GEEKCON 2024·新加坡:追求极致,继续闪耀
“黑暗并不能驱散黑暗,只有光明才能做到。”白帽黑客就是那束光明,他们用技术和智慧来对抗网络世界的黑暗势力。
近年来,全球范围内的勒索软件攻击、大规模数据泄露以及政府和企业系统的黑客入侵等事件频发,给社会带来了严重影响,也给网络安全行业带来了巨大挑战。白帽黑客们如同现代的骑士,他们用技术手段帮助发现和修复系统漏洞,维护公平与正义。他们怀揣着对技术的热爱和信仰,以极客精神为驱动,不断追求实力与极致。
GEEKCON 2024 · 新加坡现场
GEEKCON 2024 首次登录新加坡
2024年5月25日-26日,GEEKCON 2024·国际站在新加坡体育城OCBC竞技馆举办,这场为期两天的极客安全嘉年华汇聚了智慧、极致与感动,无疑是一场充满创新和激情的技术盛宴。据悉,大会聚集了近 1000名参会者,来自超过 12 个国家的 40 支参赛团队和 26 位演讲者。在GEEKCON 的聚光灯下,我们看到了来自世界各地的年轻面孔,他们站上顶端、走向舞台,共同探讨技术的边界,探索未来安全的可能性。再次印证了GEEKCON的初衷:让“白帽黑客”的能力可视化、价值可度量。
出席本次GEEKCON大会的嘉宾有:【Philip Yeo】:前新加坡总理办公室特别顾问、前新加坡科学技术研究局主席、前新加坡经济发展局主席、GEEKCON组委会主席。【郭令明】:新加坡丰隆集团主席、CDL & MHR 执行主席、GEEKCON荣誉顾问。
Dr. Catherine Wu
“新加坡在创造有影响力的专业知识交流、推动科技创新方面一直处于前沿,而GEEKCON 2024 国际站同样秉持技术、创新、开放的初心,将世界各地的人才聚集,搭建一个敢于展示、尽情分享的平台,从而推广网络安全行业知识、培养网络安全顶尖人才。非常感谢嘉宾、演讲者和合作伙伴,是你们让GEEKCON 首次登陆新加坡!同时,我们欢迎技术爱好者、学生、行业领袖和网络安全专业人士加入我们,参加GeekCon。”Dr. Catherine Wu说道。
五大专场
本届GEEKCON 2024·新加坡站设置了五大专场:“AI & HACKERS”、“30+5深度分享”、“DAF挑战赛”、“对抗研判AVSS挑战赛”、“Web 3 & HACKERS”,涵盖人工智能及其技术趋势、深度技术议题分享与demo演示、真实设备与环境中的攻防对抗、真实世界的 Web3 攻击等。炫酷的比赛现场,惊险的对抗角逐均展现了白帽黑客对漏洞的精准捕捉与利用能力,每一次挑战都是对自我的超越,每一次分享都是对知识的传承。
AI & HACKERS:智慧之战
人工智能与黑客:年度主题竞赛和辩论,揭示人工智能行业的攻击与防御。
1、The Art of Deception:Large Model Jailbreak Competition
当今数字化时代,人工智能正日益融入我们的生活和工作中,为我们带来了前所未有的便利和效率。全球范围内企业的AI使用率大幅提升,从另一层面来说,也在探索人工智能的潜力。然而我们知道,没有绝对安全的技术,如果人工智能处理不当或管理不善,可能会造成非常严重的后果。
GEEKCON 2024·新加坡开场——大模型越狱赛,本场1V1赛的目标是让选手对现有的大语言模型(Gemini1.5pro、GPT4o、GPT4、Claude3等目前最先进的大语言模型)进行越狱攻击,并现场对比展示双方选手的攻击成功率。
Liu Guangming
Li Yakai
10min倒计时开始,两位选手神情专注,手指飞快地在键盘上敲击,现场大屏实时显示双方分数。2位选手的精彩对决,将现场气氛推向火热。最终,现场攻击效果显示,对最新的模型如GPT4、GPP4o、Gemini等,绕过率达80%以上。
据悉,大模型安全蓝军日常工作涉及Jailbreak攻击、模型应用与服务的渗透测试、端侧大模型服务的安全评估、对抗样本的生成、模型逆向、安全策略开发等。
演讲者介绍道,大模型自身的防护体系包括输入输出过滤、指令对齐、系统Prompts保护以及推理引导。欺骗大模型常见核心技术有:角色扮演、DAN(Do Anything Now)、恶意指令注入、开发者模型、对抗注入等,以及如何利用虚拟场景绕过法律限制和道德边界等。
那么如何自动化构建欺骗大模型的测试用例?其核心思路是利用大模型自身的语言优势和学习能力去对抗大模型,并采用反馈机制和对抗训练的方法不断提升优化大模型的对抗样本生成能力,并配合大模型变异工具,达到最佳的绕过效果。
作者在面对挑战时,有几个难点需要突破,例如大模型的上下文窗口限制、大模型的幻觉以及大模型自身的价值观对齐问题。如何突破这些技术难点呢?
