這是惡意黑客膽大妄爲的一年,某些手法此前根本想象不到——佯攻、加密貨幣劫持、社會工程和破壞性惡意軟件行動。但即使是在2018年民族國家和網絡犯罪攻擊日漸猖獗的背景下,安全研究人員仍是找到了一些以黑治黑預先制止壞人攻擊的創新手法。 |
2018年,包括青少年在內的白帽子黑客攻入了一系列重要目標,好比機載衛星設備、美國大選仿真網站和吸塵機器人。他們還運用社會工程和網絡釣魚者本身的戰術和人工智能(AI)挫敗了壞人本身的陰謀,在漏洞被濫用以前搶先曝光。
咱們不妨先忘了那些失敗的比特幣挖礦實驗、家庭路由器中的俄羅斯黑客和網絡上潛伏着的武器化PowerShell腳本,花幾分鐘時間回顧一下安全研究人員今年的創新黑客壯舉。git
1. 飛機上的黑客github
雖然耗時四年,但 Ruben Santamarta 最終證實了他在2014年報告的衛星設備固件重大漏洞是能夠被武器化的。這位IOActive的研究員從地面黑進了機上WiFi網絡,暗中觀察乘客的互聯網活動,並侵入機載衛星通訊設備,充分展現了他以前得出的漏洞利用理論的正確性,駁斥了當時某些專家的懷疑。
2018年8月美國黑帽大會上演示以前,Santamarta就告訴媒體:每一個人都說這不可能。但這從根本上是可行的。現在有了證實。
Santamarta稱本身在衛星通訊設備中發現了一系列後門、不安全協議和網絡錯誤配置,影響西南航空、挪威航空和冰島航空公司的數百架商業飛機。儘管這些漏洞可使黑客遠程奪取飛機機上WiFi控制權,但鑑於機上WiFi網絡是隔離且經配置的,目前對飛機自己還沒有顯現出什麼安全威脅。
另外,Santamarta在黑帽大會上透露,2018年11月掃描挪威航空公司從馬德里飛往哥本哈根的航班上WiFi網絡時,他遭到了真正的惡意軟件的阻撓:機上衛星調製解調數據單元中運行有一個後門,Gafgyt物聯網僵屍網絡中的一臺路由器正在訪問該機上衛星通訊調制解調器,掃描新的僵屍網絡預備役。幸運的是,飛機上的衛星通訊終端無一被感染,但這也敲響了航空業潛在威脅的警鐘。算法
2. 語義曝光網絡釣魚者安全
社會工程是最簡單最可靠的網絡攻擊第一步,並且垃圾郵件過濾器確定濾不掉全部的網絡釣魚郵件。因此,兩名研究人員設計了經過「黑」攻擊者所用語言來檢測社會工程師/網絡釣魚者的方法:他們建立了一款工具,能夠對文本進行語義分析,運用天然語言處理識別不明確行爲,判斷惡意意圖。
加州大學教授 Ian Harris 和Lootcore首席顧問 Marcel Carlsson 基本上經過文本或語音轉換的文本中所用的語言就能暴露出攻擊者。Harris和Carlsson的網絡釣魚者黑客工具檢測電子郵件中尋求隱私數據和惡意指令的問題——這些一般都是潛在社會工程攻擊的跡象。該工具也可用於標識惡意文本消息和電話。
此類文字黑客工具會對照隨機抽取的網絡釣魚郵件對比文本中的動賓結構短語,分析語義和選詞。
爲何社會工程老是引人深究?這是由於任何信息安全衝突中社會工程都是其中最弱一環。人們老是很善良,樂於助人。你固然能利用這種善意或者操縱他們把信息交給你。網絡
3. Mac-A-Mal框架
蘋果公司直到2012年都在宣傳Mac對病毒免疫,但現在,MacOS電腦也落入了惡意軟件做者的視野。
荷蘭 Sfylabs BV 惡意軟件分析師 Pham Duy Phuc 和意大利特倫託大學教授 Fabio Massacci 決定改良不斷壯大的Mac惡意代碼生態系統的檢測及分析過程。這一過程目前爲止都是繁瑣的人工過程,兩位安全研究員爲此開發了一套Mac-A-Mal框架,融合靜態及動態代碼分析以查找並暴露Mac惡意軟件的內部機制,包括最爲隱祕的那些變種。
他們的工具能夠靜默運行,能抓取惡意軟件行爲模式,好比網絡流量、規避方式和文件操做。Phuc表示:
該工具能在沙箱中拾取惡意軟件樣本和執行中的實際行爲數據。
兩名研究人員用該工具發現了數百個新型Mac惡意軟件樣本。他們發現,2017年VirusTotal上的半數Mac惡意軟件都是後門,而大多數變種都是廣告軟件。機器學習
