这是恶意黑客胆大妄为的一年,某些手法此前根本想象不到——佯攻、加密货币劫持、社会工程和破坏性恶意软件行动。但即便是在2018年民族国家和网络犯罪攻击日渐猖獗的背景下,安全研究人员还是找到了一些以黑治黑预先制止坏人攻击的创新手法。
2018年,包括青少年在内的白帽子黑客攻入了一系列重要目标,比如机载卫星设备、美国大选仿真网站和吸尘机器人。他们还运用社会工程和网络钓鱼者自己的战术和人工智能(AI)挫败了坏人自己的阴谋,在漏洞被滥用之前抢先曝光。
我们不妨先忘了那些失败的比特币挖矿实验、家庭路由器中的俄罗斯黑客和网络上潜伏着的武器化PowerShell脚本,花几分钟时间回顾一下安全研究人员今年的创新黑客壮举。
虽然耗时四年,但 Ruben Santamarta 最终证明了他在2014年报告的卫星设备固件重大漏洞是可以被武器化的。这位IOActive的研究员从地面黑进了机上WiFi网络,暗中观察乘客的互联网活动,并侵入机载卫星通信设备,充分展示了他之前得出的漏洞利用理论的正确性,驳斥了当时某些专家的怀疑。
2018年8月美国黑帽大会上演示之前,Santamarta就告诉媒体:每个人都说这不可能。但这从根本上是可行的。如今有了证明。
Santamarta称自己在卫星通信设备中发现了一系列后门、不安全协议和网络错误配置,影响西南航空、挪威航空和冰岛航空公司的数百架商业飞机。尽管这些漏洞可以使黑客远程夺取飞机机上WiFi控制权,但鉴于机上WiFi网络是隔离且经配置的,目前对飞机本身尚未显现出什么安全威胁。
另外,Santamarta在黑帽大会上透露,2018年11月扫描挪威航空公司从马德里飞往哥本哈根的航班上WiFi网络时,他遭到了真正的恶意软件的阻挠:机上卫星调制解调数据单元中运行有一个后门,Gafgyt物联网僵尸网络中的一台路由器正在访问该机上卫星通信调制解调器,扫描新的僵尸网络预备役。幸运的是,飞机上的卫星通信终端无一被感染,但这也敲响了航空业潜在威胁的警钟。
社会工程是最简单最可靠的网络攻击第一步,而且垃圾邮件过滤器肯定滤不掉所有的网络钓鱼邮件。所以,两名研究人员设计了通过“黑”攻击者所用语言来检测社会工程师/网络钓鱼者的方法:他们创建了一款工具,可以对文本进行语义分析,运用自然语言处理识别不明确行为,判断恶意意图。
加州大学教授 Ian Harris 和Lootcore首席顾问 Marcel Carlsson 基本上通过文本或语音转换的文本中所用的语言就能暴露出攻击者。Harris和Carlsson的网络钓鱼者黑客工具检测电子邮件中寻求隐私数据和恶意指令的问题——这些通常都是潜在社会工程攻击的迹象。该工具也可用于标识恶意文本消息和电话。
此类文字黑客工具会对照随机抽取的网络钓鱼邮件对比文本中的动宾结构短语,分析语义和选词。
为什么社会工程总是引人深究?这是因为任何信息安全冲突中社会工程都是其中最弱一环。人们总是很善良,乐于助人。你当然能利用这种善意或者操纵他们把信息交给你。
苹果公司直到2012年都在宣传Mac对病毒免疫,但如今,MacOS电脑也落入了恶意软件作者的视野。
荷兰 Sfylabs BV 恶意软件分析师 Pham Duy Phuc 和意大利特伦托大学教授 Fabio Massacci 决定改良不断壮大的Mac恶意代码生态系统的检测及分析过程。这一过程目前为止都是繁琐的人工过程,两位安全研究员为此开发了一套Mac-A-Mal框架,融合静态及动态代码分析以查找并暴露Mac恶意软件的内部机制,包括最为隐秘的那些变种。
他们的工具可以静默运行,能抓取恶意软件行为模式,比如网络流量、规避方式和文件操作。Phuc表示:
该工具能在沙箱中拾取恶意软件样本和执行中的实际行为数据。
两名研究人员用该工具发现了数百个新型Mac恶意软件样本。他们发现,2017年VirusTotal上的半数Mac恶意软件都是后门,而大多数变种都是广告软件。
