https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

掌握Black Hat 2008最新弱點研究

2009 / 06 / 30
張維君
掌握Black Hat 2008最新弱點研究
第12屆美國Black Hat駭客年會一如往年吸引眾多資安人前來取經,除了相互切磋研究心得,觀察者們也看到大環境演變下的另一隱憂。

  大會主席Jeff Moss在其他訪問中談到對近年BlackHat活動的觀察,他坦言Black Hat所收到的研究論文品質有逐年下降的趨勢,原本以為是資安研究者改將研究成果在其他的資安會議中發表,但深入調查後卻發現並非如此。

  資安弱點交易已形成龐大地下經濟,對資安圈來說不是新鮮事。然而Moss指出正由於此一「市場」的快速發展且越趨成熟,所有的零時差攻擊弱點都有明確行情價,許多過去曾在Black Hat發表演講的研究人員不再需要知名度或掌聲,對他們來說也許賺錢更為實際。而這樣的情形在今年尤其明顯。例如,一個可以入侵別人系統取得SSH Shell的漏洞將價值15萬美金;Cisco產品漏洞甚至高達30萬美金之譜。也在本地觀察到相同情形的阿碼科技執行長黃耀文表示,不止美國有地下經濟交易問題,台灣本地這一、二年也都可看到。要解決此一問題,還是需要公權力的介入,也許政府當局可以思考如何提供一個無後顧之憂的研究環境,讓駭客在此由黑帽轉為白帽。

  談到今年特別火紅的網站掛馬議題,後,加上各種工具讓javascript非常容易變形,使得瀏覽網頁的使用者即使安裝防毒軟體也無力招架。防毒廠商在要兼顧系統效能下難以有效偵測掛馬問題,攻擊容易防守困難,使他們在這波威脅中處於劣勢。對企業資安工作者而言,要避免自己網站淪為掛馬對象,一開始就不要讓駭客有機可乘,不管是安裝網頁應用防火牆、進行原始碼檢測或滲透測試服務,都是可以採取的防護措施。

  此外,在講究先進技術研究的Black Hat裡,黃耀文發現今年演講者似乎看不見前幾大防毒軟體公司,反而是小型獨立開發商擁有獨到技術,可以同時在2個場次發表研究成果,畢竟聽眾技術水準都很高,一聽演講內容不滿意馬上走人,這也是Black Hat與其他商業型資安會議不同之處。

Black Hat 焦點話題

  每年到8月總是會隨著美國Black Hat的舉辦而掀起一股資安熱潮,雖然在世界各地均有Black Hat的舉辦,但還是以美國場最為盛大,許多資安不能說的秘密都會在此時揭露,原因無他,資安市場講究的是「知名度」,在這個盛會中發表一些令人驚奇或別人沒有的資訊,最容易成為鎂光燈的焦點。今年也不例外,在會前就已經炒的非常紅火由Dan Kaminsky所公佈的「DNS弱點」攻擊事件,加上3名麻省理工學院學生要說明如何入侵波士頓地鐵系統卻接到封口令,法官認定會明顯危及公眾運輸系統,對公眾安全構成威脅,因此禁止其公布此問題。這也是近來公權力逐漸干預網路與資訊活動的一個活生生案例。(編輯部整理)


Black Hat 2008 10場精采演講與觀察

  今年談網站掛馬的相關演講有以下3場:

1. Billy Hoffman:一旦惡意程式用VBScript,所有這些偵測方法都完蛋了。
  
  Hoffman提到:「拜MPack所賜,大部分惡意JavaScript都編碼過。現在的大規模自動網站掛馬都是利用SQL Injection漏洞在網頁裡安插惡意的JavaScript。這些JavaScript都經過變形(或稱編碼)。利用MPack甚至可以動態變形,也就是每個訪客所下載的網頁,裡頭的JavaScript都經過不同的變形。」他針對諸多以SpiderMonkey為基礎的偵測方式做破解,列了許多破解方式,基本上分為2類:

(一) 偵測抓網頁的是否為真人或偵測機器人(執行 SpiderMonkey )。

(二) 讓以SpiderMonkey為基礎的自動偵測失效。

  但現在的網站掛馬越來越多是用V B S c r i p t而非J a v a S c r i p t。SpiderMonkey和Caffeine Monkey都只支援JavaScript,一旦惡意程式用VBScript,所有偵測方法都完蛋了。

2 Arian Evans:Web攻擊穿透率幾乎可達100%。

  去年來台演說商業邏輯漏洞的J e r e m i a hGrossman,今年也延續同一主題。而與他同樣是WhiteHat公司的Arian Evans則在談Web上的攻擊,若加上不同編碼方式,穿透率幾乎可達100%,沒有任何Web防火牆可阻擋。這是指Web防火牆設定成利用黑名單的情況下,如果花時間設白名單一樣可以阻擋,但一般稍具規模的站,大部分都用黑名單,因為設白名單是很繁瑣的事,得要有好廠商。整個演講的重點就2個:

(一) 由於UTF-8,攻擊字串幾乎有無限種編碼方式。

(二) 攻擊可分層編碼,一層給web server解,一層給SQL server解。或穿插URL encoding或UTF-8 encoding、HTML decimal entity encoding、SQL server encoding(char())等混合使用。

3. Justin Clarke:SQL Injection指令設計得很好,針對微軟的平台,利用Google(?q=)找尋攻擊點。

  Clarke主要也是講今年初的大規模SQL injection加網站掛馬攻擊,網站會被入侵掛馬都是因為S Q L Injection漏洞,把程式改好才是徹底解決之道。已經第3場講大規模SQL加掛馬了,大家的SQL漏洞快修修吧!

