我們談論 Black Hat 和 DEF CON 的時候，總是將其并列在一起的，因為這兩個會的舉辦時間很近 —— 這兩天報道 Black Hat 專題的同時，第 25 屆 DEF CON 也在 7 月 27 日到 30 日間進行中。黑客界的“兩會”其實都是由傳奇人士 Jeff Moss 一手創辦的。而且實際上，DEF CON 的歷史更為悠久，第一屆是在 1993 年舉辦的;而 Black Hat Briefings 計算機安全會議則是從 1997 年開始的。

[[198937]]

黑客界的世界級兩會，其本質差異就在文化方面。如果你也有機會去往現場，去 Black Hat 和 DEF CON 都分別逛一逛就能明確感受到這兩者的文化差異。Black Hat 之上能看到很多大型企業、政府機關，可能還有電子前線基金會的律師;而 DEF CON 之上很難看到企業組織，顯然 DEF CON 更傾向于狂歡式的派對。不嚴謹地說，這兩者是正式與休閑的區別，雖然大概其最終目標是殊途同歸的。

相對而言，DEF CON 具備了明顯更強的包容力，比如一直以來都公開支持 Anonymous 黑客組織。Black Hat 則充斥著企業、政府、學院派人士和各種獨立黑客，空氣中偶爾還漂浮著文化沖突氣息。其實很多人這兩個會都會去參加，但 Black Hat 上會看到更多的正裝，而 DEF CON 總是以 T 恤為主的。DEF CON 大會之上先前不接受信用卡買東西，因為很多獨立安全研究人員不希望透露自己的真實身份，胸牌上面都沒有名字。

DEF CON 會上的與會者甚至會質疑演講者，然后一起愉快地喝著啤酒，而 Black Hat 則顯得更為莊重和商業。這可能是兩會同樣重要的原因。

[[198938]]

就中國和美國的時差，今年在拉斯維加斯舉行的 Black Hat USA 2017 現下已經結束。在這篇介紹大會 DAY 2 的文章中，我們更愿意多些筆墨來談談 Black Hat 與 DEF CON 大會這些年來的發展和變化。如果你更喜歡大會的議題干貨，除了文末仍有提供演講 PPT 下載，文章后半部分還是會列舉幾個 DAY 2 的議題，以供賞玩。因為實際上 Black Hat 每年的議題有 100 多個，我們也只能列舉一些讓人印象深刻的內容。

對現實世界實實在在的影響

兩會這 20 年的發展，最明確的是內容和觀眾群體覆蓋方面的變化。如 Black Hat，從先前專注于企業安全，到包含更多防御安全工作、安全團隊管理，再到系統開發主題。如今甚至在行程表上還出現了 CISO Summit，所以 Black Hat 時間跨度也比從前變得更長。

會上的大量議題似乎都讓這一周七天的時間看起來更長了，老牌黑客團隊 L0pht 兼軟件安全公司 Veracode CTO 的 Chris Wysopal 早年一直在參加 DEF CON 和 Black Hat：

DEF CON 舉辦第 20 屆之際，“我當時覺得很值得去看一看，然后就震驚了。規模大了3倍，感覺已經不是個會了，更想是個節慶。不光是因為有更多的活動，比如說有了開鎖的展位，而且現有的一些東西也加強了。CTF 原本就 5、6 桌人在搞攻防，一下就擴張到了 50 桌。”

1993 年首屆 DEF CON 大會是在 Sands Hotel & Casino 舉辦的，當時只有大概 100 名與會人員。而去年參與 DEF CON 的人有 22000 人，Black Hat 也有 15000 人參與。

[[198939]]

著名作者 + 會棍 Richard Thieme 從 DEF CON 第四屆到第二十五屆基本都參與了演講，“這樣的會議以這樣的方式表現著安全社區的成熟。”他談到當年第四屆 DEF CON 的時候，才有一群黑客突然意識到他們掌握的技術，對于其它專家而言也是有價值的，這些技術通過這樣的一個大會傳遞出去。

“那個時候，他們自己才真正發現，對于其他人而言所做的是有價值的事情，就是如何保護資產。他們找到了方向。”

這種影響有時的確是巨大的，比如大會上高危安全漏洞公布的瞬間。當年 David Litchfield 公布針對 SQL Server 的 PoC 攻擊，很快導致 2003 年的 SQL Slammer 蠕蟲爆發。

還有像是安全研究人員 Michael Lynn 當年認為他唯有從 Internet Security Systems 辭職，才能在大會演講中公開他在思科路由器中發現的安全漏洞(因為當時思科向 Internet Security Systems 施壓，阻止其公開信息)。這些都是此類安全大會造成的實實在在的影響。

