chatgpt做blackhat asia 2023 学习委员

3.如何检测机器人

4.使用检测机器人

5.机器人使用的绕过技术

6.社区驱动的反检测框架

7.未来的坏机器人：总结

8.检测和阻止分布式攻击

9.利用自动生成规则

10.内部：匹配规则与矩阵乘法

11.内部：切片错误

12.开源软件包

13.案例分析：封堵游戏平台的凭据填充攻击

结论：

利用流媒体的异常检测和可以有效地检测和阻止分布式机器人攻击。不仅可以应用于生成规则引擎，还可以应用于其他安全用例，从而加强网站和应用程序的安全性。

AS-23—With-a–of-

议题内容：通过 IIoT 云解决方案威胁关键基础设施的漏洞。

小标题：

背景

动机

攻击向量

技术要点

解决方案

结论

AS-23–Dirty—-

议题：Dirty – Share Into

背景：系统有多种方式可以在不同应用程序之间共享数据和文件。其中之一是 ，它提供了许多安全方式以与其他应用程序之间安全地共享数据。Share 是一种应用程序，可以接收其他应用程序的数据或文件。

问题：由于接收方无法完全控制发送方发送的数据，因此攻击者可以发起Dirty ，将 Share 转换为攻击向量。

技术要点：

和 的使用方式；

文件提供者的使用方式，包括子类和共享目录的定义；

Share 的使用方式和发送文件的过程；

Dirty 的攻击模式，包括定制文件提供者和最小化用户交互；

漏洞的具体影响，例如代码执行和文件读写权限的滥用；

接收方如何确保数据类型匹配和安全处理文件名等。

解决方案：应将所有来自应用程序私有领域之外的数据视为不可信。在处理文件名时，应规范化并过滤特殊字符。避免从数据目录加载库，dex文件等，如果可以替换，请用干净的副本替换。

结论：应用可以通过采取措施，包括限制应用程序对文件和目录的读写访问权限，限制与未公开API的交互，以及遵循最佳安全实践来保护自己并降低风险。

AS-23–You-Can-Run-But-You-Cant-Hide

议题：寻找隐藏的踪迹

背景：

在 x64上，已经增强了内核，声明了虚拟机监控程序，并使私有可执行内存成为内核模式安全产品无法防御的边界，因此内存扫描成为了唯一的安全防御层。

问题：

如何检测和追踪恶意代码的隐藏行为？

技术要点：

内存扫描的概述，包括通用扫描工具(YARA, PE-sieve, )和特定的工具(, Hunt–, )

恶意代码逃避检测的技术手段，包括、、 、、Ekko等方法。

code page 的错误使用会导致可执行代码页被更改，可以利用 call stack 和— ETW 来进行检测。

Flow Guard 可以用来检测改变了内存保护的，这一点可以用于探测恶意代码。

通过构建进程行为概要，可以识别异常行为，并对其进行更加详细的调查。

解决方案：

通过以上的技术要点，可以实现对隐藏的检测追踪工作。同时，可以尝试采用一些逃避手段将代码隐藏在内存中以避免检测，例如对代码进行混淆、对数据页进行加密和在每次启动时启动一个新进程等。

