白帽黑客们侃攻防,Root是一场精妙的密室逃脱
老周的安全帝国飞速发展,而ISC 2020就是今年的第一份答卷。
虽然因为疫情的原因,ISC 2020移至云端,但万人在线的规模、永不闭幕的创举,让今年的大会再度成为网安人的一场狂欢。
从“万物皆变,人是安全的尺度”到“安全从0开始”,再到“应对网络战,共建大生态,同筑大安全”,ISC的主题始终围绕着大安全、安全生态等方向。或许站得更高一些,才能一览正在攀登山峰的攻击者,规划更具洞察性的安全战略。而今年的主题“数字孪生时代下的新安全”,同样沿袭了“保持前瞻”的视角,关注网络安全行业如何在变化下求变,适应数字化背景快速调整方向飞速发展。
数字孪生高楼起,裹挟着核弹的网络攻击、无数风险正虎视眈眈。
这会是一场数字克隆世界里的游戏,也是属于网络安全从业者的重要使命。而ISC?2020的技术日,决意抛开虚头八脑,酣畅淋漓地聊一场技术。持续4天的狂欢、多达12个的论坛,对于很多极客来说,可谓痛快。
“逃离云端:漏洞细节首次公开” ?
漏洞无可避免,这是一个残酷的现实。
一个很有趣的说法是,写代码的过程就是造漏洞的过程。而在数据化背景下,越来越多的企业选择全站上云或关键业务上云,这也导致防护环境发生变化,传统安全边界消失,企业面临的攻击面和漏洞威胁剧增。
如果你看到了360 VulcanTeam漏洞挖掘与利用高级专家、虚拟化安全研究员肖伟分享的《Qemu-kvm和ESXi虚拟机逃逸实例分享》,或许也同他一起,看到了云环境下漏洞威力的冰山一角。
360 VulcanTeam漏洞挖掘与利用高级专家、虚拟化安全研究员:肖伟
云环境里的一大核心技术就是虚拟化,它具备将单一的硬件资源抽象成可细粒度调配的虚拟硬件资源池的魔法,但这个魔法在遇到漏洞时,却会被击溃乃至反噬。
Qemu-kvm和ESXi作为目前云计算领域广泛使用的系统框架,面对虚拟化逃逸,依然不能幸免。演讲里,肖伟谈到了Qemu-kvm的越界读写漏洞和ESXi的堆溢出漏洞,还有这两个漏洞的利用方法。有趣的是,在去年“天府杯”国际网络安全大赛中,360 Vulcan Team战队就是13秒极速攻破Ubuntu+qemu-kvm,一战登上榜首,也让众多网安人对于其中的漏洞好奇不已。此次从漏洞成因到漏洞利用和Demo的公开,可以说是惊喜满满。
鉴于虚拟机与宿主机之间的依存环境,攻击者利用漏洞完成虚拟机逃逸后,可以通过共享内存的方式完成通信,从而实现在虚拟机中对宿主机的控制。
数年来,仅Qemu中虚拟设备的漏洞数量就达到了数百个,以虚拟机逃逸为代表的云端威胁成为了攻防对抗的重要战场,肖伟的分享应该也给相关厂商再次敲响了警钟。
“再谈梯云纵 Root是一场精妙的密室逃脱”
既然谈到了漏洞,那不得不想到去年Google的史上最高奖金,正是被“梯云纵”漏洞收入囊中,而幕后的功臣则是龚广负责的360 Alpha Lab。
尽管移动安全频频暴雷,但Google亲自操刀的Pixel手机一直以来都被公认为“最难被攻破”的手机,不仅拥有最新的缓解措施以及补丁,甚至于在Mobile Pwn2Own上也数年未被破解。然而,360 Alpha Lab在Pixel手机里发现的一组具有持久性的全链远程代码执行漏洞,宣告了Pixel 3的失陷。
360 Alpha Lab负责人:龚广
值得关注的是,龚广在今天的技术日上首次公开了梯云纵技术细节(必须看个视频回放)。
一直以来,移动设备所具有的开放性、结构复杂性等特点使其面临更多的安全威胁,而设备往往又处于IT/安全人员不可控的环境中运行,众多因素都导致移动设备沦为攻击的靶子。当Pixel也被攻破,我们对于其他移动设备的安全问题的担忧进一步提升。
不过,对于龚广来说,Root更像是一场精妙的密室逃脱。他曾六次攻破安全设备,现场更是直接演示远程Root Pixel手机,同时,也分享了他对安卓设备的远程攻击的看法:即移动设备面临的相邻网络攻击和“零点击”相邻网络攻击的发展和危害。
都说十年Android,十年漏洞史,关于移动/安卓设备的安全话题还将继续……
“基于高级威胁情报 狩猎APT组织?”
