DEFCON官網鏈接：https://defcon.org/html/defcon-26/dc-26-index.html

會議簡介

DEFCON 是與BlackHat齊名的安全領域世界頂級會議，被譽為安全界 “奧斯卡”。

大會每年在美國拉斯維加斯緊接著BlackHat召開，會召會集近萬名來自全球各地的安全專家、白帽子黑客、安全愛好者相聚在此，集中展示全球網絡安全領域最新的技術研究成果，而能夠登上DEFCON的講壇展示交流也成為了全世界的網絡安全研究者的理想，是擁有世界頂尖安全技術實力的榮耀象征。

會議時間

2018年8月9日-12日

會議地點

美國拉斯維加斯，Caesars Palace和Flamingo會議中心

中國入選議題

1. 攻擊macOS內核圖形驅動器

• 演講人員：滴滴美國研究中心高級工程師- Yu Wang
• 演講日期：2018年8月12日，星期日，12點00分-12點45分
• 演講形式：45分鐘陳述
• 主題標簽：技術演示、漏洞利用

跟Windows平臺一樣，macOS內核的圖形驅動器結構同樣是非常復雜的，其中存在的安全問題也將暴露非常大的攻擊面，攻擊者將有可能利用這些安全問題并使用低權限進程來實現EoP或沙盒逃逸等攻擊。去年，在對部分macOS內核代碼進行了分析之后，我們在其中發現了多個安全漏洞。其中包括空指針間接引用、堆緩沖區溢出、任意內核內存讀寫和用后釋放等關鍵漏洞。其中的某些漏洞我們已經提交給了蘋果公司，比如說漏洞CVE-2017-7155、CVE-2017-7163和CVE-2017-13883。

在此次演講中，我們將跟大家分享相關漏洞的技術細節信息。除此之外，我們還會介紹幾種新的漏洞利用技術(針對0 day漏洞)，并從攻擊者的角度來看看如何利用這些漏洞去實現攻擊。

2. 黑掉你的“大腦”–自定義惡意協議黑掉SDN控制器

• 演講人員：白帽黑客-Feng Xiao
• 白帽黑客-Jianwei Huang
• 網絡安全博士-Peng Liu
• 演講日期：2018年8月10日，星期五，13點30分-13點50分
• 演講形式：20分鐘陳述
• 主題標簽：漏洞利用

現如今，軟件定義網絡(Software Defined Network, SDN )已經普遍部署到各類產品的生產環境之中了，而且以其為主題的社區群體也在不斷壯大雖然SDN這種基于軟件的架構能夠給網絡系統帶來可編程性，但同時這種架構也會給SDN控制器帶來各種危險的代碼漏洞。我們通過研究發現，SDN控制器與數據流之間的交互主要通過一種預定義的協議來進行，而這種機制從很大程度上會增加攻擊者利用數據面安全漏洞的難度。

在我們的演講中，我們將會擴展相關的攻擊面，并給大家介紹關于自定義攻擊(Custom Attack)的內容。所謂自定義攻擊，指的是一種針對SDN控制器的新型攻擊方法，這種方法主要利用的是合法SDN協議消息(例如自定義protocol域)來嘗試利用Java代碼漏洞。我們的研究表明，這種攻擊方式可以在存在安全漏洞的目標設備中實現任意命令執行或者在無需訪問SDN控制器及任意應用程序的情況下修改SDN控制器中的數據(不過這樣只能控制一臺主機或交換機)。

需要提醒大家的是，我們所設計的自定義攻擊(Custom Attack)是第一種能夠遠程入侵SDN軟件棧并給SDN控制器同時帶來多種攻擊影響的攻擊方法。目前為止，我們已經對五種熱門的SDN控制器以及相應的應用程序進行了攻擊測試。測試結果表明，從某種程度上來說，這些SDN控制器全部都無法抵御自定義攻擊(Custom Attack)。我們總共發現了十四個嚴重的安全漏洞，而這些漏洞都可以被攻擊者遠程利用并對目標控制器執行高級網絡攻擊，其中包括任意命令執行、提取敏感文件或引起SDN服務崩潰等等。

我們此次演講的內容將包括已下四個方面：

• 對我們的SDN安全研究報告以及相關實踐建議進行闡述
• 介紹一種針對SDN控制器的新型攻擊方法，并演示如何入侵整個目標網絡
• 介紹我們的研究過程、方法和研究成果，其中包括攻擊技術細節
• 給大家展示在現實生活中如何對真實的SDN項目執行自定義攻擊(Custom Attack)