1. 模型幻觉:使用知识库对模型幻觉进行抑制,降低模型输出环境的概率。
2. 模型自身的价值观突破:首先准备恶意、诱导方面的大模型微调指令数据和增量预训练数据,然后毒化模型,使得模型具有攻击性。
3. 模型指令对齐:通过微调指令,让大模型实现恶意内容的输出,而不是拒绝输出。
最后通过变异工具进行二次加工合成,例如多语言、数据执行、敏感词转译、翻译等,从而增加绕过率。在这场角逐中,成功并不仅仅意味着战胜人工智能,更是对我们理解和运用这项尖端技术的一次深刻检验。
2、Changing Faces with AI Disguise Glasses
随着人工智能技术的迅猛发展,人脸识别系统被广泛地应用于地铁、酒店、机场、小区等需要身份验证的场景中,为我们的生活带来了诸多便利。然而,正如硬币的两面,这项技术也存在着一些潜在的风险和挑战。若人脸识别技术一旦被破解,很可能出现隐私泄露、财产损失等公共安全风险。
GEEKCON现场,一场名为“Changing Faces with AI Disguise Glasses”的挑战项目引起了观众的兴趣。挑战开始前,主持人拿出一张提前打印好的 Philip Yeo 的照片。
提前打印好的 Philip Yeo 照片
挑战共分为4轮,分别是Philip Yeo(亚洲男性)、邓丽君(亚洲女性)、Prince William(欧洲男性)、Taylor Swift (欧洲女性)。随即,挑战者戴上特制对抗眼镜并上下左右快速摆动头部,利用其攻击人脸识别系统技术。
Li Lianji
最终结果
研究者发现,许多在数据集上表现良好的算法非常容易被人眼不可见的对抗样本所欺骗,导致AI系统判断失准。如下图所示,可以通过对图像添加微小的扰动,构造对抗样本,从而高概率的欺骗在良性样本上工作良好的深度学习图像分类模型。
对人脸识别模型的对抗攻击
为了抵御对抗攻击对人脸识别系统的攻击,研究者研发了图中所示的对抗眼镜,用来评测现有人脸识别系统的安全性。该眼镜是对抗攻击算法研发的物理成果体现,凝结了众多科学界在对抗攻击技术领域的研究成果。我们通过大量的实验发现,目前市场上大多数基于二维图像比对的人脸识别系统和活体检测方案都存在严重的安全性问题。
对抗眼镜
由于人脸识别技术已经过几十年的发展,相对来说技术方案比较成熟,因此检测这种成熟技术的安全漏洞是项不小的挑战。在技术层面上,主要存在以下几个难点:
(1)欺骗活体检测
(2)提升人脸相似度
(3)对抗样本迁移性
(4)物理世界鲁棒性
(5)性别和人种差异影响
通过对技术难点的分析,研究者团队设计了对抗攻击人脸识别系统的启发式算法。
对抗攻击人脸识别系统示意图
通过精心设计的用来检测人脸识别算法安全漏洞,这种技术存在难以突破活体检测、难以提升对抗样本和受害者人脸相似度、难以提升对抗样本黑盒迁移性、难以实现物理世界鲁棒性和跨性别、跨人种攻击困难等技术难点。通过对以上技术难点的分析,研究者设计了一套启发式算法,逐个解决每一项技术瓶颈。经过不断的优化,最终实现成功攻击人脸识别系统的目的。
3、Machine Language Model For Binary Analysis
二进制分析一直是网络安全领域中一项具有挑战性的任务,因为二进制程序的复杂性和优化特性使得其难以理解和分析。然而,随着大型语言模型的发展,一种全新的机器语言模型(MLM)解决方案应运而生。
Zhang Chao
这种MLM不仅可以通过自然语言搜索二进制程序功能,还可以生成更具可读性的反编译代码,为二进制分析带来了全新的视角和可能性。
在本次演讲中,演讲者带来的针对二进制分析的大语言模型为我们带来了完全不一样的二进制分析视角,通过自然语言对二进制程序功能进行搜索和通过AI生成可读性更强反编译代码的能力让观众大受震撼。未来仍将深入探讨这一创新技术如何在二进制分析中发挥作用,为网络安全领域带来更多的机遇和挑战。
深度探索30+5,揭秘网络安全攻防奥秘
“30+5”深度分享,是指演讲嘉宾在现场深度讲解技术背景、实现路径及原理(限时30分钟),而后还需进行对应的技术演示(限时5分钟)。这种“演讲+实操”的模式对于现场观众十分友好,不仅能让观众在理论层面上了解,还能现场观看具体攻击过程,让人印象尤为深刻。
