Black Hat 2022已在拉斯维加斯落下帷幕,每届大会都会公布一些安全研究成果,这些研究成果反映了当前网络安全领域诸多残酷的现实和趋势,同时兼具启发性和讨论性。近日,PCMag列出了本届大会上14个重磅研究成果,现在就让我们通过本文来一一窥探。
1. 跨越四分之一世纪的黑客活动
从首次举办至今,黑帽大会迎来了它的第25岁生日,在感叹时间流逝之快的同时,为纪念这一时刻,会议将其中两个主题演讲的重点聚焦在安全的未来,涉及到与乌克兰相关的网络战争、网上虚假信息的兴起,以及声称2020年美国大选是欺诈性选举的政治动荡事件。
网络安全和基础设施安全局(CISA)前局长Chris Krebs介绍了网络安全世界面临的许多挑战。他呼吁与会者和安全公司接受一套原则,以在面对未来可能的动荡时能够运筹帷幄。
知名网络安全记者描述了近年来一些令人震惊的安全事件,包括震网病毒(Stuxnet)、Colonial管道攻击等,并强调这些攻击都是可以预测的,在造成巨大灾害或损失之前就有过许多警告信号,只是人们未能提前采取积极有效的预防措施。
2. 短信代码让多因素认证失效
当密码不足以应对安全风险时,银行和敏感网站就会转向多因素认证。但这也存在漏洞。一个瑞典的研究小组证明,通过短信发送认证码本身就是不安全的。他们追踪了最近一些因双因素安全保护措施失效的事件,称如果黑客拥有用户的登录凭证和电话号码,基于文本的认证就不能起到有效的保护作用。
3. “隐形手指”操控触摸屏
想象一下,你走进会议室,把手机放在桌子上,这时,一只看不见的手指将其解锁并安装了恶意软件。一个学术研究小组模拟了一种攻击技术,能从几厘米外操控手机触摸屏。如果受害者把设备放在他们事先布置好隐藏天线的桌子上,他们就可以利用这一“看不见的手指”对设备实施触摸操作。
4. 打破无用规则,采取实际措施
安全初创公司 Copado 的副总裁兼安全主管 Kyle Tobener 在会上提出,如果某些威胁难以避免,最佳的方式就是采取手段将造成的损害降到最低。这种减少伤害的理念多年来在医学上被证明是有效的,例如,仅告诫吸毒者不许吸毒几乎很难起到实质性作用,不如向他们提供干净的针头来减少其它危害。相信这种理念在安全领域也可以发挥作用。
5. 重大网络事件调查手册
对已经发生的重大网络事件,如果企业不花时间追本溯源,那在下一次危机来临时注定要重蹈覆辙。会议期间,一研究小组试图通过创建《重大网络事件调查手册》,为事件调查提出了完善的可行性方案。
该手册文件包含了一份在企业或组织中创建独立审查委员会的指南,从决定谁应该成为委员会成员到向相关方展示调查结果。这些小组的任务是收集有关网络安全事件的事实,然后与更广泛的网络安全社区在线共享这些信息。目前,该文档在 GitHub 上可用。
6. 恶意软件瞄准求职者
普华永道的两名威胁情报专家表示,全球威胁行为者正在通过网络钓鱼链接攻击在线求职者。黑客通过创建虚假网站、虚假的社交媒体资料,发布虚假的职位,向受害者提供恶意链接和文件附件。
专家建议求职者不要点击陌生电子邮件或LinkedIn 消息中的链接,尤其是在职但准备跳槽的求职者,如果因此中招恶意软件并感染了公司网络,会让自身在公司的处境变得格外难堪。
7. 初创公司忽视安全
会议期间,一项关于提高漏洞奖励方法的黑帽简报似乎提醒人们,许多快速发展的初创公司并没有将安全纳入其早期发展计划。Luta Security 创始人兼首席执行官 Katie Moussouris 讲述了她是如何在去年发现Clubhouse 应用程序中的严重漏洞,并花了大量精力才使对方公司注意的艰难历程。她坦言:“我花了几个星期才找到合适的联系人。”
8. Apple 安全性漏洞
