KCon 2017黑客大會實錄：那些年輕黑客是如何成長的？

不知不覺間，知道創宇主辦的KCon黑客大會已經第六屆了。

今年KCon放在北京中關村時尚產業創新園裡的北京服裝學院舉行，對眾多參會者來說，它是一個相對新鮮的地方。過往安全會議要麼在國家會議中心，要麼在高檔星級酒店，已經成為套路。

這也和KCon的業內形象類似。國內安全大會現在形成幾個流派，ISS、CSS、ISC等展示主辦方安全生態力量的權利大會；XCon、MOSEC、SyScan360等硬核技術會議；GeekPwn、XPwn等向大眾宣講安全的破解大賽。KCon貼近硬核技術會議，區別在於：它對當下的新晉大眾熱門話題保持關注；不追求完全硬核、頂尖的研究成果，歡迎實用技術講解。這讓KCon吸引了比純硬核技術會議更廣泛的粉絲和受眾。

下邊跟隨嘶吼編輯一起看看現場吧：

爭奪受保護內存之戰

壓場第一個議題非常硬核向，講繞過Windows 內核保護機制來獲得受保護內存的控制權，分享者是來自邁克菲IPS安全研究團隊的孫冰和徐崇。

微軟在Windows 10和8.1 Update 3上默認啟用了一個新的漏洞利用緩解——CFG（控制流保護），經過兩年半修補對抗後，過往常見CFG繞過方法（純數據攻擊）變得不再好用，例如ntdll.dll、eShims.dll等都使用.mrdata（可變只讀數據段）來保存其關鍵數據。孫冰團隊發現，將現有純數據攻擊和其它技術（如競爭條件、異常注入）結合，可以繼續繞過CFG防護，他們稱之為高級純數據攻擊。

現場孫冰舉了兩類案例：

1、通過搶佔同步鎖解鎖ntdll.dll的只讀區段：ntdll.dll的數據更新流程存在缺陷，攻擊者先行佔據讀寫鎖後，會讓該工作線程處於阻塞狀態，然後攻擊者可以任意改寫.mrdata的某些關鍵數據來繞過CFG保護。

2、通過異常注入技術解鎖ntdll.dll和eShims.dll的只讀區段：ntdll.dll、eShims.dll數據更新流程中，會訪問某些可由攻擊者讀寫的變數或數據結構，通過改變相關數據，可讓線程在正常流程中出現異常，後續就機會任意改寫.mrdata的數據，從而繞過CFG保護。

組建蜜網系統保護企業網路

很多企業都會部署蜜罐來檢測網路掃描或者黑客入侵，找些開源蜜罐軟體，很容易就能做出來。不過，做出來容易，做好很難。

在這方面，做「欺騙系統」的錦行科技相對會比較有經驗，它的幾位創始人曾經以入侵技術聞名國內。錦行是怎麼做蜜網系統的呢？內部成員胡鵬分享了一點經驗：

1、真實性，包括環境可利用性、數據真實性、行為監控隱蔽性三點，具體展開太長了，大家有興趣可以留言，嘶吼會視讀者熱情度進行後續跟進。

2、層次感，整個蜜網系統分為三種角色

觀察哨：低交互蜜罐，可以觀察到某些難以察覺的行為，比如延時掃描、單線程掃描

小分隊：高交互蜜罐，誘導攻擊者進來

大部隊：隔離蜜網，真實環境部署探針，將蜜網流量隔離，讓攻擊者有進無出

基於銀行卡的手機支付安全性研究

蘋果推出Apple Pay後，基於銀行卡的NFC手機支付慢慢流行起來，也成了眾多安全研究者想攻破的目標。不過這個體系挺穩固的，儘管不時有人破解過TurstZone，但現在為止還沒聽過有成功盜刷案例。

騰訊玄武實驗室hyperchem研究了三星手機支付安全設計，他發現三星實踐NFC支付過程中還算認真，但軟體出廠沒做好保護，可激活調試模式，軟體包含大量調試日誌，可發現關鍵信息。當然，這些都是外層的東西，尚不足以破壞NFC手機支付安全基石。

三星自己為兼容磁條卡做的磁場手機支付（MST）被找出了問題。大家都知道磁條卡安全性極差，關鍵支付信息可以隨便複製，沒想到三星居然把這些信息通過線圈磁場擴散出去，並且功率很大，遠距離也可以捕捉到。這是什麼概念？簡直是把磁軌信息送人…在此建議所有磁條卡用戶：趕緊升級卡片吧，免費的！