3. 您的外圍設備已被植入惡意軟件-NXP SOCs漏洞利用

• 演講人員：奇虎360獨角獸團隊高級安全研究專家– Yuwei Zheng
• 安全研究專家– Shaokun CaoFreelance
• 奇虎360獨角獸團隊高級安全研究專家– Yunding Jian
• 奇虎360無線安全研究部門高級安全研究專家– Mingchuang Qun
• 演講日期：2018年8月10日，星期五，16點00分-16點45分
• 演講形式：45分鐘陳述
• 主題標簽：漏洞利用

目前已經有數十億臺嵌入式系統采用了基于SOC的ARM Cortex M處理器，在這些設備中，絕大多數都是可以聯網的，而這些設備的安全問題往往也是我們最擔心的東西。廠商會在ARM Cortex M產品中采用大量的安全保護措施，主要原因有以下幾點：(1)防止他人仿造他們的產品;(2)實現對硬件和軟件產品的許可證控制;(3)防止攻擊者向固件中注入惡意代碼。廠商通常會直接在芯片層構建安全保護措施，或者在芯片組件的周邊設備上并部署安全防護機制(例如secure boot等等)。

在我們的演講中，我們將跟大家分享一個ARM Cortex M SOC漏洞，我們將主要分兩個部分進行闡述：

• 首先是廠商在SOC中構建的安全防護措施，我們將演示如何去突破這種防護措施。漏洞利用成功后，我們將能夠修改SOC的唯一ID，并向固件中寫入數據，甚至還可以將目標設備轉換為木馬或僵尸網絡主機。
• 第二部分是廠商圍繞SOC構建的安全防護措施，我們將演示如何去攻擊Secure Boot組件，并向固件中寫入惡意數據。

4. 蘋果內核驅動的安全分析與攻擊

• 演講人員：阿里巴巴安全工程師-Xiaolong Bai
• 阿里巴巴安全專家– Min (Spark)
• 演講日期：2018年8月12日，星期日，14點00分-14點45分
• 演講形式：45分鐘陳述
• 主題標簽：技術演示、工具、漏洞利用

雖然蘋果的macOS和iOS系統采用了非常多的安全機制，但是其中還遺留有很多已過時或質量不高的內核代碼，而這些低質量的代碼將會給攻擊者提供可乘之機。毫無疑問，內核絕對是一臺設備的核心組件，很多攻擊者都會利用設備驅動器或內核漏洞來對蘋果系統進行攻擊。實際上，想要找出蘋果內核驅動器中存在的漏洞并不容易，因為蘋果的系統采取的是閉源策略，并且及其依賴于面向對象的編程方法。在我們的此次演講中，我們將跟大家分析一下蘋果內核驅動器的安全問題，并分享針對蘋果內核驅動器的攻擊方法。除此之外，我們還將給大家介紹一款名叫Ryuk的新型工具，這款工具(Ryuk)不僅采用了靜態分析技術來自動搜索內核漏洞，而且還可以給研究人員的手動審計提供幫助。

當然了，我們還會演示怎樣結合靜態分析技術和動態模糊測試技術來尋找蘋果驅動器中的安全漏洞。也就是說，我們將在演講過程中介紹如何將Ryuk整合到針對蘋果驅動器的模糊測試工具(PassiveFuzzFrameworkOSX)之中，并嘗試尋找可利用的漏洞。

值得一提的是，我們還會通過幾個新發現的安全漏洞來更好地展示Ryuk的能力，而這些漏洞都是Ryuk近期發現的新漏洞。在這個過程中，我們將演示如何利用這些漏洞來在macOS 10.13.3和10.13.2上實現權限提升。我們不僅會介紹這些漏洞的成因以及漏洞的挖掘過程，我們還會演示如何去利用這些漏洞實施攻擊，這個部分將涉及到內核漏洞利用技術的相關內容。

5. 你的錢都去哪兒了?針對以太坊智能合約的重放攻擊技術分析

• 演講人員：安全研究專家-Zhenxuan Bai
• 奇虎360獨角獸團隊高級安全研究專家– Yuwei Zheng
• 安全研究專家– Senhua Wang
• 奇虎360無線安全研究部PegasusTeam- Kunzhe Chai
• 演講日期：2018年8月11日，星期六，10點00分-10點45分
• 演講形式：45分鐘陳述
• 主題標簽：技術演示、漏洞利用

