Hack.lu 2023 精彩回顾
[编辑说明:抱歉采用“要点式”风格,本文需要汇总大量技术细节]
时隔四年,我们再次回到阿尔维斯公园酒店!2022年仅举办了轻量级CTI峰会(参见我的总结),而今年hack.lu以全新形式回归:两天专注于威胁情报(CTI),另外两天聚焦常规安全议题。演讲采用每位讲者30分钟的形式,这意味着更多演讲内容,也需要吸收更密集的信息流。以下是四天活动的快速总结。
第一天:CTI专题
首位演讲者Ange Albertini带来《SBud:信息安全中的信息可视化》。作为信息安全专业人士,我们需要准备幻灯片、报告,并经常展示高技术含量信息。确保读者理解至关重要。Ange展示了他的工具“SBud”,帮助通过箭头、颜色等美观布局展示技术信息(如内存转储)。该工具可在线获取,也可克隆运行本地实例。
Emmanuel Seemann演讲《通过分析攻击模式随时间变化检测VPN/代理》。Crowdstrike以提供恶意IP地址阻断列表(约6万条)闻名。他们发现越来越多IP地址仅用于攻击者“匿名化”(通过Tor出口节点或代理)。Emmanuel解释如何通过机器学习模型改进此类用途的检测。
Philippe Ombredanne提出《SBoM:是威胁还是隐患?》。SBoM指“软件物料清单”。所有软件都依赖现有代码片段(为何重复造轮子?),FOSS亦然。Philippe解释SBoM如何被用于正邪两面。
午餐后进行了首轮闪电演讲。我个人喜欢MMDB-Server的介绍——这是一个开源事实API服务器,用于查询IP地址的地理详情、AS名称等。另一个是PyOTI,一个Python框架,用于查询多个API以获取IOC信息,堪称Python版Cortex。
David Rufenacht演讲《CTI已死,CTI万岁!》,旨在通过收集组织内更多数据并分析,扩展经典CTI操作(阅读报告、消化IOC和TTP)。
JJ Josing继续《用开源工具培育ISAC:赋能社区》,解释FOSS如何有益于构建强大CTI平台,并详述如何将MISP用作零售与酒店业ISAC成员的中心共享点。
Quentin Jérôme展示新项目Kunai,旨在为Linux开发类似Sysmon的工具,提升进程操作可见性。Linux版Sysmon存在已久,但Github上似乎已成死项目。Quentin解释不喜Sysmon的原因(我同意部分观点,如Linux与Windows是不同操作系统,应映射事件ID)。他分享开发内核和用户态代码的学习历程。该工具仍在开发中,但前景可期。
Ondra Rojcik演讲《为何CTI行业难以沟通不确定性?》。WEP不仅指“无线加密协议”,在CTI语境下代表“估计概率词语”,与置信度关联,帮助传达不确定性。确实,有时难以理解“可能”、“将会”、“可以”背后的含义,或区分“可能”与“极可能”等术语。
Victor Barrault介绍《CERT-FR如何确保IOC质量》,探讨如何处理每日涌入的IOC,确保识别最有价值项,减少噪音和误报。他们使用基于内部库(本身基于pymisp)的工具集,提供创建、更新、删除MISP属性和标签的功能,替代pymisp原有方法。
Cocomelonc以《恶意软件AV规避——密码学与恶意软件》结束首日。当今恶意软件领域普遍使用加密技术,原因多样:函数调用混淆、Windows API函数调用哈希、字符串混淆与加密、载荷加密、系统调用等。演讲回顾多种加密算法,并通过实际案例展示如何降低样本VT分数。
第二天:CTI深入
第二天以Dennis Rant的Cratos演讲《使用你的有效指标》开始。该工具旨在解决复杂基础设施中多MISP实例等问题。Cratos作为MISP实例与第三方工具间的代理,添加安全控制层,避免直接访问完整实例。它使用FastAPI框架构建REST API,后端采用Memcached加速操作。
接下来聚焦IPFS:《IPFS揭秘——探索数据收集、分析与安全》。IPFS指“星际文件系统”,是一个在多地点存储文件的点对点网络。虽用于正当用途,但如今许多攻击者用它存储网络钓鱼组件或恶意软件载荷。讲者详细解释IPFS工作原理,以及如何开始监控以获取有趣内容。
咖啡休息后继续进行演讲。JeongGak Lyu回顾Lazarus组织:《Lazarus及其家族的故事》。Andras Iklody展示Cerebrate,一款新的OSS社区管理与编排工具。Ondrej Nekovar带来《揭秘UKR-RUS网络战》。午餐前,Melanie Niethammer演讲《如何操作化CTI——真实案例》。
午餐后新一轮闪电演讲。Pawe? Pawli?ski和Alexandre Dulaunoy介绍《JTAN——数据共享网络》,旨在帮助欧盟组织间共享信息。MISP是核心组件,但也使用AIL、MWDB、Graphoscope或Taranis NG等工具。
Arwa Alomari演讲《加速IOC验证——成为更高效的CTI分析师》,目标是减少IOC数量并加速处理,提出“低遗憾评分”模型。