1、Operation Triangulation: Do Not Attack iPhones of Researchers
Operation Triangulation是一个专门针对苹果的iOS设备的高度复杂恶意软件攻击事件,利用了此前未知的零点击漏洞链,允许攻击者提升权限并实现远程代码执行。其名称来源于攻击者使用的三角形图案,作为iMessage消息的附件,隐藏了恶意代码。
构成高度复杂的漏洞利用链的四个漏洞适用于iOS 16.2之前的所有iOS版本:
-CVE-2023-41990:ADJUST TrueType 字体指令中存在一个漏洞,允许通过恶意 iMessage 附件远程执行代码。
-CVE-2023-32434:XNU 内存映射系统调用中存在整数溢出问题,允许攻击者对设备物理内存进行广泛的读/写访问。
-CVE-2023-32435:在 Safari 漏洞中用于执行 shellcode,作为多阶段攻击的一部分。
-CVE-2023-38606:使用硬件 MMIO 寄存器绕过页面保护层 (PPL) 的漏洞,覆盖基于硬件的安全保护。
Boris Larin
卡巴斯基实验室漏洞负责人Boris Larin讲述了他们如何发现这一攻击的具体过程。首先,Kaspersky的团队通过其专用的Wi-Fi网络和SIEM系统(KUMA)监测到多个iPhone设备定期连接到一些未知域名。进一步分析发现,这些设备在每次连接这些域名之前,总是从iMessage服务器接收一些数据。Kaspersky的团队对此进行深入调查,并通过iTunes创建文件系统备份,找到了删除的iMessage附件和由BackupAgent以及Webkit.WebContent生成的网络活动痕迹。
经过几个月的分析,团队终于了解了整个攻击链。攻击者首先通过一个PDF文件和iMessage账户发送恶意信息,这些信息包含TrueType字体漏洞(CVE-2023-41990)。TrueType字体是一种由苹果开发并与微软共享的字体格式,在Windows和iOS系统中均存在多个漏洞。攻击者利用这些漏洞,通过使用未公开的指令来实现远程代码执行。
接下来,攻击者通过签名指针技术获取到系统内关键函数的指针,并用伪造Mach-O头文件等手段进一步进行代码注入和执行。然后,他们通过NSExpression和NSPredicate类的ROP/JOP技术,实现了更高级的内核漏洞(CVE-2023-32434)攻击。
最后,攻击者利用苹果A12-A16 Bionic SoC中的硬件特性(CVE-2023-38606)绕过内核内存保护,写入特定地址并执行恶意代码。此攻击方法极其复杂且有效,展现出了攻击者对系统内部结构和硬件特性的深刻理解。
Boris Larin 详细介绍了这一复杂的攻击链,从最初的漏洞利用到最终的内核控制,每一步都展现了攻击者的高超技术和对系统的深层掌握。这次攻击不仅揭示了iOS系统的多处安全漏洞,还展示了恶意软件的高水平隐蔽性和持久性。
著名的“三角测量”,一步一步如同福尔摩斯探案般精彩,演讲者非常精彩地还原了整个攻击链,整个攻击过程精巧复杂,第一步的发现耗时90天,中间 JavaScript 的一个利用写了11000行代码,最终达到攻破苹果手机并且能够拿到目标的大量文件。在感慨攻击者能力之强的同时也在感慨分析人员的不懈坚持和超强实力,从他们身上感受到了闪耀的GEEK精神:好奇、耐心、专注、追求极致。
同时,此漏洞也给我们带来了一些警示:
-及时更新:iOS设备用户应及时更新系统和应用程序,以修复已知漏洞,提高设备的安全性;
-不轻信任何陌生信息:在处理来自不熟悉来源的iMessage附件时要谨慎行事;
-定期检查设备:定期检查设备是否存在异常行为,如发现异常情况,及时采取措施清除恶意软件;
-加强网络安全意识:提高用户对网络安全的意识,避免泄露个人敏感信息,保护自己的隐私安全。
2、The Secrets Behind Advertising Traffic