而在這個時代，此類研究都已經先于大會本身公開了，就像 Black Hat 主題演講之前 FreeBuf 就已經報道了一些公開的研究內容。這是 Black Hat 的意義得到擴大的表現。

對于絕大部分長期參加 Black Hat 和 DEF CON 大會的研究人員來說，除了會議本身已經產生的影響，在他們看來“兩會”最大的價值在于能夠見到平常見不到的安全專家，并且建立起真正的聯系。

[[198940]]

信息安全咨詢顧問與研究人員，同時也是 Black Hat 審查委員會成員的 Stefano Zanero 回顧他首次參加 2004 年 Black Hat 大會的印象時說：“當時我還是很年輕的 Ph.D. 學生，第一次面向這么多的全球觀眾。Black Hat 真的很迷人。當時的會規模比現在要小。我作為一個演講人，就是想要有機會碰到安全圈的那些名人。”

“我覺得建立起聯系，是大會真正的價值所在，尤其是在安全行業不斷壯大的今天。這些年我在大會建立起的專業人士網，對于我自己的工作而言是無價資產。”

Black Hat 在成長中變得更商業

ACE Hackware 安全研究人員、首席“Hacktologist” Taylor Banks 說：“我頭一次參加 Black Hat的時候，這場大會看起來是黑客文化混合了企業的一場集會，圍繞著信息安全。”他說，在某些參加 DEF CON 的人們眼中，現在的 Black Hat 大會更像是個銷售產品。

“對我而言，我覺得 Black Hat 是個很不錯的結合體。我很高興地看到，信息安全會議能夠有較高的價碼，同時又能為溝通和招募提供好的環境，另外對參與者而言也有不錯的價值。”

“老實說，我覺得把 Black Hat 和 DEF CON 比是不公平的。應該說，雖然兩個會會給出一些相同的內容(而且經常是一樣的人)，這讓 DEF CON 顯得有價值得多。”“我覺得因為環境的關系，那些新來的人會發現 DEF CON 更嚇人一些，而 Black Hat 會是個更容易投入的會吧。”

Black Hack 這些年來究竟發生了怎樣的變化。 Zanero 說：“答案應該是成長迅速。相對隱晦的答案則應該是成長帶來了不同領域、更多的人，所以社交活動也發生了變化。” Zanero 說他很想念多年前，那個彼此聯系更為緊密的社區。

“現在大會大廳已經被人海淹沒，在我看來沒變的可能就是議題的質量和水準了，雖然議題內容也已經擴展到了更廣的領域。”

[[198941]]

不過不少參與大會多年的“老人”對此卻有不同的看法。Thieme 說：“相較過去，現在已經消失的東西就是前沿的入侵技術。”“現在的大會已經是個供應商驅動的會議了，會議主要由技術專家主導，但也明顯有了市場需要的聲音，而市場往往并不需要那么技術化的東西。”

隨著大會觀眾的增多，展區也在發生變化。Wysopal 說，展區是企業在 Black Hat 之上唯一關注的地方，里面充斥著各種公司——可能是做滲透測試的，或者所謂“hardcore”的安全企業，而不會是那種“恰巧有個安全產品或服務需要展示的企業”。

其實從今年我們關注到的 Black Hat 議題來看，出彩的內容相較往年有些乏善可陳。但實際上，在這些安全行業的大佬眼中，Black Hat 依舊充滿價值。“如果你有目標，并且也知道如何尋找價值，那么這地方絕對是與猛獸組隊的叢林。”

Wysopal 認為，“現在會有各種不同的觀眾來到這場秀。很多人都想要加入到議題中去。還會有其它可以去社交、建立聯系的人?？赡軙腥耸且曳莨ぷ鳎蛘呖赡苤皇菃渭兿牒屯甑哪切┡笥雅鰝€頭。另外還有人是來找安全產品和解決方案的。這些事都在這個會議上同時發生。”

“只要能滿足不同的觀眾，這就是一場成功的會議。”Black Hat，我們明年再見。

更多議題與花絮分享

ShieldFS：勒索軟件殺手終于來了?

來自意大利的 7 名研究人員在昨天的 Black Hat 大會上分享議題《SHIELDFS : The Last Word in Ransomware Resilient File System》。FreeBuf 今天發布的文章更詳細地闡述了這種對抗勒索軟件的技術。這 7 名研究人員來自米蘭理工大學，實際上他們已經在今年早前公布了兩份研究 paper。

他們介紹了一種名為 ShieldFS 的項目，這是個 Windows 嵌入驅動與定制文件系統，可用于檢測勒索程序感染信號，并及時阻止惡意行為，甚至還能將加密文件還原到先前的狀態。

ShiledFS 實際上是用于檢測 COW 操作的一種復雜機制。COW 也就是 Copy-On-Write，進行文件操作，包括復制、修改、替換這些都是 COW 操作?，F如今的絕大部分勒索軟件家族都依賴于 COW 操作，如獲取原始文件、對其內容進行加密、替換原有文件。