Eric Leblond和Peter Manev展示《用Suricata进行现代IOC匹配》。Suricata不仅是IDS/IPS,更是强大工具。他们解释如何将Suricata连接MISP实例,注入IOC以提升检测能力。
后续三场演讲未涵盖,因两场标记为TLP:Amber,第三场(关于Pyrrha)已在7月Pass-The-Salt会议展示(参见我的总结)。
Crowdstrike分享如何维护IP地址阻断列表。从CTI角度,列表必须可靠(无误报)、定期更新、全面且自动化。当前列表含6万IP地址,7天有效期,每日更新4%。
当天以两场工具演讲结束:Rémi Seguy的“MISP42”(Splunk应用,连接MISP实例直接获取IOC)和Thomas Chopitea的“Yeti”。
第三天:会议首日
Mauro Vignati开场《数字技术如何重新定义战争及重要性》。“网络”组件已加入常规军事活动一段时间,但如今逐渐转向平民。他们拥有所有攻击军事目标的工具和设备。相反,针对基础设施的军事行动可能对平民产生重大影响。
Paul Rascagnères演讲《持续针对CCP对手的EvilEye行动》。威胁行为者“EvilBamboo”或“EvilEye”自2019年Google博客关于iOS 0-day开始。时间线展示多次发现和相关文章。恶意三部曲:BadBazaar、BadSignal、BadSolar。回顾其TTP。BadSignal能静默交互Signal应用。Whoscall是合法应用,被EvilBamboo后门化。手法:取知名应用,添加后门,重命名为“MyApp+”;虚假网站带恶意JS载荷(受害者画像);论坛发布应用链接;iOS植入?Flygram是虚假Telegram应用;Apple在发布几天后移除TibetOne应用;API帮助甚至泄露应用存在(名称含“Ios”的相同调用)。
Maxime Clementz演讲《击败始终在线VPN》,曾在DEFCON展示,但与Palo Alto讨论后更新幻灯片。始终在线VPN理念:无LAN访问,仅通过隧道连接企业环境。隧道断开时应用受限网络访问,用户无法禁用该功能。两个关键概念:
- 可信网络检测(TND)
- 强制门户检测(CPD)
了解不同解决方案如何检测强制门户很有趣……例如:Google执行HTTP GET clients3.google.com/generate_204,期望“204 No Content”响应。
Daniel Kapellmann Zafra带来《网络物理攻击能力的复兴》。OT相关威胁演变:2010:Stuxnet;2014:Black Energy;2023:CosmicEnergy。CosmicEnergy?旨在破坏电力的恶意软件,与IEC-104设备交互,可能是红队工具。
Lukasz Olejnik演讲《网络战导论:理论与实践》。
午餐后另一轮闪电演讲。值得关注Veloricaptor与Tenzir集成加速调查。TIDeMEC是欧盟委员会项目,自动化部署检测规则(“威胁知情检测建模与工程即代码”)。
下午首场演讲,Markus Vervier《嵌入式威胁:深入eSIM世界》,探讨如何将eSIM用作C2通道?eSIM工作原理?主要思路是在不更换物理SIM卡下切换运营商。安全关注点类似旧系统(隐私、克隆、欺骗等)。演示在eSIM上通过桌面应用部署攻击,精彩展示通过SMS的C2通信……速度慢,但有效!
Stef van Dop & Tomas Philippart演讲《构建邪恶手机充电站》。USB(-C)不仅用于充电,还支持USB以太网、HID设备等。Lightning:苹果专有连接器。基础PoC:受害者手机 -> 充电槽 -> 电源/HDMI -> HDMI捕获 -> 镜像。自动提取敏感信息:PIN码/密码?输入时显示最后字符。警示:勿将手机插入未知端口。
Ange Albertini重返讲台《文件格式的该与不该》,覆盖MP3文件格式。原始格式开发于1994年,仅含数据,无元数据(作者、歌曲名等)。
Christophe Brocas展示《ACME:在企业网络内部部署互联网安全协议的好处》。ACME协议因Let’s Encrypt广为人知。但如何为内部主机生成证书?虽可使用反向代理申请Let’s Encrypt证书,但内部主机名将发布在证书透明度列表!许多人使用ACME却不了解其内部(我承认举手)。如今HTTPS在许多组织内部应用中也成强制要求。默认流程繁琐:CSR -> 批准 -> 生成 -> 下载证书 -> 安装。
咖啡休息后,Vladimir Kropotov演讲《你未知的双胞胎:深度伪造、AI和大规模生物识别暴露时代的身份》。勒索软件双重勒索商业模式:
- 副作用暴露大量数据(PII等)
- 推动地下扫描这些信息。我们在野外泄露什么?录音(语音)、照片和视频、3D模型,甚至Instagram图片可检测指纹!
