Black Hat 2022最值得期待的十大热门演讲

每年8月，来自世界各地的安全和黑客社区成员云集内华达州拉斯维加斯，参加一年一度的Black Hat黑客大会，并进行技能培训、攻击演示、研究成果及新品展示。

今年是该活动成功举办的第25周年，主办方承诺将奉献80多场精彩演讲，主题涵盖硬件和固件黑客攻击、零日恶意软件发现以及最新的APT研究等等。

以下总结了今年大会上10场最值得期待的演讲，大家可以提前关注：

新加坡大学和NCS集团研究人员

汽车远程无钥匙进入（RKE）系统实施的是一次性滚动代码（也称为跳跃代码），这是一种安全技术，通常用于为RKE系统的每次身份验证提供新代码，以防止简单的重放攻击。然而，黑客Kamkar在2015年Defcon黑客大会上展示的RollJam设备，已被证实可以通过截获无线遥控解锁码，破坏所有基于滚动代码的系统。不过，RollJam需要无限期地持续部署直到被利用。否则，如果在没有RollJam的情况下再次使用遥控钥匙，捕获的信号将失效。

研究人员本次将介绍的RollBack，是一种针对当今大多数RKE系统的新型重放和重新同步攻击（replay-and-resynchronize attack）。不同于RollJam的是，即便一次性代码在滚动代码系统中变得无效，RollBack也能利用和重放先前捕获的信号，进而触发RKE系统中的类似回滚机制。换句话说，滚动代码可以重新同步回过去使用的旧代码来发挥作用。

RollJam设备的出现旨在警告汽车或车库门厂商要进行产品升级，引入滚动密码短时间内作废的技术，而数以百万计车主的汽车仍使用“密码永不作废”的系统，这一安全隐患不容小觑。而如今，RollBack的出现无疑加剧了汽车安全隐患，关注此类研究有助于在安全问题被广泛利用前识别并修复它们。

ESET研究人员Robert Lipovsky和Anton Cherepanov

Industroyer2是唯一触发停电的恶意软件Industroyer的新版本，被称为“自震网病毒以来对工业控制系统的最大威胁”，它既是模块化的，又能够直接控制配电变电站的开关和断路器。

与其前身一样，复杂且高度可定制的Industroyer2恶意软件利用称为IEC-104的工业通信协议来征用工业设备，据悉，该通信协议目前正广泛应用于变电站的保护继电器工业设备中。

而且，与2016年发现的Industroyer部署一样，其最新网络攻击的目的也是造成200万人规模的大停电，并且进一步扩大了影响，使恢复变得更加困难。研究人员认为，该恶意软件开发者和攻击策划者是Sandworm APT组织，美国司法部将其归属为某国家级情报机构。

本次演讲将涵盖大量技术细节：Industroyer2的逆向工程，以及与原始版本的比较。Industroyer 的独特之处在于它能够使用专用工业协议与变电站ICS硬件（断路器和保护继电器）进行通信。Industroyer包含四种协议的实现，而Industroyer2只展示了一种协议：IEC-104。这些演示文稿将展示一些使用最具破坏性恶意软件的顶级威胁参与者的技术、战略和工具。正如我们所知，这种恶意软件攻击具有一些重大的地缘政治影响，所有新的披露都将受到密切关注。

约翰·霍普金斯大学的Patrick Wardle、Objective-See和Tom McGuire

在本次演讲中，来自约翰·霍普金斯大学的研究人员将讨论影响我们网络安全社区的系统性问题：企业实体对算法的盗窃与未经授权使用。企业实体本身也是网络安全社区的一部分。首先，研究人员将介绍各种可以自动识别商业产品中未经授权代码的搜索技术。然后，将展示如何利用逆向工程和二进制比较技术来证实这些发现。接下来，他们会在实际案例研究中应用这些方法。

预计该演讲将提供可操作的要点、建议和战略方法，以帮助受害者应对故意盗用算法的商业实体（及其法律团队）。这些演示强调了供应商在与安全社区打交道时保持诚实的重要性。

谷歌安全工程团队

在过去的12个月里，谷歌TAG（威胁分析小组）和Android安全团队已经发现并分析了监控软件供应商的多个疯狂的1day/0day漏洞。

该演讲将公开有关CVE-2021-0920的技术细节，这是一个在野0day Android Linux内核漏洞，尽管目前认知度较低，但与其他漏洞相比，它表现得更加复杂和神秘。该演讲还将讨论开发CVE-2021-0920漏洞利用的供应商，并将多个Android 0day/1day漏洞利用样本连接到该供应商。

通过分析该供应商的漏洞利用，研究人员发现了一个针对Android设备的完整链。该漏洞利用链使用1day/nday浏览器漏洞，并利用CVE-2020-16040、CVE-2021-38000和0day CVE-2021-0920 漏洞来远程遥控 Android设备。

随着NSO Group、Candiru和Cytrox等公司陆续登上全球头条新闻，私营商业监控软件供应商已被视为危险的间谍软件来源。谷歌的研究团队很少披露这些漏洞利用公司的运作情况，而这次演讲肯定会很火爆。