数字化时代,广告流量已成为企业营销中不可或缺的一环。然而,广告主们却面临着一个严峻的挑战:广告流量劫持。
这种现象指的是不法分子通过各种手段操纵广告点击量,让广告主们花费大量资金却无法获得真正的曝光和转化。广告流量劫持不仅损害了企业的营销效果,也影响了整个广告生态系统的健康发展。因此,深入探讨广告流量劫持背后的秘密,揭露这些流量中隐藏的非法活动,了解其产生原因和影响,并针对这些非法广告行为提出对策,将有助于广告主们保护自身利益,提升广告投放效果。
Wu Yifei(左) Gao Cuiying(右)
来自京东安全獬豸实验室的研究者分享了广告主们正在面临的广告流量劫持问题。京东安全发现,攻击者会潜伏在品牌自然流量的入口劫持用户,使得自然流量强行转换为付费流量。这种行为会消耗广告主们的广告费,并且对其用户体验造成影响。
针对该问题,京东安全獬豸实验室从异常流量分析和端上复现两个角度阐述了针对这类劫持如何进行防御。研究人员经过验证发现,攻击者大都利用特权来实施劫持,例如输入法,剪切板,无障碍服务以及厂商特权等。例如,用户为了方便使用一些功能而可能会开启无障碍服务,这也给攻击者留下了可乘之机,他们也会利用无障碍服务偷偷帮用户点击广告。
由于手段的隐蔽性,这类流量劫持问题往往很难被发现。为此,京东安全建议广告主与媒体平台、厂商密切协同,联合排查特权流量问题,及时止损,并且共建防御机制;建议用户要谨慎使用特权APP,同时在面对异常广告跳转以及异常弹窗时能够积极反馈。
3、TuDoor in the DNS Wall: The Fastest DNS Cache Poisoning Attack
《墨子·备突》中写道:“城百步一突门,突门各为窑灶”。“突门”是独特和珍贵的暗门类型,是所有暗门中最为秘密的一种。“突门”内侧为空,外侧面用一层砖砌上,从外侧看上去与城墙无异,一旦战时需出兵,士兵们可从内侧破门而出,出奇制胜。
突门是长城内的一条隐藏通道,其历史可以追溯到远古时代,供侦察兵谨慎穿越。然而,如果得不到充分保护,其历史意义就会因对手利用的潜在威胁而受到损害。
Duan Haixin
Li Xiang
演讲团队发现,在 DNS 中,也存在一个类似的隐藏漏洞 —— 一个可供利用的秘密门户。“TuDoor”使用了古代一种叫做“突门”的攻击手法做类比,非常形象地引出了议题的核心主题——DNS 缓存投毒。
演讲者首先梳理了 DNS 缓存投毒攻击的关键节点,并做了相关介绍。通过广泛的实验,研究者团队证实了这些攻击的可行性,并且对现实世界的影响非常大。同时分析表明,BIND、PowerDNS、微软DNS等20多种主流DNS软件容易受到TuDoor攻击。
然而这些技术的问题在于攻击需要的时间太久,所以研究员通过分析28款DNS响应的流程来找到其中一些软件在响应过程时状态转换的漏洞,利用这些漏洞可以在1s之内完成攻击,速度非常之惊人,和之前介绍的攻击技术根本不是一个速度级别。
4、Surviving MiraclePtr: Navigating of Webp and Beyond
2023年9月,一个影响数亿设备的libwebp漏洞(CVE-2023-4863)被曝出,三大厂商Apple、Google、Mozilla相继修复此漏洞。
据了解,libwebp是一款开源的用于编码和解码WebP图像格式的组件库,应用比较广泛。它是 WebP 图像使用的基础库,也就是说凡是支持渲染 WebP 的软件,基本上都集成了这个库,因此这个库发生漏洞后,所有集成该库的软件都受影响。
这一不寻常的漏洞引起了DARKNAVY研究员的注意,立即展开对此漏洞的研究。
Kira Chen
经研究后发现,在Chrome浏览器中,libwebp漏洞依然能够被利用,主要涉及Huffman编码时的堆缓冲区溢出问题。攻击者可以通过操控CSSVariableData对象和跨线程堆占用技巧,重写引用计数以触发Use-After-Free(UAF)漏洞,最终实现任意代码执行。通过堆喷射和跨Bucket分配技术,攻击者能够精确控制内存布局,利用漏洞进行深度内存操控,最终完成对受害者机器的完全掌控。