硬件黑客在2018年很火。2018一开年就是举世震惊的现代微处理器漏洞幽灵和熔断的曝光,然后是各种防滥用缓解措施。夏天时一名研究人员披露了他令人毛骨悚然的CPU安全功能黑客手法。
研究员 Christopher Domas 发现了突破现代 CPU ring权限模式的突破方法,让他可以获得计算机内核级权限并绕过软件和硬件安全措施检测。8月份的美国黑帽大会上Domas做了题为《上帝模式解锁:X86 CPU 硬件后门》 的演讲。
Domas分享了他是如何通过某些机型x86微处理中的一个硬件漏洞夺取到主机“上帝模式”控制权的。该后门在某些系统上默认启用,可令攻击者获取内核控制。不过,Domas表示,仅 VIA C3 CPU 可被该攻击攻破,后面的处理器可对此漏洞免疫。
他将自己的漏洞利用工具 Project Rosenbridge 放到了GitHub ( https://github.com/xoreaxeaxeax/rosenbridge )上供其他研究人员实验。工程主页上Domas写道:
本项目仅作为案例研究和思维实验,例证后门可在当今越来越复杂的处理器中出现,证明研究人员和终端用户也有可能发现此类功能。此处放出的工具和研究为更深层次的处理器漏洞研究提供了起始点。
先是冰箱,现在连吸尘机器人都开始窥探家中动静了。
Positive Technologies 的研究人员发现东莞蒂奇360吸尘机器人中存在漏洞,可变身移动监视设备,通过其内置网络摄像头或智能手机控制的导航功能监听消费者对话和窥探主人行动。
该远程代码执行漏洞可令攻击者获取设备超级用户权限——通过了设备默认登录功能的脆弱身份验证之后。另外还有一个漏洞存在于该设备的固件更新过程中,攻击者可以用手插入恶意microSD卡。
吸尘机器人的间谍功能很明显:攻击者可将之转变为监视消费者和盗取消费者信息的中心,甚至强征该吸尘机器人进入IoT僵尸网络大军。这是消费级IoT设备加入互联网访问功能却没有考虑安全问题的又一个例子。
打败对手的途径之一就是像对手一样思考。Cyxtera Technologies 的研究人员便是受这种思维启发,打造了模拟坏人武器化AI用于更精准网络钓鱼攻击的算法。
DeepPhish算法旨在学习攻击者是如何利用AI和机器学习工具绕过恶意行为及内容安全监测工具的。2018年末,Cyxtera研究副总裁 Alejandro Correa 表示,超过一半的网络钓鱼攻击将通过存在恶意 TLS Web 证书的网站发起。攻击者往自己的钓鱼网站中加入Web证书毫无难度。
Correa及其团队收集攻击者手动创建的URL,建起神经网络学习这些URL中哪些突破了黑名单或其他防御措施。然后他们便可以产生出成功率更高的网络钓鱼URL。一次测试中,攻击者原先的成功率仅为0.7%,用了DeepPhish工具后成功率激增至20.9%。
2018年的DefCon安全大会上,两名11岁的小黑客往佛罗里达州州务卿的模拟网站中植入了SQL注入代码。15分钟里,他们攻入网站后台,修改了投票计数报告。
Emmett Brewer 在10分钟里就破解了该模拟网站,5分钟后,与他同龄的Audrey修改了模拟佛罗里达州选区投票网站的票数。Brewer把选票全计到了自己头上,发了条推特:我觉得我赢下了佛罗里达州中期选举。
幸好该网站并非佛州网站的精确模拟,但令人担忧的是,两位小朋友仅仅是看过SQL注入教程就黑掉了模型网站——这些讲义是 DefCon R00tz 儿童训练营的组织者发放给这些小黑客的。
DefCon投票村共同创始人兼组织者 Jake Braun 称:投票与选举黑客活动和R00tz训练营并不是要制造一种“好容易啊”的感觉,选举系统最有价值的部分是这些网站。