内存取证、短网址攻击 看这届 KCon“搞”了什么？

　　原标题：内存取证，智能家居被劫持，短网址攻击，这届KCon都“搞”了什么？

　　作者：又田

　　在很多人心里，黑客是孤独的剑客，他们游走于赛博世界之间，隐身在IP之后，用着自己的花名，单打独斗。

　　如果有什么能将这群游侠聚在一起，KCon 算一个。

　　无论是场景布置还是干货议题亦或是摇滚音乐，总有能抓住这群个性冲浪者的地方。

　　已是第七届举办的 KCon 今年把主题定为‘聚·变’，用主办方知道创宇 CEO 赵伟的话解释，“ KCon与传统安全大会不同，它不是一场商业会议，而是一个交流的平台。聚集大家的智慧，散发更大的能量。”

　　So，跟着雷锋网编辑来看看这场另类联谊会上的亮点议题吧。

　　侠盗猎车 -- 数字钥匙 Hacking

　　可能机械对黑客们永远有种吸引，反正世界各地的黑客大会上都有针对汽车发起的花式攻击。

　　而这次会议上银基安全研究员 Kevin2600 也瞄上了汽车安全的话题，选择的着手点是安米一款针对老旧车型手机解锁的数字钥匙。Kevin分享了对其进行攻击的三种攻击手段：

　　1、RF攻击。由于钥匙和车之间的通讯是单向的，不存在动态认证的过程，攻击者可干扰手机与车钥匙之间的通信。

　　在DefCon的舞台上黑客Samy Kamkar就曾展示过这种操作，其所用的“作案工具”是Rolljam。

　　盗贼通过干扰器阻止汽车接受钥匙信号，自己把钥匙信号保存下来，然后用来开门，同一把钥匙，不同的操作是公用一个滚动码序列的，但“RollJam” 成功瓦解了滚动码的安全防护措施。

　　它可以被藏在目标车辆上或者车库里，等待毫不知情的车主在车边按下无线钥匙解锁车门。但是随后车 主会发现第一次没有响起开锁声，不过重试一下又成功了。之后Samy Kamkar可以随时随地取回“RollJam”，在车边按下设备上的一个按钮打开车门。

　　2、共享功能攻击。用户进行微信或其他方式和亲朋好友共享密钥信息时，攻击者轻而易举就能获取。

　　3、蓝牙加密破解。这个就更简单粗暴了，直接通过抓包就可以获取通讯信息，可直接窃取到敏感数据。

　　汽车钥匙在经历了从机械钥匙、到远程控制、到FRID、再到数字钥匙的发展历程，手机成为钥匙已是未来的趋势，但其安全性也人不得不担忧。

　　智能家居安全——身份劫持

　　智能家居已走进千家万户，一但发生身份劫持恐将造成隐私敏感信息泄露、财产损失，甚至有设备被任意控制、被监控的危害。

　　以智能音箱、智能插座等设备为例，百度高级安全工程师戴中印通过例举三家厂商的账号同步方式和设备交互操作方式，通过“身份劫持”，实现设备和产品的任意远程控制。

　　一般来说，账号同步一是要看设备是否合法，验证设备ID（key），二是要看Token是否安全传输 ，设备是否上网或者是通过蓝牙、AP方式，在此过程中可以进行身份劫持。

　　比如，厂商A的音箱将身份信息，通过固定“协议”的格式，在UDP255.255.255.255：50000端口进行身份信息发送，攻击者可以监听UDP50000端口，从而获取用户的userid和token，窃取身份凭据。语音发送也是按照同一套固定的“协议”格式发送。

　　至于设备交互过程中的劫持，戴中印将厂商A、B、C进行了总结和比较。

　　在智能家居APP应用中，Webview JS交互接口及Webview file域应用克隆的安全问题皆会导致身份信息泄露等安全风险。

　　戴中印也告诉雷锋网编辑，目前他们已经将发现的漏洞报告给厂商A、B、C，这三家厂商皆已经完成修复。

　　工业网络安全——某款PLC远控实现

　　不久前的发生的台积电病毒事件再次把工控安全问题摆在大众眼前。工控网络中的PLC（可编程逻辑控制器）一直以来都处在隔离网络中，但随着互联网的发展，越来越多的企业将其连接到互联网上，但随之而来却有很多的安全问题。

　　剑思庭通过分享Snap7与Step7的使用，实现了针对某品牌PLC的连接与编程。此方式PLC远控代码植入不会造成PLC重启，悄无声息，从而增强攻击的隐蔽性。

　　那么有何防御措施呢？剑思庭分享了五个方面：

　　保证物理和环境安全，这也是最有效的措施；

　　对PLC接入授权和项目加密；

　　在PLC出口增设DPI防火墙，禁止对PLC下载；

　　核心防火墙切断工业网络直接接入，设置DMZ区域；

　　增加接入的身份认证和授权等。

　　BGP安全之殇

　　从2003到2018年，全球出现了数十起由于BGP自身安全缺陷造成的知名重大安全事故。

　　2003年，Northrop Grumman部分bgp网络被恶意利用；

　　2008年，巴基斯坦电信致YouTube断网事件；

　　2015年，Hacking Team利用BGP Hijack协助意大利黑客团体的攻击行动；

　　2017年，Google工程师配置错误致日本800万用户断网1小时；

　　2018年，亚马逊遭BGP劫持致价值1730万美元ETH被盗。

　　用360威胁情报中心高级安全研究员张玉兵的话说，BGPv4安全缺陷是全球互联网现存最大最严重的安全漏洞。

　　BGP（Border Gateway Protocol）对应中文是边界网关协议，是互联网上一个核心的互联网去中心化自治路由协议。针对当前BGP协议的主要有三种攻击方式，分别为BGP前缀劫持、AS Path劫持以及路由泄漏。