接下来,研究员继续讨论了内存破坏漏洞在Chrome安全研究的现状。MiraclePtr(BackupRefPtr)在Chrome中作为一种强有力的缓解措施,极大地缓解了Use-After-Free(UAF)漏洞被利用,自M98版本起在Windows上实验性部署,并在M115版本起在所有主要平台上启用。然而,内存破坏漏洞仍然存在,特别是在GPU进程中。尽管MiraclePtr有效地防止了很多UAF漏洞的利用,Chrome中仍存在许多非UAF类型的内存破坏漏洞。
议题讨论了DARKNAVY在多个模块中实际发现的漏洞,具体实例包括Issue 40936123、CVE-2023-5482和CVE-2024-3157,展示了WebUSB模块中的整数溢出和OOB访问等内存破坏漏洞的详细成因。安全机制不断增强,而攻击者仍在通过复杂的方法尝试绕过这些保护措施,Chrome的安全研究也在不断进化以应对这些挑战。
5、Hardening Android: Insights and Systemic Protections from Google's Front Lines
Google Android团队的议题主要集中在提升Android系统的安全性,涵盖多方面的防护措施和漏洞修复策略。
首先,Android 10引入了对后台活动启动的限制,但仍存在漏洞,攻击者可以绕过系统检测。Google通过多种检查机制,如应用可见窗口、特权应用及具有后台活动启动权限的应用来解决这一问题。
Hao Ke、John Wu、Azhara Assanova
其次,虚拟显示滥用和绑定可见应用服务的问题导致系统错误判断,Google通过排除虚拟显示上的展示窗口和引入BIND_ALLOW_ACTIVITY_STARTS权限进行修复。
此外,PendingIntent的问题也被解决,通过要求在Android 14和15中发送者和创建者显式选择加入,防止系统UID创建的PendingIntent被劫持。为加固Intent的使用,Android 14强制开发者停止滥用隐式Intent,并引入严格模式违规检测。同时动态代码加载存在的安全风险在Android 14中被解决,通过对动态加载文件的可写性检查,确保文件未被篡改。
最后,针对ZIP路径遍历漏洞,Android 14在ZipFile和ZipInputStream中的getNextEntry方法中增加了路径验证,防止此类型的攻击。这些措施展示了Google Android团队在提升系统安全性方面的持续努力。
DAF挑战赛:揭秘漏洞利用
DAF(Defense & Attack Force)挑战赛:一场前所未有的沉浸式黑客竞赛。这是“非常传统”GEEKCON 项目,永远向无限脑洞、无惧挑战的黑客开放。它通过展示智能设备或网络服务中的网络对抗活动,揭示现实世界的漏洞利用威胁。
1、Can Airport X-ray Detection Machine Be Trusted?
众所周知,X射线扫描仪在安检中发挥着至关重要的作用,当我们把行李放上扫描仪,它可以对该行李实时生成图形,帮助安检人员快速准确地发现例如刀具、爆炸物等危险物品或违禁物品,发现潜在的安全威胁,确保机场、火车站等环境中人身和设施安全。
但它真的百分百值得信赖吗?
回到GEEKCON 现场,只见挑战者戴上了黑色的口罩移步至舞台中央,这是一场使用未公开的方法绕过X射线检测机的挑战。
舞台中央,左侧是我们在地铁、机场常见的过安检装置。而显示屏则可以实时显示经过机器的行李箱内部图像。
安检装置
在这项挑战中,参赛者需要把刀放入行李箱中,并且将其隐藏起来,最终目的是使其避开X射线扫描仪的检测。若左侧的X射线检测仪没有检测到刀,则视为挑战成功。挑战者必须在5分钟内完成挑战,并且只有两次挑战机会。为了增加难度,且证实并非偶然性,现场准备了2个刀,一长一短。
刀具展示
在现场观众的注视下,选手按下5min倒计时按钮,挑战开始。首先挑战者先将小刀放入准备好的行李箱,工作人员小心翼翼地将行李箱运送放置到检测机上,随即所有人的目光都聚焦在检测仪图像上,究竟能否挑战成功呢?