在我們發表的這篇報告中，將介紹一種針對以太坊智能合約的新型重放攻擊技術。在令牌傳輸的過程中，當發送方的簽名被竊取之后，重放攻擊所帶來的潛在安全風險將無法被完全規避，這樣一來用戶將會承受不同程度的經濟損失。原因就是，現有智能合約中廣泛采用的簽名機制其實存在設計缺陷。未來了測試并驗證這種安全漏洞，我們選取了兩種類似的智能合約來進行實驗，在同一時間點，我們在兩個智能合約中使用了自己的賬號來進行測試。在實驗過程中，由于我們使用的是相同的合約簽名，我們成功從發送方那里拿到了兩倍收入。實驗結果表明，針對以太坊智能合約的重放攻擊是真實存在并且可行的。除此之外，重放攻擊也許還可以對其他的智能合約有效。我們計算了所有存在該漏洞的智能合約數量，以及相應的交易活動特征，并成功找到了一些包含該漏洞的以太坊智能合約。在對合約簽名漏洞進行了分析之后，我們對該漏洞的風險等級和漏洞特征進行了評估。除此之外，重放攻擊的模式還可以擴展到合約內部、跨合約或者跨區塊鏈。最后，我們還提出了針對該漏洞的修復策略以及應對策略，這些內容可以給廣大研究人員提供可用性較高的安全參考。

6. 史上最難?不存在的!看我們如何拿到ASR漏洞獎勵計劃的最高額獎金

• 演講人員：奇虎360Alpha團隊– Guang Gong
• 奇虎360Alpha團隊– Wenlin YangAlpha
• 奇虎360Alpha團隊– Jianjun Dai
• 演講日期：2018年8月19日，星期四，11點00分-11點45分
• 演講形式：45分鐘陳述
• 主題標簽：技術演示、漏洞利用

近些年來，Google為了增強安卓操作系統的安全性，他們在漏洞利用以及攻擊面緩解方面做出了非常多的努力。在Google技術人員的努力之下，攻擊者已經越來越難遠程入侵安卓設備了，尤其是Google的Pixel手機。

Pixel引入了非常多的安全保護功能，而它也是2017年移動Pwn2Own比賽上唯一一臺沒有被參賽者成功“拿下”的設備。但是我們的團隊成功發現了一個遠程漏洞利用鏈，這也是自從安卓安全獎勵計劃(ASR)規模擴大以來第一個公開的針對Pixel手機的漏洞利用鏈，我們已經將相關漏洞信息提交給了安卓安全團隊。他們也非常重視這個問題，并且在很短的時間內修復了相關漏洞。由于我們的漏洞報告非常詳細，并且相關漏洞也是高危漏洞，因此我們得到了ASR計劃提供的112500美元的漏洞獎金，這也是ASR計劃有史以來的最高額獎金。

在此次演講中，我們將詳細介紹如何使用該漏洞利用鏈來向目標設備的system_server金成中注入任意代碼，并獲取到系統用戶權限。該漏洞利用鏈包括了兩個漏洞，即CVE-2017-5116和CVE-2017-14904。漏洞CVE-2017-5116是一個V8引擎漏洞，這個漏洞跟Webassembly和SharedArrayBuffer有關。攻擊者可以利用該漏洞在Chrome進程的沙盒環境中實現遠程代碼執行。漏洞CVE-2017-14904是一個存在于安卓libgralloc模塊中的漏洞，攻擊者可以用它來實現沙箱逃逸。我們利用這項技術的方式非常有意思，而且此前也很少有人探討過這方面內容。所有的漏洞細節信息和相關環節技術都將會在此次演講中提供給大家。

7. 系好“安全帶”!讓我們一起逃離iOS 11的沙盒

• 演講人員：阿里巴巴安全研究專家– Min (Spark) Zheng
• 阿里巴巴安全工程師– Xiaolong Bai
• 演講日期：2018年8月10日，星期五，13點30分-13點50分
• 演講形式：20分鐘陳述
• 主題標簽：漏洞利用

蘋果在macOS 10.5中引入的沙盒機制名叫“SeatBelt”，這個功能是MACF策略的第一次完整實現。該功能在macOS上非常成功，因此蘋果也將這種沙盒機制引入到了iOS 6中。在實現過程中，有多種系統操作需要掛鉤MACF策略。隨著新的系統調用請求和新發現的安全威脅數量不斷增長，整個沙盒系統會變得越來越復雜。在一開始，蘋果的沙盒使用的是一種基于黑名單的方法，這也就意味著蘋果從一開始就收集到了大量已知的危險API，并通過黑名單機制來進行風險控制。但是，隨著蘋果沙盒系統的逐步升級，它開始采用一種基于白名單的方法來拒絕所有的API請求，并只允許處理那些蘋果信任的請求。