[[198942]]

不過 ShieldFS 不僅能夠檢測 COW 操作，同時還能發現加密的一些特征。當 ShieldFS 檢測到符合其場景的事件后，還會檢查內部行為模型，以區分良性進程和惡意的勒索程序。研究人員表示，ShieldFS 現如今已經配備有 2245 個合法應用適應模型，這些主要是為了防止太高的誤報率。

檢測到勒索程序之后，ShieldFS 會讓操作系統阻止該進程，并采用定制的文件系統，對惡意行為進行逆向。從技術層面來說，這個過程在于 ShieldFS 是個嵌入驅動，它會安裝定制的虛擬文件系統，能夠對 COW 操作進行追蹤，短時保留原有文件備份，并恢復一定量的文件。這種技術未來會廣泛應用到勒索軟件查殺么?詳情點擊這里 [ 1 , 2 ] 查看這兩篇論文。

你知道去年最賺錢的勒索軟件是哪款嗎?

今天 FreeBuf 的安全快訊報道了一件事：希臘警方逮捕一名俄羅斯人，指控其運營 BTC-e 比特幣交易平臺，洗錢超過 40 億美元。此人名為 Alexander Vinnik，現年38歲。先前負責調查Mt Gox盜竊案的東京安全公司 WizSec 指出 Vinnik 對當時被竊的比特幣進行洗清，導致 Mt Gox 平臺的關閉。Mt Gox 錢包私鑰于 2011 年被竊，此事曾轟動一時。東京地方法庭文檔顯示，Mt Gox 的 30.7 萬比特幣轉往 BTC-e 錢包。此外，BTC-e 的這些錢包于 2011 和 2012 年間針對多起網絡搶劫案進行了洗錢操作。

大約在 Vinnik 被逮捕的同時，Black Hat 大會現場，谷歌的研究人員在分享他們針對勒索軟件的研究，其中就特別提到了 BTC-e 比特幣交易平臺。全球比特幣贖金支付，最終的取現操作，有 95% 都是通過 BTC-e 進行的。

實際上這項針對勒索軟件的研究是由谷歌、區塊鏈分析公司 Chainalysis 和來自加州、圣地亞哥和紐約大學的研究人員共同發起的。他們對 34 個勒索軟件家族進行分析，樣本超過 30 萬?；诖罅繑祿?，研究人員公布了不少圖表。

研究結果顯示，2016 年是勒索軟件收獲最多的一年。每個月勒索軟件贖金支付平均超過 100 萬美元，有兩個月甚至超過了 200 萬美元。而最賺錢的兩個勒索程序家族分別是 Locky 和 Cerber 。Locky 的成功和 Necurs 垃圾信息僵尸網絡是分不開的，同時它還采用 RaaS 服務的方式，攻擊者根本不需要多少技術知識，就能用上 Locky。谷歌的研究顯示，Locky 賺到 780 萬美元。排在第二的 Cerber 則賺了 690 萬美元。更多研究內容可點擊這里查看。

直接讓洗車系統變死亡陷阱

來自 Whitescope 的創始人 Billy Rios，以及 IFIP Working Group on Critical Infrastructure Protection 委員會主席 Jonathan Butts 共同分享有關洗車系統的議題。他們演示要入侵國外當前廣泛應用的洗車系統 Laserwash 系列是很容易的，該系列系統由 PDQ 制造。

研究人員發現 Laserwash 設施可被遠程監控，通過基于 web 的用戶界面就能控制系統。實際上洗車設施內部有個 web 服務器，掛接到公網上就能被攻擊者遠程監視。該設施的控制系統實際上是個嵌入式 Windows CE 計算機，采用 ARM 兼容處理器。不過當前微軟已經不再支持其上所用的 Windows CE 版本，所以本質上就存在安全威脅。

兩名研究人員還真的發現有個洗車系統連接了網絡，訪問 web 界面，居然還是默認密碼 12345 ，之后就實現了這套系統的完整控制。他們寫了個 exploit 令洗車系統進行物理攻擊，洗車過程中可以對人進行攻擊。“這可能是可導致聯網設備攻擊人的首個 exploit”。

在整個演講過程中，兩人演示了他們如何繞過洗車系統門上的安全傳感器，并將其關閉。“我們控制了洗車系統內部的所有設備，而且能夠關閉安全系統。我們可以設置搖臂下探到更低的位置，摧毀汽車頂蓋。”

