignal、BadSolar等恶意软件,以及如何通过合法应用(如Whoscall)添加后门。
击败始终在线的VPN
Maxime Clementz 介绍了在DEFCON上展示的VPN绕过技术,包括可信网络检测(TND)和捕获门户检测(CPD),例如Google通过HTTP GET clients3.google.com/generate_204期望「204 No Content」响应。
网络物理攻击能力的复兴
Daniel Kapellmann Zafra 回顾了OT相关威胁的演变,从Stuxnet到BlackEnergy,再到2023年的CosmicEnergy(可能是一个红队工具),用于干扰电力设备。
闪电演讲亮点
- Veloricaptor和Tenzir集成加速调查
- TIDeMEC:欧盟委员会项目,自动化部署检测规则
eSIM世界的嵌入式威胁
Markus Vervier 深入探讨了如何将eSIM用作C2通道,eSIM的工作原理,以及安全顾虑(隐私、克隆、欺骗等),并通过桌面应用演示了基于SMS的C2通信。
构建邪恶手机充电站
Stef van Dop & Tomas Philippart 展示了USB(-C)的多种用途(如USB以太网、HID设备),并通过基本PoC提取敏感信息(如PIN码、密码),提醒用户不要将手机插入未知端口。
文件格式的注意事项
Ange Albertini 以MP3文件格式为例,讨论了文件格式的最佳实践和陷阱。
在企业网络内部部署ACME协议
Christophe Brocas 解释了ACME协议的好处,以及如何为内部主机生成证书,避免内部主机名出现在证书透明度列表中。
深度伪造时代的身份问题
Vladimir Kropotov 讨论了勒索软件的双重勒索模式,以及如何在Instagram图片中检测指纹等生物特征信息。
PHP过滤器链利用
Rémi Matasse 展示了PHP过滤器链的利用方法。
第四天:会议收官
卫星调制解调器的互联网暴露和漏洞
Patrice Auffrets 从俄罗斯入侵ViaSat网络开始,介绍了卫星调制解调器的攻击生命周期(IP侦察、利用VPN漏洞),并现场演示查找受损或敏感设备。
Log4j漏洞的经验教训
FrédériqueD 总结了Log4j漏洞,并解释了基于评分和方法论的检测方法,强调SBOM在应对流行软件组件漏洞时的价值。
AI LLM检测的最新技术
Jacobs Torrey 讨论了检测LLM生成数据的工具,如OpenAI的LLN检测器、GLTR、GPTZero、CrossPlag,并介绍了ZipPy(基于压缩的估计工具)。
无权限通用覆盖
Dimitrios Valsamaras 从Android用户界面基础概念开始,解释了恶意软件如何利用「Surface」和窗口类型(如TYPE_SYSTEM_ALERT)伪装成合法应用。
失传艺术的掠夺者
Stefan Hager 回顾了早期协议(如DNS、SNMP、NTP)未加密和未认证的问题,以及UDP放大攻击。
闪电演讲摘要
- 欺诈性智能合约
- Suricata语言服务器
- Wintermute(基于LLM的渗透测试助手)
- SLP协议放大(DDoS)
- 使用asn1template编辑DER
- 供应链问题
蓝牙漏洞公开
Xeno Kovah 讨论了蓝牙芯片的漏洞,评估工具和技术,参考darkmentors.com/bt.html。
恶意MSIX文件的兴起
Shogo Hayashi & Rintaro Kokie 解释了MSIX文件(Windows包文件)的内部结构,以及攻击者如何滥用这些文件,并演示了通过MSIX文件部署恶意软件的真实案例。
使用贝叶斯推理检测网络攻击
Emanuel Seemann 介绍了如何利用贝叶斯推理检测网络攻击。
使用Apple Sysdiagnose进行移动取证和完整性检查
David Durvaux & Aaron Kaplan 展示了如何在不越狱的情况下访问有趣数据,但Apple可能随时更改工具格式而不通知。
海事网络安全深度探讨
Jacq 解释了海事部门的复杂性,其在NISv2中的角色,以及面临的数字化挑战,提到了ADMIRAL数据集报告所有事件。
DuckTail恶意软件活动分析
Pol Thill 回顾了基于.Net的恶意软件活动,使用Telegram进行C2通信,并演示了作者因OPSEC错误而暴露操作,建议阻止网络访问api.telegram.com。
总结
本次会议涵盖了众多演讲者、幻灯片和信息。所有演讲(经演讲者同意)已被录制并可在Cooper的YouTube页面上观看。