当天最后,Rémi Matasse演讲《PHP过滤链:如何使用》,曾在PTS展示。
第四天:收官之日
最后一天由Patrice Auffrets开场《卫星调制解调器的互联网暴露及其漏洞》,始于俄罗斯入侵ViaSat网络。2022年2月,数千调制解调器离线。攻击生命周期:IP地址侦察,攻击找到的IP,利用VPN漏洞。卫星生态系统因卫星尺寸变小而增长(星链是完美例子)。每个找到的设备有状态:安全、脆弱或“毫无安全”。Patrice实时演示寻找受损或敏感设备。
FrédériqueD演讲《Log4j近两年后……如果你的PSIRT幸存,安全事件与漏洞管理的教训是否吸取?》。还记得著名Log4j漏洞吗?Frédérique总结该漏洞,然后解释如何基于评分和方法论(必须提前识别)检测。为未来处理此类事件,必须做好准备,对于流行软件组件,SBOM可能是解决方案。
Jacobs Torrey演讲《避免蛇怪之牙:AI LLM检测的最新技术》。如果越来越多人(滥)用LLM工具,检测此类工具产生的数据也变得关键。LLM是不理解文本的语言模型,仅处理数据,故可尝试检测其使用。一些工具:
- OpenAI有LLM检测器
- GLTR
- GPTZero, CrossPlag
Jacobs展示ZipPy,基于压缩的估计工具,能检测文本文件上的LLM使用。
Dimitrios Valsamaras演讲《无权限通用覆盖层》。他从Android用户界面基础概念开始。应用有“表面” -> SurfaceFlinger。窗口显示取决于类型(如TYPE_SYSTEM_ALERT)。还有其他标志如“FLAG_NOT_TOUCHABLE”。也可有浮动窗口。如预期,这些“功能”被恶意软件利用。任何应用可伪造另一应用外观,声称是原始应用。
Stefan Hager演讲《失落艺术的掠夺者》。早期信任存在,犯罪不是问题,互联网速度慢且可用性低。协议未加密和未认证:DNS、SNMP、NTP、TFTP、Syslog等。UDP放大攻击。无详细流……丢失?
午餐后最后一轮闪电演讲:
- 欺诈性智能合约
- Suricata语言服务器
- Wintermute(基于LLM的渗透测试伙伴)
- SLP(服务定位提供者)协议放大(DDoS)
- 用asn1template编辑DER
- 供应链问题
Xeno Kovah演讲《开放伤口:过去五年让蓝牙流血》。问题:设备中有什么BT芯片?是否脆弱?BT无处不在。他回顾许多研究人员用于评估BT实现的工具和技术。darkmentors.com/bt.html
Shogo Hayashi & Rintaro Kokie展示《恶意MSIX文件的兴起》。MSIX文件是MSI文件(Windows包文件)的继任者,自Windows 10支持,允许安装应用。新文件不像基于OLE格式,而像Microsoft Office文档,是带XML文件的ZIP存档。他们解释这些文件的内部结构及如何被攻击者滥用。下一部分演示通过MSIX文件部署恶意软件的真实案例。
Emanuel Seemann演讲《复兴最古老工具——使用贝叶斯推理检测网络攻击》。
David Durvaux & Aaron Kaplan展示《使用Apple Sysdiagnose进行移动取证和完整性检查》。思路是不(越狱)破解设备访问有趣数据。Sysdiagnose是Apple提供的支持工具。工具收集的信息巨大,含多种文件类型等,分析混乱。故他们开发框架解析数据。主要问题是Apple管理其工具,可能无通知更改格式或增删数据。
咖啡休息后,Jacq演讲《深入海事网络安全》。海事部门非常复杂,含多个组件。该部门属NISv2(关键基础设施),但船舶不在范围内。它们也是供应链的重要元素。如今80%全球货物通过海运。像任何领域一样,我们面临海事数字化。Jacq解释这一特定主题的问题和挑战。精彩演讲。注意ADMIRAL数据集,报告所有事件。
Pol Thill《操作鸭猎——DuckTail幕后一瞥》,回顾基于.Net的恶意软件活动。该恶意软件使用Telegram进行C2通信。进行了有趣的Telegram实时演示……Pol解释恶意软件工作原理及背后人物。作者犯了一些OPSEC错误,易暴露其操作。越来越多恶意软件样本使用Telegram作为C2。如可能,从网络阻断api.telegram.com访问。
本届到此结束!众多演讲者,大量幻灯片,海量信息汇总。希望所有演讲(若讲者同意)已录制并可在Cooper的Youtube页面获取。干得漂亮!