他們還說實際上早在 2015 年 2 月份就已經發現了其中的安全問題，接下來 2 年都在試圖對 PDQ 公司發出示警。直到今年他們的議題要搬上 Black Hat，生產商才回復了郵件，并且還說無法針對 exploit 進行漏洞修復。PDQ 發言人表示，已經在本周向客戶發出警告，催促修改默認密碼，或在網絡中增加安全設施。值得一提的是，類似洗車系統這樣的安全漏洞，已經屬于工業控制領域了。

解決供應鏈安全問題真的很難

我們每天口袋里揣著的這部智能手機，其安全絕對不是蘋果或者谷歌一家系統供應商的問題。它涉及到整個供應鏈的安全問題，比如說本屆大會上揭露影響博通 WiFi 芯片固件的漏洞，影響范圍起碼也有百萬級別的手機量。這類安全問題的解決難度有多大?是在芯片制造商發現這些問題，解決后需要知會受影響的手機制造商，和谷歌、蘋果這樣的系統制造商，隨后谷歌和蘋果進行系統升級，最終在手機制造商和運營商的共同配合下，才能修復漏洞。這一連串環節走下來，光是時間就要耗費很久。就好比即便本月 Android 系統更新已經修復 Broadpwn 漏洞，依然會有百萬級別的 Android 手機受到漏洞影響。

來自 Gigamon 的首席工程師 Jack Hamm，與 Luta Security 公司的 CEO Katie Moussouris 分享了議題《Cyber Risks and Supply Chain Failures: Wheather to Zig or Zag》。講述的就是解決供應鏈安全的難度。如上面的例子，即便拋開從系統供應商，到運營商最終向用戶設備推送固件更新，用戶本身都是供應鏈安全方面的一個環節。

“你選擇推遲補丁更新，你就是供應鏈安全方面的一環，你積極地參與到了其中。”

要解決這樣的安全問題實際上非常復雜。“從安全運營的角度來說，要保護供應鏈安全很難。你需要去看大量的數據、進行大量數據處理、進行大量聚合，還要從大量噪聲數據中獲取大量信息。這很難。”“即便你知道如何保護供應鏈安全，仍然會有像 NotPetya 這樣的源自供應鏈的問題出現。”

而對供應鏈的入侵，就會影響到下游所有參與者，包括作為用戶的你。在 Hamm 看來要解決這些問題，就需要從取證響應轉變為實時監控，他將之稱為“新型安全模型：防御者生命周期(The New Security Model: The Defender Lifecycle)”。其核心就是使用機器來與機器進行對抗，采用自動化的方式來彌合攻擊者和防御者之間的間隙。

“針對漏洞做好多方準備，也就意味著為下一次‘心臟滴血’做好了準備，其中包括下次每個用戶都會為你的手機做好補丁更新。”這涉及到供應鏈上的每個人。“自動化是做到這一點的關鍵所在。”

利用 Docker 容器來隱藏、植入惡意程序

攻擊者濫用 Docker API 這樣的新式攻擊向量也能在目標系統中隱藏惡意程序，并遠程執行代碼。這套攻擊方案的 PoC 已經被 Aqua Security 的研究人員開發出來。這家公司的安全研究員 Sagie Ducle 針對這個問題在 Black Hat 會議上進行了內容分享。

Docker 會將其 API 通過 TCP 暴露出來。這種攻擊最終能夠實現在企業網絡中做到遠程代碼執行，而且常駐在主機中，主機上的現有安全產品是無法檢測到的。攻擊分成多個步驟，第一步是誘使開發者運行 Docker for Windows 到攻擊者控制的 web 頁面，該頁面上有惡意 JS 腳本。JS 能夠繞過瀏覽器的同源策略。研究人員采用的 API 命令并沒有違反同源策略，還能在主機上創建一個 Docker 容器，以某個 Git 庫作為 C&C。

[[198943]]

不過最終目標還是要訪問整個 Docker API，這樣才能以高權限運行任意容器，訪問主機或者說下層的虛擬機。為此，研究人員打造了一種“Host Rebinding Attack”技術，這其實類似于 DNS 重新綁定攻擊——也就是利用 DNS 欺騙瀏覽器不實施同源策略。這種攻擊達到也是類似的目的，但通過虛擬接口進行，所以攻擊本身無法通過網絡檢測到。

Ducle 解釋說，最終就能在受害者 Hyper-V VM 內部運行一個 container，共享主機網絡，執行攻擊者控制的任意代碼。

下面一步就是要創建所謂的“Shadow Container”，最終是要讓惡意 container 指令常駐，即便重啟主機或者重啟 Docker for Windows，攻擊也能夠持續。在這個過程中，攻擊者寫了個 container 關閉腳本，保存攻擊者狀態。在 Shadow Container 中保存攻擊狀態，然后寫回到虛擬機中。Docker 重啟或者重置，甚至主機重啟，都會運行攻擊者的 container。感興趣的同學可以點擊這里看更為具體的內容。