结论：

在没有介入的情况下，内核模式安全产品可能无法防御黑客入侵，因此我们需要借助现有的工具和技术来提高系统的安全性。

AS-23-Tan–for-the-long–of-data-

标题：黑帽大会：数据安全之旅

背景：随着数字经济的发展，数据被视为一种关键的生产要素，如何在保障数据安全的同时，实现数据的有效利用成为亟待解决的问题。

问题：

目前数据安全领域面临的挑战有哪些？

如何在保障数据安全的同时实现数据的有效利用？

数据安全建设在不同行业的进展如何？

技术要点：

数据分类和分级：对公共数据、个人数据和企业数据进行分类和分级。

访问控制：采用零信任架构，从基于角色的访问控制（RBAC）发展到基于属性的访问控制（ABAC）等。

数据传输：采用数据丢失防护（DLP）和虚拟专用网络（VPN）等技术来保证数据在传输过程中的安全。

数据存储：使用数据库加密、文档加密和云访问安全代理（CASB）等技术对存储的数据进行加密保护。

数据交换：通过使用API监控、安全多方计算、同态加密和数据脱敏等技术来实现安全的数据交换。

解决方案：

制定数据安全法规，包括网络安全法、密码法、数据安全法和个人信息保护法等。

加强企业数据安全建设，推动数据安全技术在不同行业的应用，如电信、金融、医疗等。

持续创新数据安全技术，实现数据安全与业务解耦，提供更完善的数据安全防护。

结论：数据安全是一个将与网络安全相辅相成的庞大产业，未来5至10年将面临巨大挑战和机遇，人工智能等技术有可能为数据安全领域能带来重大突破。

AS-23-Chen—How-APT–Spy-on-the-Media-

标题：黑帽议会：APT组织如何监视媒体行业

背景：

黑帽会议（）是一个关注全球信息安全的顶级会议。本文讨论的议题主要关于针对媒体行业的APT（高级持续性威胁）攻击，对这些攻击的现状、性质和相关技术点进行了分析。

问题：

媒体行业面临多种安全问题，如电子邮件、过时的硬件和软件、社交媒体、信息安全人员配置不足等。这些问题导致APT攻击的增加和蔓延。

技术要点：

APT攻击涉及的技术包括钓鱼、滥用云服务、利用软件漏洞等。

各种APT组织针对媒体行业进行大规模攻击，尤其在政治事件期间。

针对媒体行业的APT攻击方法独特，例如分析敌方的网络策略、制定攻击策略、设计攻击工具等。

解决方案：

加强员工网络安全教育。

实施强有力的安全控制措施。

及时更新和修补软件漏洞。

定期进行漏洞扫描和测试。

结论：

媒体行业不仅要关注自身业务发展和竞争对手，还应重视网络安全问题。通过采取一系列综合性举措，确保网络安全防护体系不断更新迭代，从而更好地应对APT攻击和其他网络安全挑战。

AS-23-Chen-New-Wine-in-an-Old—-

本次议题主要关于黑帽大会上关于针对 的攻击，内容包括：

一、引言

实现对数据库进行攻击，容易触发且难以防御。

介绍了的用途和结构，表述了漏洞利用的原理。

二、BNF Fuzz

使用BNF Fuzz生成与渗透具有很强关联性的SQL语句，提高渗透效果。

相关案例：演示了如何使用BNF Fuzz发现漏洞CVE-2022-3039。

三、AST(抽象语法树) Fuzz

AST Fuzz优化了攻击策略，增强了攻击语句的质量及场景还原。

相关案例：展示了使用改进后的Fuzz发现漏洞CVE-2022-3195。

四、结论

作为的薄弱环节，难以防御这类外部库带来的安全风险。

通过构建不同目标所需的上下文分析，提高了攻击效果。

提出SQL 增加语法与语义有效性，扩大到更多平台或目标。

通过本次议题报告，参与者能够更好地理解在 环境中如何进行SQL漏洞利用，以及如何提高漏洞利用效果。

AS-23–Sweet—Sleep-Mode-to-Break-Wi-Fi–and–WPA23-

黑帽大会议题分析：Sweet : Sleep Mode to Break Wi-Fi & WPA2/3

概述：该议题介绍了一些新的攻击方法，能够突破Wi-Fi加密和破坏WPA2/3网络。主要议题包括：

历史和背景

WEP，WPA1/2和WPA3的概述，以及针对WPA1/2的两种已知攻击（KRACK和）和针对WPA3的一种新的侧信道攻击。

Kr00k漏洞

Kr00k漏洞的实现缺陷和如何管理“安全上下文”的问题。介绍一种新的攻击方法，通过泄漏帧来窃取缓冲区中的数据。

新攻击1：泄漏帧

介绍如何通过控制缓存来泄漏Wi-Fi帧，如何连接到远程客户端的密钥。

新攻击2：网络干扰

介绍两种熟悉的DoS攻击：去认证和去关联，并探讨如何绕过网络管理框架保护（802.11w）的防御方法。

新攻击3：绕过客户端隔离

介绍Wi-Fi客户端隔离的工作原理，并介绍一种攻击方法，可以在不影响其他客户端的情况下连接到网络并窃取数据。

结论

通过这些方法可以对Wi-Fi网络进行攻击，这些攻击方法需要客户端和AP供应商的更新来解决。

AS-23-Lo–the–NTFS-Read-Write-

标题：基于Linux内核的黑帽漏洞找寻

背景：黑帽议题内容旨在分享使用模糊测试技术找寻Linux内核NTFS文件系统驱动程序中的漏洞。

问题：传统模糊测试方法在处理复杂软件上受限，对于新的文件系统效率较低，因此如何找到更有效的方法进行漏洞测试？

技术要点：

挑战：文件系统模糊测试有诸多弊端，包括影象文件大，需要针对不同文件格式设置解析器以提取元数据，需要适应不断更新的新内核等。

解决方案：设计了称为的高效NTFS文件系统模糊器，通过影象解析器与系统调用模糊器相结合进行漏洞测试。

评估：针对Linux NTFS驱动程序，将与传统模糊器进行对比，测试结果显示，更高效地找到并修复漏洞。

解决方案：

影像解析器：通过对影像解析器进行定制，可从元数据替换影像文件的元数据，以提高模糊测试效率。

系统调用模糊器：根据系统调用生成策略，实现对系统调用的模糊测试与参数突变。

优化执行器：通过LibOS执行器实现快速执行、便于管理和扩展等优点。

结论：模糊测试技术在挖掘复杂数字系统中的漏洞方面具有明显的优势。提供了一个针对NTFS文件系统驱动程序漏洞测试的高效解决方案，帮助文件系统维护者关注元数据完整性，提高文件系统的安全性。