藍牙硬體 = 安全極差？

啟明星辰、微步在線兩家都投了藍牙安全研究議題。根據他們講解，藍牙硬體目前還是問題多多，可以從三方面來看：

App攻擊面：App沒有加固、混淆等措施，日誌里有大量敏感信息，硬編碼密碼、密鑰…

藍牙攻擊面：通信數據可被嗅探，重放攻擊（冒名頂替、未授權訪問），中間人攻擊（跨越BLE通信距離，修改中間數據）

固件攻擊面：更新通道安全，固件逆向分析…

啟明星辰安全研究員蝴蝶分析了某款智能鎖，他評價其安全糟糕極了，最基本的移動應用安全措施都沒做。這些問題已經持續數年，總而言之，小廠商的藍牙硬體產品基本不會做安全防護，因為廠商自己也不懂，大家嘗鮮請考慮大廠作品。

無人機安全研究和黑飛反制

無人機方向也有兩個議題，KCon常駐演講者Kevin2600主講案例為主的無人機安全研究，360天馬安全團隊主講黑飛反制系統。

Kevin2600老師偏向教學方向，他總結了目前已發現幾款主流無人機型號攻擊點，如Parrot AR Drone 2.0默認提供Telnet Root訪問許可權、DBPOWER U818A-WiFi允許任意用戶對FTP Server進行讀寫（CVE-2017-3209）、Parrot Bebop2對大量Wi-Fi請求或數據包請求會無法處理並墜機等。後半部分其以適宜逆向入門無人機CX-10WD為教具，講解了如何從零開始逆向一台無人機。

360天馬團隊楊芸菲更貼近業務，適宜監管單位服務群體。空域監管單位對無人機黑飛問題一直很是苦惱，國內外許多機構都嘗試研究反制工具，如俄羅斯的捕捉導彈、日本的捕捉無人機、荷蘭的養老鷹捉機…。楊芸菲介紹了他們基於802.11協議研發的檢測干擾系統（不用GPS、無線電是因為干擾太大，得不償失），部署WiFi探測點檢測無人機信號，利用WiFi傳輸過程的OUI、SSID、MAC地址等信息可以識別無人機、操控手機信息，阻斷圖傳信號，還能為後一步的肉身溯源固定證據。這套系統打造起來並不麻煩，使用開源項目Kismet就可以做到。

個人打造4G口袋偽基站

Seeker老師在xKungfoo、CSS、KCon等會議圍繞LTE偽基站講了一系列議題，直到這次我才稍微理解，對此很是抱歉…

簡而言之，近幾年LTE發展速度極快，出現了以OpenAirInterface、srsLTE等為代表的LTE網路搭建項目。通信愛好者Seeker憑藉自身熱情、社區幫助、神奇某寶，實力打造出能放進口袋裡的LTE偽基站，能夠劫持該基站附備的4G設備，接入運營商核心網。這項研究要具體展開，危害可謂極大，但限於法律法規只能點到為止。

建議運營商的讀者看到本文，可以上某寶搜索下FemtoCell設備，那些設備落到黑產手中能幹啥，你們更懂。

iOS 9.x 越獄

一次iOS越獄分為幾步，蒸米說是6步，這是他們團隊對iOS 9.x成功越獄的步驟數。通過6個漏洞，跨越沙盒、Team ID、Entitlement、Kernel、KPP多重蘋果防護，最終實現越獄。

具體漏洞細節大家可以關注演講者後續分享，這裡比較值得關注的一點是：只需要跨過第一個環節——沙盒逃逸漏洞，就可以獲取本地隱私數據。如果安裝了帶利用的陌生應用，則對方可以獲取你的隱私數據，比如微信聊天記錄、照片、視頻等。

Android ARM虛擬機保護技術

介紹這個議題，主要是鼓勵下小盆友。演講者陳愉鑫，16歲，在知道創宇負責Android自動化病毒分析。

陳愉鑫研究Android加固技術，花費一年時間打造了一套基於ARM虛擬機保護技術的新型加固方案demo。大概來說，他要實現一套虛擬技術，對ARM處理器指令集進行變形處理，讓受保護應用使用虛擬機來執行虛擬指令。

這套技術屬於前沿研究，目前部分加固廠商已經實現，但16歲的小盆友來做，還是蠻厲害的。

其它研究成果

限於篇幅，還有不少議題只能一筆帶過，比如Android & Windows & Webkit & bootloader漏洞挖掘和分析、rootkit & PowerShell攻擊技術講解、Web安全數據分析等，在此表示抱歉，後邊有機會我們會再行展開。

今年KCon到此告一段落，大家明年見咯。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！