Mac 比 PC 安全是一条近乎公认的真理,每次对 macOS 进行更新时,安全层都会不断增加,但并非操作平台的每个组件都跟上这些安全升级。一位研究人员通过长期深入研究 macOS,提出了一种进程注入攻击,使他能够绕过所有这些安全层。他演示了使用这种攻击来逃避沙箱、提升权限并绕过系统完整性保护系统。安全漏洞在macOS Monterey中已修复,甚至可以向后移植到 Big Sur 和 Catalina,但在每个应用程序都进行简单调整之前,它不会完全关闭。
9. ELAM的两面性
微软正在尽最大努力使 Windows 更加安全,但有时安全工作可能会适得其反。Early Launch Antimalware (ELAM) 系统允许安全程序在启动过程中进行超前启动,并保护它们免受所有篡改。受微软的批准政策,ELAM 驱动程序无法伪造或用户自行调整,但一位研究人通过现有的批准规则不严格的驱动程序中找到了一个漏洞,其结果是某恶意程序不仅可以进入ELAM提供的“安全掩体”,还可以破坏其中的防病毒程序。
10. 漏洞猎人的危机
成为安全漏洞猎人往往让人心生羡慕,可以通过报告严重的安全漏洞而获得高达六位数的奖金,但光鲜的背后,也可能被起诉或被指控犯罪。最近的政策变化保护了那些诚实的黑客,但它们并没有解决一个特定的问题:在收集信息来证明报告的漏洞时,猎手通常会捕获大量个人信息记录,如果因此而被起诉,猎手可与律师合作寻求最佳的解决方案。
11. 汽车钥匙的重放攻击
使用笔记本电脑和合适的设备可以轻松记录和回放无线电信号,这就是为什么汽车钥匙采用了滚动编码系统,每按一次按钮就会发出不同的信号,一个预先录制的信号不会起任何作用。然而,研究人员发现,对于一些汽车来说,多个旧信号可以使滚动代码系统回滚,让攻击者打开车门。不仅如此,研究人员发现这种没有时间限制,旧的代码在被捕获后超过100天仍被接受。
12. 使用 Zoom IM 放大恶意软件
自新冠疫情大流行开始以来,Zoom已成为远程办公、视频聊天的重要工具。事实证明,Zoom的即时通讯是建立在XMPP上,一位研究人员构建出出了多种滥用XMPP的方式,从而最终实现在目标计算机上进行远程代码执行。
13. 欺骗跟踪设备
将位置报告标签附加到目标身上时,跟踪就变得轻而易举,但这类系统很容易被滥用。会上,安全研究人员展示了一种针对基于超宽带 ( UWB ) 无线电技术跟踪系统的新型攻击,能够在目标不知情的情况下实现跟踪,甚至使目标看起来按照攻击者的意愿移动。UWB 已被用于包括苹果公司在内的多个公司的产品中,甚至也被用于大型基础设施项目,例如纽约的地铁信号设施系统。
14. 俄乌网络战,电网成打击目标
俄乌争端和该地区持续的战乱已成为黑帽会议多次演讲的主题,来自邻国斯洛伐克的安全公司 ESET 的研究人员向与会者介绍了对乌克兰电网的攻击时间表,如果最近使用的Industroyer2恶意软件成功实施攻击,可能会导致 200 万居民断电。
有趣的是,Industroyer2 使用“Wiper”恶意软件使受感染的机器无法使用,从而减慢了恢复工作。SentinelOne 的研究人员 Tom Hegel 和 Juan Andres Guerrero-Saade 指出,这一做法也意味着攻击者必须放弃对受感染机器的访问权限。他们分析了可观察到的网络攻击,并强调很难得出结论,因为检测到的可能只是实际攻击发生的一小部分。
Industroyer 和 Industroyer2 的一个重要部分是使用可以与变电站中的断路器和其他机制进行通信的工业协议。最初的 Industroyer 配备了4个协议,但 Industroyer2 只使用 IEC-104 协议。该协议用于许多电网且很容易受到攻击,因为它是几十年前设计的,已经没有安全性可言。