4. 上帝模式工具
硬件黑客在2018年很火。2018一開年就是舉世震驚的現代微處理器漏洞幽靈和熔斷的曝光,而後是各類防濫用緩解措施。夏天時一名研究人員披露了他使人不寒而慄的CPU安全功能黑客手法。
研究員 Christopher Domas 發現了突破現代 CPU ring權限模式的突破方法,讓他能夠得到計算機內核級權限並繞過軟件和硬件安全措施檢測。8月份的美國黑帽大會上Domas作了題爲《上帝模式解鎖:X86 CPU 硬件後門》 的演講。
Domas分享了他是如何經過某些機型x86微處理中的一個硬件漏洞奪取到主機「上帝模式」控制權的。該後門在某些系統上默認啓用,可令攻擊者獲取內核控制。不過,Domas表示,僅 VIA C3 CPU 可被該攻擊攻破,後面的處理器可對此漏洞免疫。
他將本身的漏洞利用工具 Project Rosenbridge 放到了GitHub
( https://github.com/xoreaxeaxeax/rosenbridge )上供其餘研究人員實驗。工程主頁上Domas寫道:
本項目僅做爲案例研究和思惟實驗,例證後門可在當今愈來愈複雜的處理器中出現,證實研究人員和終端用戶也有可能發現此類功能。此處放出的工具和研究爲更深層次的處理器漏洞研究提供了起始點。學習
5. 吸塵機器人間諜測試
先是冰箱,如今連吸塵機器人都開始窺探家中動靜了。
Positive Technologies 的研究人員發現東莞蒂奇360吸塵機器人中存在漏洞,可變身移動監視設備,經過其內置網絡攝像頭或智能手機控制的導航功能監聽消費者對話和窺探主人行動。
該遠程代碼執行漏洞可令攻擊者獲取設備超級用戶權限——經過了設備默認登陸功能的脆弱身份驗證以後。另外還有一個漏洞存在於該設備的固件更新過程當中,攻擊者能夠用手插入惡意microSD卡。
吸塵機器人的間諜功能很明顯:攻擊者可將之轉變爲監視消費者和盜取消費者信息的中心,甚至強徵該吸塵機器人進入IoT僵屍網絡大軍。這是消費級IoT設備加入互聯網訪問功能卻沒有考慮安全問題的又一個例子。
6. AI即武器
戰勝對手的途徑之一就是像對手同樣思考。Cyxtera Technologies 的研究人員即是受這種思惟啓發,打造了模擬壞人武器化AI用於更精準網絡釣魚攻擊的算法。
DeepPhish算法旨在學習攻擊者是如何利用AI和機器學習工具繞過惡意行爲及內容安全監測工具的。2018年底,Cyxtera研究副總裁 Alejandro Correa 表示,超過一半的網絡釣魚攻擊將經過存在惡意 TLS Web 證書的網站發起。攻擊者往本身的釣魚網站中加入Web證書毫無難度。
Correa及其團隊收集攻擊者手動建立的URL,建起神經網絡學習這些URL中哪些突破了黑名單或其餘防護措施。而後他們即可以產生出成功率更高的網絡釣魚URL。一次測試中,攻擊者原先的成功率僅爲0.7%,用了DeepPhish工具後成功率激增至20.9%。
該工具可以使咱們在面對加持了AI技術的攻擊者時有能力找出防護方法,與之對抗。
7. 腳本小子
2018年的DefCon安全大會上,兩名11歲的小黑客往佛羅里達州州務卿的模擬網站中植入了SQL注入代碼。15分鐘裏,他們攻入網站後臺,修改了投票計數報告。 Emmett Brewer 在10分鐘裏就破解了該模擬網站,5分鐘後,與他同齡的Audrey修改了模擬佛羅里達州選區投票網站的票數。Brewer把選票全計到了本身頭上,發了條推特:我以爲我贏下了佛羅里達州中期選舉。 幸虧該網站並不是佛州網站的精確模擬,但使人擔心的是,兩位小朋友僅僅是看過SQL注入教程就黑掉了模型網站——這些講義是 DefCon R00tz 兒童訓練營的組織者發放給這些小黑客的。 DefCon投票村共同創始人兼組織者 Jake Braun 稱:投票與選舉黑客活動和R00tz訓練營並非要製造一種「好容易啊」的感受,選舉系統最有價值的部分是這些網站。