随着越来越多大玩家入局,高级持续性威胁APT已然从一个“生僻词”转变为媒体笔下常客。
不管是挑战美国种族歧视的匿名者黑客组织,还是三年间入侵570家电商网站的Keeper、疫情期间对我国医疗机构趁火打劫的印度APT,都在挑战企业乃至国家的安全底线。而在复杂的地缘政治背景下,有着国家背景的APT组织,也在瞄准我国关键基础设施进行隐蔽的攻击活动。
在ISC 2020战略日的演讲上,周鸿祎提到“数字孪生时代,整个世界的基础都架构在软件之上,一旦发生网络攻击,其影响力更甚核弹。”而网络战攻击的主力军就是——APT组织。
在资深网络安全专家、360高级威胁研究院副院长宋申雷的分享里,我们也能感受,数字时代下,“看不见”威胁全貌、缺乏应对威胁之良策、还有APT攻击者无所不用其极的攻击战术,都会是网络安全致命的威胁。
资深网络安全专家、360高级威胁研究院副院长:宋申雷
事实上,江湖人称“茄子”的宋申雷,直面强大的有组织性的APT对手已久。几年来,多次对APT组织进行关联、溯源、定性,形成追踪、报告,最后实现全貌挖掘的经历,让他不仅知防也能知“攻”。
一方面,借助海量安全数据、人工智能分析和专家团队产生的高级威胁情报进行威胁狩猎、发现APT攻击,从而全面了解对手。另一方面,由于APT组织的行动往往少不了武器库的加持,因此0day漏洞等高级威胁漏洞的发现也至关重要。最后,宋申雷还分享了“威胁情报金字塔的奥秘 ”——TTPS和IOCS形成映射,成为真正的威胁情报。
“知防先知攻 打破攻防不对等”
和大玩家相比,“幕后玩家”带来的威胁同样隐蔽且危害性高。
我在明,敌在暗,攻防不对等的观点由来已久。随着网络空间和现实物理空间的逐步融合,威胁不断加剧且攻击成本降低,与之相对的是防御的难度上升、成本越来越高。简单来说:防守方需要守住面(多达百亿的联网设备),而攻击者只需要攻击点(一个薄弱点)。甚至于一般情况下,60%的防守方要等到几个月后才能侦测到对手入侵的痕迹。
因此,在360政企安全集团诺亚实验室总经理洪宇看来,“攻击一定会发生,且攻击一定会成功!”
360政企安全集团诺亚实验室总经理:洪宇
面对难以追踪的对手,不断进化的威胁,需要“攻方视角下的实网攻防来弥补先天条件下的攻防不对等。洪宇表示,实网攻防是一种逆向思维,更注重验证结果。当尝试从结论逆推方案,从发现问题切入,可以给出更合适的解决方案,持续提升能力,从而持续提高企业安全建设能力。
由于文章篇幅有限,只简单地和大家聊这几个议题,但安全很大,仍需要更多的关注。
就像老周说的,数字孪生时代,没有安全的顶层设计和方法论,我们面临的将是数字裸奔。而买了产品就可以保证网络高枕无忧,无疑是一个老旧的谎言,企业必须构建安全能力的框架体系,建立自己的运营体系,才能根本上解决安全的问题。
不管是云环境下的漏洞管理与研究,还是移动设备面临的重重威胁,抑或是攻防对抗与威胁狩猎,这些议题都是数字孪生下的一个个缩影,只有将它们联结起来,依靠顶层的安全逻辑进行框架设计、落地,才是真正的对抗达网络攻击摩克利斯之剑的安全之盾。
八年前的老周说:“我有一个梦想,要办属于中国人自己的网络安全大会。”
八年后的ISC在实现梦想基础上升级为“永不闭幕”,这场大会还会向外界传递和输出什么?
ISC 2020的活动仍在继续,会议内容和反响会告诉我们答案。