在此次演講中，我們將對蘋果的沙盒系統以及最新版iOS的配置文件進行介紹。接下來，我們會討論iOS IPC機制，并對幾種經典的沙盒逃逸漏洞進行介紹。最重要的是，我們還會詳細介紹兩個最新的沙盒逃逸漏洞，這兩個0 day漏洞是我們在最新的iOS 11.4版本中發現的。除此之外，我們還會跟大家分享如何通過OOL msg堆噴射以及ROP技術來利用系統服務中的安全漏洞。

除了上述內容之外，我們還會討論一種任務端口利用技術，這種技術可以通過Mach消息來實現對遠程進程的完整控制。在這項技術的幫助下，安全研究人員可以尋找并利用沙盒逃逸漏洞來控制iOS用戶模式下的系統服務，并進一步實現對內核的攻擊。

8. 智能揚聲器到底有多智能?我可以監聽你的一切

• 演講人員：騰訊Blade團隊安全研究專家– Wu HuiYu
• 騰訊Blade團隊安全研究專家– Qian Wenxiang
• 演講日期：2018年8月12日，星期日，12點00分-12點45分
• 演講形式：45分鐘陳述
• 主題標簽：技術演示、漏洞利用

在過去的兩年里，智能揚聲器已經變成了一款非常熱門的物聯網設備。亞馬遜、谷歌和蘋果都已經推出了自家的智能揚聲器產品。在這些智能揚聲器產品中，絕大多數都擁有自然語言識別、聊天、音樂播放、物聯網設備控制以及購物等功能。制造商們使用了人工智能技術來讓這些智能揚聲器變得更加智能，并讓它們擁有了跟人類對話的能力。但是，隨著越來越多的家庭開始使用智能揚聲器，制造商們也在不斷地給智能揚聲器產品添加新的功能，因此這類產品的安全問題也逐漸開始引起了人們的關注。很多人都擔心智能揚聲器會被黑客攻擊，并泄露他們的隱私，而我們的研究結果表明，這種擔憂是非常實際的。

在此次演講中，我們將跟大家介紹如何利用多個漏洞來入侵某些當前熱門的智能揚聲器。攻擊成功之后，我們將能夠在后臺對用戶進行監聽，或控制揚聲器播放的內容等等。除此之外，我們還會介紹如何從BGA數據包閃存芯片(例如EMMC、EMCP和NAND閃存等等)中提取出固件。當然了，這部分內容還涉及到如何通過修改固件內容和重構閃存芯片來開啟設備的調試接口并獲取到root權限，因為這部分內容將會對后續的漏洞分析和調試起到非常大的幫助。最后，我們將會播放幾個演示視頻來展示我們如何利用root權限遠程訪問某些智能揚聲器，并使用揚聲器來實現用戶監聽和播放任意音頻。

9. Lora智能水表的安全分析報告

• 演講人員：奇虎360獨角獸無線安全研究部門安全研究專家– Yingtao Zeng、奇虎360安全技術部門高級無線安全研究專家和SDR技術專家– Lin Huang、奇虎360無線安全研究部門高級安全研究專家– Jun Li
• 演講日期：2018年8月10日，星期五，11點00分-11點45分
• 演講形式：45分鐘陳述
• 主題標簽：工具演示

在智能水表出現之前，水電行業的朋友們都需要去用戶的家中收集水表數據。為了避免去進行這種繁瑣無謂的工作，制造商們向水表中添加了無線通信模塊，智能水表便應運而生。在此次演講中，我們將對一款智能水表的安全性進行分析。這款智能水表使用了Lora無線協議，我們將以此作為樣例來對其安全性進行分析，并對其面臨的安全風險進行描述。除此之外，我們還會介紹如何對智能水表的硬件系統和軟件系統進行逆向工程分析。在演講過程中，我們將從多個角度來對智能水表的安全問題進行介紹，其中包括物理、數據流和傳感器等多個方面。需要注意的是，Lora無線協議并不只有智能水表在使用，很多物聯網設備都在使用這種通信協議，所以我們在分析Lora時所采用的方法也可以適用于其他基于Lora的物聯網設備。