AS-23–You-Can-Run-But-You-Cant-Hide-tools

黑帽大会议题内容概括

本次黑帽大会主要涉及到以下三个工具，分别为EtwTi-、CFG-、Etw-，这三个工具的主要作用是监控以及检测恶意软件的行为和入侵攻击。

EtwTi-

该工具是基于事件追踪（ETW）日志技术开发的，用于监控计算机资源利用率的波动情况，以及检测CPU占用率，进而判断系统是否被异常占用，从而发现CPU密集型恶意软件。

CFG-

该工具主要是用于检测隐藏的，通过对二进制文件的CFG（ Flow Guard）结构进行分析，从而发现其中嵌入的，依据该方法可以有效地识别和防御各类恶意程序的入侵攻击。

Etw-

该工具依托事件追踪技术，用于监控检测恶意软件对系统调用的使用情况。它主要通过监控系统的ETW日志来跟踪和记录系统调用的使用情况，从而可以更好的判断系统是否遭受了攻击，并及时采取相应的防御措施。

结论

本次黑帽大会重点介绍了以上三个工具，这些工具的开发都是基于二进制分析以及系统日志监测等技术，用于发现和防御各类恶意软件的攻击和入侵。同时，这些技术和工具的研究对于网络安全领域的发展也起到了积极的推动作用。

AS-23–Alice-In–Land

黑帽大会议题内容总结：Alice in Land: from the eBPF Hole

背景：

本次议题探讨了eBPF技术的安全性问题。eBPF是一项技术，允许用户模式应用程序在内核中运行代码，可以用于跟踪、调试、过滤数据包等操作。然而，eBPF也存在漏洞和安全风险，比如越界访问、逻辑漏洞和提权攻击等。

技术要点：

eBPF – what is it?

介绍了eBPF技术的定义和应用。

eBPF

介绍了eBPF程序的编写和运行方式。

eBPF

介绍了eBPF的权限控制。

eBPF –

介绍了eBPF常见应用领域。

介绍了eBPF存在的漏洞类型和发现方式。

: Input

介绍了eBPF程序中的输入生成方式。

: Error

介绍了eBPF程序中的错误检测方式。

– A New

介绍了一种新的eBPF程序方法和可扩展架构。

Other – and

介绍了eBPF程序的覆盖率和统计信息等特点。

Black Hat Sound Bytes

总结了在eBPF技术安全性方面需要注意的问题和经验教训。

解决方案：

议题讨论了eBPF技术存在的安全风险和漏洞类型，主要包括Verifier、JIT 和eBPF 等方面。通过的方式发现了eBPF的一些漏洞，并提出建议增强eBPF程序的安全性，比如在权限控

AS-23—Is-Dead-Long-Live-

标题： Is Dead. Long Live !