　　BGP前缀劫持则分为三种劫持方式：

　　闲置AS抢夺，指对外宣告不属于自己但属于其他机构合法且未被宣告的网络进行劫持。

　　近邻AS通告抢夺，指利用物理地址临近宣告不属于自己的网络劫持近邻网络。

　　长掩码抢夺（虹吸效应），是指利用BGP线路长掩码优先的特性劫持所有可达网段全流量。

　　AS Path劫持是利用AS_PATH prepend可任意修改，可通过增加其穿越AS数量降低其路由优先级，将数据流量赶向目标网络进行劫持。

　　BGP路由泄露，BGP路由条目在不同的角色都有其合理通告范围，一旦BGP路由通告传播到其原本预期通告范围之外称之为路由泄露，这会产生难以预料的结果，如造成网络中断，源网络和被指向网络中断或造成AS穿越/ISP穿越/MITM等问题。

　　另外，BGP中的TTL modify也可能出现安全漏洞，因其支持自定义修改，可在进行中间人攻击时修改TTL使得跳数正常从而增强攻击隐蔽性。

　　当前，我国互联网节点通讯安全现状不容乐观，暴露在外的数据超过50%是没有加密的，加之加密协议漏洞、可进行加密通讯信任关系降级攻击和软硬件级别供应链攻击手段影响的范围，BGP在未来的5至10年内依然不是安全的。

　　短网址的攻击与防御

　　作为当代文明冲浪者，对短网址已经格外熟悉。其起源于一些具有字数限制的微博等服务，现在广泛用于短信、邮件中。据不完全统计，使用了第三方或自身提供的短链接服务的厂商占到了80%。但短链接的安全问题似乎很少有人关注。

　　短地址服务可以提供一个非常短小的URL以代替原来的可能较长的URL，将长的URL地址缩短。用户访问缩短后的URL时，通常将会重定向到原来的URL。

　　腾讯 Blade 团队的彦修团队分析了GITHUB上star数最多的10个短网址开源项目，其转换算法大致分为进制算法、HASH算法和随机数算法三类。根据算法进行攻击猜想与测试，爆破实践得到了个人信息、合同信息、密码信息等信息。

　　扩展短网址攻击面远不止如此，随着应用越来越广泛，远程访问功能在过滤不严谨的情况下会造成SSRF；获取TITLE功能和展示长网址页面，在过滤不严谨的情况下造成XSS。

　　当然，彦修也提出了几招补救措施，比如：

　　1、增加单IP访问频率和单IP访问总量的限制，超过阈值进行封禁；

　　2、对包含权限、敏感信息的短网址进行过期处理；

　　3、对包含权限、敏感信息的长网址增加二次鉴权。

　　4、不利用短网址服务转化任何包含敏感信息、权限的长网址；

　　5、尽量避免使用明文token等认证方式。

　　识“黑”寻踪之内存取证

　　如何获取犯罪现场的内存样本进行疑犯追踪？真实技术远比大片更加繁琐。

　　来自中国网安·广州三零卫士安全专家伍智波就在现场分享了一起真实的犯罪侦查案例，某单位网站遭到页面篡改，现场勘查发现日志被清，通过accesslog配置的流式备份找到了完整且未失真的副本，分析日志猜想“黑客是通过反向连接shell来控制”，便通过提取内存和逆向分析发现了比较少见的攻击方式——逻辑炸弹，最终寻找入口让疑犯落网。

　　射频攻击—从键盘钩子木马到无线键鼠套装劫持

　　键盘是个好东西，可惜总被贼惦记。早前雷锋网就曾报道过一起虚拟键盘 AI.type 泄露 3100 万用户信息事件，作为日常使用的输入工具，键盘一旦被攻击者监听或控制，那么个人隐私很大程度上也就暴露在了攻击者眼中。

　　具体来说，过往的攻击常常是利用键盘钩子木马，而现在市场上有很多无线键盘，无线则无形中扩展了它的攻击面，通过射频技术将键盘实体引入了攻击链中。现在就已经有一些针对无线键盘的攻击方式，大多为利用射频通信技术对常见的无线键鼠套装进行攻击。

　　当然，演讲者石冰也给出了一些安全措施，比如对于用户来说，建议改用安全软键盘进行敏感操作，不使用小厂的不合规格的键盘和适配器，提高无线安全意识，了解参数基本信息，支持更新固件的设备进行固件升级；

　　对厂商则建议引入serial number，按键无线电信号一次一变；采用序列号+加密，对序列号进行加密的应对方案，以提高攻击者攻击代价与难度。

　　数字钱包的安全性分析

　　这个议题不算首次公开，不久前曾登上看雪开发者论坛，演讲者胡铭德这次带了两个小伙伴付鹏飞、孙浩然来到KCcon舞台，并加入了新的内容。

　　首先是硬件设计的分析：硬件设计、固件信息、存储数据以及相关的硬件设置。接着是芯片安全的分析：在某品牌芯片组中存在漏洞，利用该漏洞可实现提权并获取敏感信息，打开USB调试，更改IMEI甚至烧录自己的Android系统。

　　针对国外主流硬件钱包安全性分析，其一是STM32系列芯片的内存结构分析，内存保护机制分析以及过内存保护机制方法。其二是固件及代码对应分析。其三是硬件安全设计分析。接着该团队展示了针对MCU可篡改的攻击思路。下一步，该团队将会研究更多数量的硬件钱包的安全问题，同时将进行软件钱包的安全研究，更加专注钱包安全。