284
Black Hat 2017:需要當心的10大安全威脅
Black Hat大會每年都會匯聚業界最優秀的安全研究人員,展示新的威脅研究和漏洞發現,這樣自然而言就能洞察到今年最大的、致命性的新攻擊。今年的威脅研究名單中,包括在一些渠道最常用的軟硬件中發現的安全漏洞,包括蘋果設備、容器、Office 365、Windows 10、VMware、安卓移動設備等等。下麵就讓我們來看看今年Black Hat大會上最受關注的10個安全威脅。
蘋果
今年Black Hat大會上有幾個議題都提到了對蘋果設備和蘋果操作係統的安全威脅。Objective-See創始人Patrick Wardle今年展示了第一個OS X/macOS惡意軟件,名為FruitFly。這個惡意軟件似乎是瞄準了生物醫學研究機構,允許有針對性的監控。Wardle表示,他已經看到有大約400多例受惡意軟件感染了。接下來,Longterm Security創始人Alex Radocea展示了iCloud加密中的一個實施缺陷,可能會允許中間人受到高級黑客的攻擊,從而讓黑客侵入iCloud Keychain。
容器安全性
容器的安全性挑戰也成為今年Black Hat大會的一個焦點。Aqua Security公司研究負責人Michael Cherny和高級安全研究員Sagie Dulce展示了對使用Docker的開發者發起的一次複雜攻擊。開發者在Docker中訪問了一個惡意網頁,最後是與內部網絡上的攻擊者設備進行反向外殼通信。該研究員還利用Host Rebinding和Shadow Container發起攻擊,並表示對容器環境的攻擊將越來越普遍,因為開發者成為攻擊者的主要目標,而且容器也越來越受歡迎。Capsule8公司首席技術官Dino Dai Zovi還探討了新數據中心層操作係統——包括Docker Enterprise——是如何改變攻擊向量,並讓但節點特權升級和持久性變得對攻擊者毫無作用。他說,當攻擊和防禦整個集群或者單一設備的時候,企業需要製定不同的策略。
Broadcom Wi-Fi芯片組
Exodus Intelligence Vulnerability研究員Nitay Artenstein展示了Broadcom Wi-Fi芯片組中的一個芯片組漏洞,攻擊者可以遠程觸發完全代碼在住應用處理器中運行。這個名為Broadpwn的漏洞不需要用戶交互,影響範圍涉及Broadcom BCM43xx家族Wi-Fi芯片。這些芯片用於某些型號的iPhone、HTC、LG和Nexus中,以及大多數三星手機中。
安卓固件挑戰
Krytowire安全研究員公布了某些安卓移動設備上的中間件允許遠程監控用戶,並在未經用戶許可的情況下獲取個人信息,包括用戶和設備信息、短信、通話記錄、應用使用信息和唯一的設備標識符。這個固件還允許設備遠程重新編程或者遠程安裝應用。受影響的設備包括通過美國在線零售商供貨的BLU R1 HD和BLU Life One X2。該固件是隨測試過的設備出貨的,可繞過大多數移動AV工具的檢測,是由上海Adups科技有限公司管理的。
VMware
越來越多的企業正在轉向VMware,因為他們希望將基礎設施域與客戶機域分開。但是,GuardiCore研究副總裁Ofri Ziv發現,這可能會帶來安全挑戰。VMware VIX API允許用戶自動客戶跨VMware不同產品操作功能,它自身有一個未記錄的功能,允許惡意用戶繞過客戶域認證,Ziv表示。他說,為了做到這一點,攻擊者隻需要可以發送客戶機器指令,使用API運行在根權限。他說,現在用工具可以測試出有哪些用戶可以在客戶機上進行這種類型的攻擊。
3G和4G設備隱私
來自TU Berlin、牛津大學和蘇黎世科技大學的安全研究人員展示了新型攻擊可追蹤和監控3G及4G設備,因而引起了很多隱私問題。這些研究人員展示了容易受到IMSI捕手攻擊技術攻擊的設備——也就是Stingray設備——允許追蹤和監控用戶的行為。研究人員還展示了這些設備分你給我網絡中的密碼協議漏洞。他們說,這些漏洞似乎並不影響5G網絡設備。
安卓防病毒
來自喬治亞理工學院的安全研究人員發現,安卓的最新漏洞在於移動病毒。這些研究人員提到AVPASS,一個會繞過安卓防病毒程序的工具。AVPASS利用AV程序的泄漏檢測模型,加上APL擾動技術,將惡意軟件偽裝成良性應用程序,因為它了解檢測功能以及軟件的檢測規則鏈。研究人員表示,這些發現有助於展示商用AV係統中的一些羅東,以及提供對APK擾動程序、泄露模式以及自動繞過的洞察。
Active Directory
去年秋天Mirai利用物聯網設備進行攻擊的事件讓僵屍網絡成為焦點,但是Threat Intelligence高級安全顧問Paul Kalinin和管理總監Ty Miller表示,現在出現了一種新型的僵屍網絡攻擊,可以把Active Directory Domain Controller變成C&C服務器來指揮僵屍網絡。這種攻擊迫使Domain Controller成為網絡中已經受損係統的中央通信點,利用Active Directory自身的標準屬性。大多數Active Directory是設置為連接到Domain Controller進行認證的。研究人員表示,這種攻擊如此具有破壞性是因為它運行在企業組織防火牆內的,繞過了所有傳統網絡控製,可以跨內部多個網絡進行通信。
Office 365
隨著越來越多的企業采用Office 365解決方案,這些企業需要考慮這些軟件可能帶來的新安全風險,Juniper Networks首席安全架構師Craig Dods表示。Dods說,企業需要了解攻擊者如何利用Office 365和PowerShell繞過AV和其他安全防護措施,秘密盜取數據,加密通信和加載外部Office 365存儲。
Windows 10
微軟一直升級操作係統以防止內核級別的漏洞,特別是圍繞著內核池分配器,有多個例子顯示微軟在修複發布的漏洞。獨立安全研究員Nikita Tarakanov詳細介紹了一種新技術,可找出運行在Windows 7、Windows 8、Windows 8.1和Windows 10上的內核池溢出。Improsec Security顧問Morten Schenk還詳細介紹了如何利用讀寫內核原語濫用內核模式的Windows和Bitmap對象。繞過的集中於KASLR繞過Windows 10 Creators Update,利用漏洞攻克KASLR,通過逆向工程對Page Table條目進行通用的去隨機化。第二個方法還利用任意大小的可執行內核池內存,將代碼執行用於劫持係統調用。
本文作者:孫博
來源:51CTO
最後更新:2017-11-03 16:05:17