挑战者将刀藏进行李箱
短刀挑战
从现场的显示屏看,第三张图片没有出现可疑刀具,图像一出来立即赢得了台下观众的阵阵掌声和欢呼声,裁判宣布第一次挑战成功!随机开始挑战长刀,若这次能完美隐藏,则视为挑战成功。时间仅剩2分钟,台下的观众心也提到了嗓子眼儿。
长刀挑战
第二次挑战开始,参赛者这次花了很长时间藏匿长刀,想必有一定难度。而后,工作人员再次将行李箱运送至检测仪上,裁判手指图像,认为那里有点可疑,并没有完美藏匿,很遗憾这也意味着挑战失败。
后来主持人提出,尽管已经挑战失败,是否可以再给选手机会,直至挑战成功。台下观众纷纷同意,我想这就是GEEKCON的精神吧,不轻易放弃、永远在尝试、永远在闪耀。
这项挑战也给有关部门敲响了警钟,可见X射线扫描仪并不能百分百值得信赖。有关部门应该审慎评估现有的安全措施,并可能需要采取额外的措施来提高安全性。
Web 3 & HACKERS再现Web3 真实攻击
CertiK 首席安全官,前百度首席安全科学家-李康
1、Friend or Foe: A Bridge Vulnerability About "Public and Friend"
跨链桥是Web 3.0 中非常重要的一个基础设施,它负责链之间的资金转移。跨链桥的运行是由链上的智能合约来控制,完全是程序控制的。
Connie Lam
演讲披露了过去著名跨链桥“Wormhole”出现的安全问题,攻击者可以通过跨链条的安全问题,窃走在桥上流通的资产,演讲者在现场演示了跨链桥的攻击。
近期,Web 3领域跨链桥问题频出,常见的问题主要由于对智能合约的设计不完善,由于跨链桥涉及多个链的智能合约,导致安全实现比较复杂,因此这也对跨链桥的安全审计有更高的要求。
2、Role Play Attack for Web3 DeFi Applications
DeFi(分布式金融),是前一轮Web 3牛市推动的主要应用。分布式金融期的主要形式是基于分布式的资产托管,每个用户自己管理自己的财产,不需要中心化的解决方案支持,最常见的应用是在区块链上以及Web 3环境里的借贷。
Zhang Yanze Wang Ye
本议题主要说的是,在借贷过程中攻击者如何操纵价格以及如何获利。和正常分布式金融用户操作不同的方面是攻击者在攻击过程中同时扮演借方和贷方,通过采用大量资金操纵,操纵加密货币价值的方式来获利。
来自澳门大学的演讲嘉宾,展示了分布式金融的基本机制,以及攻击者如何利用资金操纵加密货币价格,尤其是对流通量比较小的加密货币,用同时扮演借贷角色的方式,攻击者可以轻松获利。
3、Unlocking Crypto Vulnerabilities: Insights into Hardware Wallet Security
钱包作为Web 3 领域的基础设施,是和用户打交道最频繁的应用。
slipper
与钱包相关的安全问题,也是过去在Web 3领域里最频繁出现的安全事件。演讲者 slipper 是Web 2 传统安全领域的专家,近期也加入到 Web 3 领域的安全研究中。
演讲者slipper首先回顾了过去在硬件钱包中不同种类的攻击手段,包括侧信道安全分析、硬件安全注入等,slipper展示了针对OneKey硬件钱包的安全漏洞及攻击方法,slipper展示了OneKey开源软件中发现的漏洞,以及如何通过软件的形式发起攻击,并成功获得存在硬件设备中的用户私钥。
4、ModuleBomb: Persistent Blockchain Outage Attack
拒绝服务攻击在传统安全领域尤为常见,所以社区通常不会把拒绝服务攻击作为高危漏洞。
但是对于区块链,尤其是公链来讲,整个链实际上是一台global computer或者说是社区计算机以一个global computer的形态来运营。拒绝服务攻击可以导致基于这一个区块链的生态完全停滞,影响该链上所有应用的执行。因此拒绝服务攻击在 Web 3 领域,尤其是针对底层区块链的攻击尤其重要。
该安全漏洞被形象地称为“仓鼠轮”:其独特的攻击方式与目前已知的攻击不同,攻击者只需提交一个大约 100 字节的载荷,就能触发 Sui 验证节点中的一个无限循环,使其不能响应新的交易。此外,攻击带来的损害在网络重启后仍能持续,并且能在 Sui 网络中自动传播,让所有节点如仓鼠在轮上无休止地奔跑一样无法处理新的交易。因此我们将这种独特的攻击类型称为“仓鼠轮”攻击。