背景：

问题：

技术要点：

保护性进程的实现：

进程和线程保护：

资源保护：

保护性进程的攻击方式：

解决方案：

方面：优化代码验证和分页机制，杜绝 攻击的可能；

防病毒软件厂商：在进程初始化阶段启用 策略，阻止从网络位置加载 DLL；

用户自我保护：使用 .sys 工具阻止 攻击。

结论：

AS-23—-Leads-to-RCE

标题：黑帽会议议题 – 原型污染导致远程代码执行

背景：

问题：

技术要点：

原型链继承的问题：原型链继承使得攻击者可以通过修改原型的属性，进而影响到所有继承该原型的对象实例。

触发原型污染：攻击者可以通过传入带有恶意属性的对象，将其污染并作为载体实现远程代码执行。

代码分析技巧：结合静态与动态分析，使用Grep, 或对目标代码进行筛查。

查找RCE（远程代码执行）：识别并利用已知的原型污染漏洞和其他漏洞，实现远程代码执行。

利用原型污染实现RCE：通过利用原型污染漏洞，攻击者能够在Node.js应用程序中实现远程代码执行。

Node.js团队提出的缓解措施：限制原型链污染的可能性，以及修复可能导致的RCE的漏洞。

开发者防范原型污染：从代码源头预防原型污染，避免将攻击者传入的恶意数据应用到原型链中。

解决方案：

使用无原型创建新对象：通过.(null)或设置属性为null创建无原型对象。

使用Map和Set：以替代对象来存储键值对和唯一值。

检查来源未知的对象：验证JSON数据的结构是否满足要求，只保留对象的自有属性。

缓解Node.js中的原型污染漏洞，降低RCE风险。

结论：

AS-23-Wu-When–Graph-Meets-TTPs—and—TTP–for–

标题：高度自动化和自适应的可执行TTP情报安全评估

背景：

技术要点：

TTP知识图谱构建

构建语义网

自适应攻击路径推理

解决方案：

结论：

AS-23–A-new—in-Java

一、背景

Java应用程序中存在的诸多潜在攻击面，从JDBC（Java数据库连接）接口入手，展示了一系列技术要点和漏洞攻击方法。

二、问题

JDBC接口可被滥用以攻击Java应用程序。

不同驱动程序可能存在不同的安全隐患。

某些配置属性可能导致文件写入或网络/操作系统命令的风险。

三、技术要点

滥用连接资源：对BLOB（二进制大对象）值进行SQL注入。

任意日志文件写入：通过日志记录功能进行远程代码执行。

词法语法兼容性：绕过高版本Java反射限制。

未检查的初始化类：通过未检查的类进行远程代码执行。

不正确的响应处理：利用JDBC连接错误信息泄漏敏感信息。

四、解决方案

使用最小化的允许列表筛选JDBC属性。

使用经过审查的JDBC驱动程序，不允许用户上传。

针对可能影响文件写入和网络命令的配置属性加强保护。

对用户发起的JDBC活动进行沙盒化处理。

AS-23-Koh-Dirty-Bin-Cache-A-New-Code—–Cache

标题：Dirty Bin Cache：一种新的代码注入中毒手段

背景：

问题：

技术要点：

AOT（Ahead of Time）缓存污染

macOS 安全机制

通过研究计算 AOT 查找哈希值进行攻击：

如何绕过 Apple 和 的补丁

2和 x86/x64仿真使用二进制翻译缓存文件来减少二进制翻译量。这些兼容性层使用特定的哈希来检查指定的二进制是否已被翻译。这些哈希从时间戳、目标文件的标头、文件路径等计算而来。

AOT中毒和XTA缓存中毒的新代码注入技术

XTA缓存毒化

解决方案：

2 下的 macOS：

Arm-based :

结论：

通过研究 2 和 ARM架构系统，找到不同的代码注入技术

系统修复补丁并未完全解决问题，因为它依然可以使用降级文件系统进行攻击

对于已签名的可执行文件注入代码，绕过修复，实现代码执行

针对 macOS 和 的 AOT 缓存污染和代码注入依然具有威胁性

小结

研究者对 2、 x86/x64仿真和二进制翻译技术的评估进行了讨论。新的代码注入技术（AOT中毒和XTA缓存中毒）加剧了对它们安全性的关注。此外，研究者提供了实验代码供安全团队和研究人员使用。

AS-23-Young—-Be-For–

黑帽亚洲会议议题总结：安全宣传工作不应只面向安全专业人员

背景：

安全人员开始创造内容，但只有其他安全专业人员感兴趣，导致行业的安全内容并非面向所有人。

议题内容分点如下：

内容及内容创作者的水平

混淆的内容创作原则

研究分析

如何解决这个问题？

使用“Too Long Didn’t Read”原则

从哪里开始？

结论

解决方案：

人们可以通过编写清晰而简洁的指南和步骤，对组织的安全内容进行检查，并与内容创作者交流，以寻求更改的可能性。使用“Too Long Didn’t Read”（太长了没时间读）原则，并询问自己“我的母亲能理解这个吗？”

如果行业本身改变了内容写作方式，内容将更具普及性，且将能够让更广泛的观众受益。

AS-23-WANG-Two-bugs-with-one-PoC–Pixel-6-from–12-to–13

背景和介绍：

漏洞1：

解决方案1：

漏洞2：

解决方案2：

AS-23–Emit-My-

议题内容：本次议题主要介绍了如何利用在线视频会议中的屏幕共享功能泄露用户的打字行为。通过分析键盘敲击的时间间隔、持续时间、敲击力度等参数，可以通过屏幕共享的视频轻松地恢复用户的打字行为，进而可能窃取和模仿用户的密码等敏感信息。

小标题：

背景

问题

技术要点

解决方案

结论

AS-23-Cao—-of-

标题：议题 – 编译器的攻击

背景：

本议题关注中编译器的安全问题。作为一款开源浏览器引擎，广泛应用在不同操作系统和应用中。编译器在中负责将字节码转换为机器码，从而提高执行效率。

问题：