Quarkslab研究人员Damiano Melotti和Maxime Rossi Bellom

Titan M是谷歌在其Pixel 3设备中引入的芯片，在之前的研究中，研究人员分析了这款芯片并展示了它的内部结构和保护措施。基于这个已知背景，在此次最新演讲中，他们将关注如何在一个受限目标上进行软件漏洞研究。

研究人员将深入探索其黑盒模糊器（black-box fuzzer）的工作原理及其相关限制。然后，还将进一步展示基于模拟的解决方案如何设法胜过硬件绑定（hardware-bound）方法。通过结合覆盖引导的模糊器（AFL++）、模拟器（Unicorn）和针对目标量身定制的一些优化，研究人员已经找到一个有趣的漏洞，该漏洞只允许将单个字节设置为1，并且对偏移量有多个限制。尽管看起来很难利用，但研究人员还是展示了如何设法从中获取代码执行，并泄露了安全模块中包含的隐私信息。

Quarkslab的移动安全研究团队是世界上技术最熟练的团队之一，他们通过芯片演示的Pixel RCE肯定会引起人们的注意。

网络安全审查委员会（CSRB）

很少看到网络安全审查委员会（CSRB）的公开分享，这次其专注的主题为Log4j危机，旨在确定有哪些主要的差距会持续存在，并为组织提供实用性建议以避免下一场“零日大危机”。

本次CSRB演讲的主要内容将包括Rob Silvers（DHS负责政策的副部长兼网络安全审查委员会主席）和Heather Adkins（谷歌安全工程副主席兼副总裁）讨论Log4j漏洞审查、CSRB的主要调查结果，以及行业和政府如何实施这些缓解建议。

CSRB是一个独特的机构，很高兴听到网络安全领导者谈论审查委员会如何帮助推动网络安全的转型变革。委员会早前发布的第一组安全建议已经在业界被热议，但是还有很多有争议的细节有待解决。

SentinelLabs研究人员Juan Andres Guerrero-Saade和Tom Hegel

虽然我们经常将间谍活动、知识产权盗窃或经济利益视为国家行为体黑客组织的行动目标，但还有一个更隐蔽的动机值得关注，APT正在捏造罪证以陷害和监禁受到攻击的对手。

本次演讲的重点是ModifiedElephant的活动，它是一个与商业监控行业关联至少十年的威胁组织。更重要的是，研究人员将揭露ModifiedElephant是如何捏造证据将被攻击者定罪的。如果这还不够令人担忧，研究人员还将展示多个区域威胁行为者是如何在这些受害者被捕之前追踪他们的。这一系列活动披露了一些政府如何滥用技术来压制异见人士。

雇佣黑客行业与国家行为体黑客组织的融合导致了一些令人吃惊的恶意软件发现。我们需要警惕这种行为对公民社会的深远影响。

谷歌红队研究人员

尽管手机供应商数量众多，但大多数Android设备都依赖相对较少的系统级芯片厂商。谷歌决定用Pixel 6打破这种模式。从安全角度来看，这意味着我们不需要使用经过多年测试和使用的代码，而是需要一个新的高价值设备固件堆栈。

本次演讲将讨论Android如何在重新设计的Pixel 6发布前对其进行保护，重点关注Android 红队（Red Team）的观点。该团队将演示如何使用模糊测试、黑盒模拟器、静态分析和手动代码审查来识别关键组件中特权代码执行的机会，例如Titan M2芯片上的第一个端到端概念证明（PoC）。

大型设备商的红队公开分享漏洞和安全缺陷的情况相对较少。事实上，在本次演讲中，Android红队计划展示多个安全关键演示，以证明红队对产品发布周期的价值。

PortSwigger研究人员James Kettle

最近，HTTP请求夹带(HTTP request smuggling,简称 HRS)攻击开始兴起，多个门户级网站被攻陷，不过目前发现的威胁还仅限于具有反向代理前端的系统。不过，未来的情况可能更加糟糕。

在本次会议中，研究人员将展示如何将受害者的Web浏览器变成一个异步的交付平台，通过暴露单服务器网站和内部网络来转移请求走私的边界。在此过程中，您将学习如何将跨域请求与服务器漏洞相结合，以投毒浏览器连接池、安装后门和释放异步蠕虫。通过使用这些技术，研究人员已经成功破坏了包括Apache、Akamai、Varnish、Amazon和多个Web VPN在内的目标。

HRS是一种常用的黑客技术，它显著提升了webapp的安全风险。James Kettle和PortSwigger公司的研究人员在该领域一直处于领先位置，此次课程和演示的价值毋庸置疑。

NCC集团研究员Iain Smart和Viktor Gazdag

在过去的5年中，研究人员几乎对所有被测试的持续集成和持续交付（CI/CD）管道产品，均成功实现了供应链攻击。在此次演讲中，研究人员将解释为什么CI/CD管道是软件供应链中最危险的潜在攻击面，以及攻击中经常遇到的技术类型、它们的使用方式等。接下来，他们还将讨论在自动化管道中滥用预期功能的特定示例（会带有具体演示），并将构建管道从简单的开发人员实用程序转变为远程代码执行（REC）即服务。

软件供应链安全一直是热门话题，对CI/CD管道攻击面的研究成果肯定会引起最高级别的关注。

https://www.securityweek.com/black-hat-2022-ten-presentations-worth-your-time-and-attention

https://usa.kaspersky.com/blog/black-hat-2022-preview/26873/