演讲者现场展示了针对新一代区块链技术SUI区块链的一种拒绝攻击的方法,复现了SUI 底层区块链环境,展示攻击者可以通过发送恶意的交易请求transaction去导致整个区块链停机。同时由于该恶意交易请求持续保留在区块链里直到被处理或被删除,所以尽管区块链在安全事故后可以重启,但是重启了后的效果仍然是不能继续执行新的交易transaction,所以这个攻击会持久化的导致SUI网络失效。
由于问题的严重性,SUI网络也授予了发现方CertiK50万美元的漏洞赏金。
5、Redefine Reverse Engineering in Web3
由于 Web 3 领域近期发展迅猛,导致相关的安全分析工具不像在传统安全领域那样丰富。
演讲者Kai Jern Lau是Web 2.0传统安全领域里著名的工具Unicorn,麒麟等平台的核心开发者,他展示了传统安全工具与Web 3安全工具目前的现状差别。
Kai Jern Lau
本次演讲者Kai Jern Lau带来了在Web 3 领域里对于二进制协议以及智能合约交易分析的自动化工具平台。
对抗研判 AVSS 挑战赛
AVSS比赛是基于真实系统、真实设备环境的“网络安全碰撞测试场”,今年AVSS的主要方向为手机及车联网安全,并加入了多种目标软件及系统。线下赛中包含了2组车联网安全相关赛题、3组手机相关赛题。主要目标是考察相同/相似漏洞在不同系统环境下的可利用性及利用难度。
GEEKCON·AVSS 2024GEEKCON线上预选赛共吸引了来自全球高校、企业、个人等组成的近 400 支队伍参赛,横跨亚、欧、美、非四大洲。最终决出了8支队伍成功冲击AVSS线下挑战赛。线下决赛现场,8支顶尖战队经过一天半的激烈角逐,现场展示了选手对真实系统、设备的后利用技术,以及对真实设备安全研究的快速上手能力。
CVSS挑战赛积分榜
由于线上赛与线下赛侧重点不同,故最终排名结合了两场比赛的成绩。恭喜【emmmmmmm2024】战队获得第一名,【凌武实验室】和【来自东方的神秘力量】分别位列第二名、第三名。
AVSS 挑战赛颁奖现场
据AVSS出题组透露透露:从赛题形式上,线下赛以真实设备为主,主办方为选手准备了多套真实设备的赛题环境,选手通过申请设备以开展测试及挑战,让选手能够参与更深度的体验真实设备的攻防环境。今年还新增了车联网赛题,故从24年年初时便开始研究车联网相关的赛题环境,并进行准备。
例如线上赛的车联网相关赛题中,主办方提供了远程的车机模拟器环境与真实设备环境。在其中一道基于模拟器的题目中,选手需要向车机中安装恶意应用,篡改车内空调温度。
线下赛赛题中,选手通过内核漏洞完成应用防卸载。
线下赛赛题中,通过车机漏洞完成开机自启动、GPS位置追踪、来电号码监控及篡改等目标:
在解题目标上,线下赛更多包括了对真实场景的安全危害,利用通过漏洞使得应用无法被正常途径卸载、通过漏洞在不需要申请通讯录权限的情况下获取通讯录;利用漏洞在车机上启动时弹出广告界面、获取并篡改车机蓝牙电话的电话号码。
在赛制上,线上赛连续48小时,线下赛在GEEKCON活动现场举行,为期一天半。由于线上赛与线下赛侧重点不同,故最终排名结合了两场比赛的成绩。
因此,参赛队伍所需要的技能和知识,除了会涉及到传统CTF比赛的PWN、RE、MISC、CRYPTO、WEB外,还需要选手对新目标设备的拥有快速上手能力、对特定场景(手机环境下的攻防、车机环境下的攻防)的了解程度、对特定场景下的防御机制熟悉程度。
而本赛季最有特点的赛题,非【车联网安全车机系列题目】莫属。该系列题目中,主办方准备了两套真实的车机系统环境:
选手需要首先通过车机调试接口的认证,获取向车内安装应用程序的能力。不同车机所使用的调试接口认证方式不同,从认证算法上有无需认证、基于固定密钥认证、基于VIN等硬件标识符的认证、基于一机一密的认证方式,从认证方式上有通过隐藏菜单、电话拨码输入暗吗进行认证、通过车载以太网或硬件调试接口进行认证等方式。当然,这对应了多道题目。选手可以通过逆向分析、漏洞利用绕过认证以进入调试接口。
获取安装应用能力后,选手需要使应用提升权限达到开机自启动、GPS位置追踪、来电号码监控及篡改、通话内容监听等目标。
随后我们采访了AVSS参赛成员yichen115(看雪id),他谈道:
本次最大的感受就是题目形式新颖,之前也打过一些车联网的比赛,其中对于通信协议部分的赛题,比如BLE一般就是给一个流量包,让你像做MISC一样从流量包中寻找flag。这次AVSS却是安排了一个远程环境,当你从流量包中分析出通信逻辑后可以登录远程环境,自己编写脚本进行BLE通信,能够让参赛者感受到自己是在和一个真实的设备通信而不是单纯的解题。线下赛车联网题目部分也是让参赛者自己编写APP攻击车机,获取GPS信息;通过DoIP诊断解锁系统调试模式等真实攻击场景,体验很赞!