4. 逆向工程也因網頁掛馬而熱門

  Jared DeMott演講題目是逆向工程,其實就是5月他發表“Onion,not parfait : Today''s security check-upand malware for the rest of us”的衍伸,新的逆向技巧主要是針對目前Web上各種惡意程式之分析所用。看來Web成為散播惡意程式主要管道後,由於這些惡意程式加殼的方式都很特別,逼出了很多這樣的研究。

5. PDP:以後rootkit會存在瀏覽器上。

  去年公開G m a i l的C S R F漏洞的P D P ( P e t k o D .Petkov)其研究也很受矚目,“Client-side Security”談了瀏覽器外掛(plugins)的漏洞,包含Adobe PDF、Apple Quicktime、SecondLife、Flash UPnP、Skype等。最後PDP提到第4代rootkit的觀念,認為以後rootkit會存在瀏覽器上。

  筆者認為瀏覽器外掛安全問題,還會存在一陣子,加上在瀏覽器執行的惡意程式,基本上都是以script的形式存在而非執行檔,而script變形非常方便,此情況會徹底擊敗以特徵樣本(signatures/patterns)為基礎的防禦技術,如多數的防毒軟體。

6. RSnake:gmodules.com有XSS漏洞及proxy cache弱點。

  RSnake發現gmodules.com這個網域有XSS漏洞,但是Google卻覺得此非google.com網域,即使有XSS漏洞,駭客也不會因此而能偷到google.com的cookie,所以沒有修復的必要。

  問題是XSS漏洞不只可偷cookie,也可用來網路釣魚或掛馬。如果攻擊者像是利用SEO Posioning那樣的利用GModules.com XSS來掛馬,那麼Google如何看待此問題?筆者最近用Blogger發現上面推薦了很多第三方的widget,這些widget目前仍大量被使用。Blogger被Google買了之後,大家相信Google也因此相信Blogger,但這些擺在第三方的script安全嗎?

  接下來RSnake介紹他做的可擺在gmodules.com下的惡意Google gadget,並介紹gmodules.com的proxy cache弱點,可在上面放惡意程式,他取名做「GMalware」。

7. Paul Royal:惡意程式設計與偵測是無止境的賽跑。

  Damballa的首席研究員Paul Royal指出,對於動態偵測,惡意程式有各種方法偵測sandbox,對於靜態偵測,惡意程式有各種不同加殼技術。Paul介紹如何利用中央處理器對虛擬化的硬體支援(例如Intel的VT),以建構出一個KVM式的sandbox,使得惡意程式無法偵測出,這也已經被置入sandbox執行,並正在被分析。Royal當場解釋原始碼,並秀出此研究的雛形:Azure,與之前其他研究的雛形Renovo和Saffron。

8. Fyodor帶來NMAP新版本。

  NMAP作者Fyodor 這次講的是internet scanning,也就是大規模透過internet的網路層掃瞄。根據這次Fyodor大規模掃瞄計畫的結果,port 80仍然是最常見的開放port,其他依序是:80 (http)、 25 (smtp)、22(ssh)、443 (https)、21 (ftp)、113 (auth)、23 (telnet)、53 (domain)、554 (rtsp)、3389 (ms-term-server)。

  Fyodor講了很多加速NMAP的技巧,例如狀態性防火牆(stateful firewalls)適合用SYN來掃描,而非狀態性防火牆(stateless firewalls)適合用ACK來掃描等,也介紹了NMAP的新功能,例如可以設定最大與最小流量,scripting engine,還有會畫network map的新圖形介面Zenmap,以及可以比對2次掃瞄差別的Ndiff等。

9. 美國家資安中心成立,協調各資安部門間情報。

  第2天的keynote講者是美國政府資安界當紅新人Rod Beckstrom。他以twiki作者的身分,創辦了TWIKI.NET。今年3月,他正式接受美國國土安全部邀請,擔任底下一個新成立的單位-國家資安中心(NCSC, National Cyber Security Center)首席。NCSC是新的跨部門單位,負責協調資安部門間情報的交換。NCSC成立用以擴大情報界對目前針對美國的網路攻擊掌握度,因之前對資安攻擊的掌握過於零散,缺乏一個中央協調的組織。RodBeckstrom其實並無資安背景,但他成功創辦TWIKI.NET,幫助企業用wiki觀念協調資訊交換,是美國國土安全部看中他的原因。

10. 如何從分析記憶體或休眠檔取出眾多資訊。

  最後專門分析Windows休眠檔工具Sandman作者Matthieu Suiche演講,示範從分析記憶體或休眠檔,可以取出非常多資訊。他是修眠檔資安問題的研究先驅,他的Sandman也是現在這方面最領先的工具之一。