大学的时候看过一部叫《棋魂》的电视剧,里面说教学性质的对弈叫指导棋,对它来说,感觉这场比赛就是一场指导赛,一步步根据提示把解题流程推进下去,对于知识的掌握也一步步深入,一些只学习过没实践过的技能也得到了练习,希望以后这样的比赛能多一些。
AVSS White Paper 1.0
大会现场,DARKNAVY 还发布了 AVSS 官方白皮书。Adversarial Vulnerability Scoring System,AVSS 是基于真实对抗场景对信息系统、智能设备或其组件的安全性进行评测的评分体系,由独立安全研究机构DARKNAVY首创提出并进行维护和管理。
AVSS 白皮书
【王宇、陈良、flanker、古河、王铁磊、大牛蛙、Philip Yeo、Chee Yeow Meng、韦韬、刘洋、李康、Alexey Malanov】
AVSS观点:
1. 漏洞永远无法完全消除,所有安全努力的目标就是尽可能提升攻击成本;
2. 以简单的漏洞数量或者“是否被攻破”、甚至通用漏洞评分来判断系统安全水平,缺乏科学客观性;
3. 攻击视角的真实对抗,是检验安全防御水平和安全机制有效性的唯一科学依据。
对于信息系统、智能设备或其组件的安全性评测,需要从安全机制、漏洞评估转向全面真实对抗的评测。模拟真实的攻击场景来进行深度测试和漏洞挖掘,在评测过程更加注重结合业务流程和实际应用场景,确保在面对真实环境中的恶意攻击时,信息系统、智能设备能够具备有效抵御、检测及快速恢复的能力。这样的评测体系有助于组织机构更好地理解并管理信息安全风险,从而构建更为坚韧且适应性强的安全防线。
目前,AVSS已经在金融支付、移动计算、智能制造、网联汽车等多个领域进行了实践,为组织的信息系统和产品构建评测体系,提供安全评测结论,成为业务决策的重要依据。
现场直击 精彩花絮
1、Decoding Games —— GEEK Your Brain
不靠运气,全凭实力!巧妙的大奖环节设计,将现场气氛推向高潮。采用现场解题模式,成功解题并拨通台上电话,即可领取精美奖品。
快来试试,你能解出来吗?
👇
2、GEEKCON精美周边+酷炫的互动游戏
3、湖边答谢晚宴 尽情畅谈安全
主办方精心布置了晚宴场地,并准备了精致的糕点、果盘、鸡尾酒等,让参赛选手及评委专家们切实感受新加坡和GEEKCON的独特魅力。
GEEKCON 2024·新加坡 圆满落幕
世界唯一不变的就是变化,没有绝对安全的系统,安全领域也永远没有银弹。网络安全的背后是没有硝烟的战场,是入侵者与守卫者的交锋,是黑客与安全专家的较量。
这是一场极客精神盛宴,一个展现创造力与智慧的舞台,一次对未来无限可能性的深度探索。一次又一次的试探、一次又一次的推翻、一次又一次的验证,这是白帽黑客精神,也是GEEKCON传达的精神。让我们共同努力,继续传承和发扬这种积极向上的精神,共同建设一个更加安全和繁荣的网络世界。
最后,感谢GEEKCON邀请看雪作为媒体前往新加坡参会,希望未来继续紧密合作,共同为网络安全行业注入新的力量。
感谢李康教授、AVSS出题组、Kira Chen 对本文相关议题及项目给予专业技术见解。感谢看雪会员【yichen115】、【不说】,【_fruitloops】对本文相关议题作出点评与感想。
期待GEEKCON,继续闪耀!
球分享
球点赞
球在看
点击阅读原文查看更多