硬核與底層漏洞齊飛：2017騰訊安全國際技術峰會次日精彩回顧

新聞 09-04

此次2017騰訊安全國際技術峰會的舉辦場所是深圳寶安區，寶安諧音「保安」，似乎也透露著安全重要性的意味。而會議所在的酒店附近，綠意環繞，高樓迭起，仍有不少還在建造之中，儼然一座繁忙且正在興起的城市模樣。繼

昨日報道

的 AI 、大數據、SMB 攻擊、CFG 防護等 7 個重量級議題之後，峰會的第二天依舊是硬核與乾貨齊飛，趨勢科技、Comsecuris、高通、MWR infoSecurity、盤古及 Corellium 嘉賓悉數到場，從早上九點半至下午五點半，走出會場時才恍然發現大雨正傾盆而至。

獅鷲圖騰是眼界寬廣、悉心守護的化身，在此開會似乎頗有深意

趨勢科技：如何通過開源漏洞攻擊閉源軟體

趨勢科技中 ZDI（

Zero Day Initiative

）組織總是博得大家的關注，此次峰會的第二天三位演講者通過分析在最流行的文檔閱讀軟體 Adobe Reader 中使用的開源組件模塊 TIFF 及 XSLT 引擎中尋找漏洞的歷程，向大家分享通過開源漏洞攻擊閉源軟體的挖洞及攻擊思路。

他們發現 Adobe Reader 使用了開源且無人維護的Sablotron引擎（原來開發該引擎的是 Ginger Alliance），

Adobe 只能自力更生添加部分功能來完善引擎的安全性。研究員通過結合模糊測試及審計 Sablotron 源代碼的兩種方法發現了一連串的漏洞（包括 CVE-2012-1530、CVE-2012-1525、 CVE-2016-4198、CVE-2016-6963、CVE-2016-6977 ）。研究員還在現場詳細剖析了這些12年一直挖到16年的漏洞的具體問題、利用、修復方案，以及如何通過舊的、已經修復的漏洞思考新漏洞存在的可能性。

而回顧當今時代的現狀，確實可以看到開源的項目越來越多地被應用到基於雲的大型應用中，開發者可能未能進行整體化地思考前就「敏捷」地添加了一部分功能進去。而應用開源組件的廠商可能會錯誤理解安全機制、錯誤使用、或乾脆沒有利用安全機制進行防護。

如何在 ARM 平台上追蹤硬體之上的底層代碼

德國 Comsecuris UG 創始人 Ralf 帶來了用 ARM CoreSight 進行追蹤調試的技術分享。在一個大型或較為複雜的系統程序中，功能強大的調試系統能助力迅速解決問題，且事半功倍。Mozilla 此前也有開發過一種 rr 調試工具，但是它只能運行於 x86 架構，有些指令不能翻譯到 ARM 平台，所以研究員放棄使用這種傳統的方法。當然，也有一些做法同樣可以做到 CoreSight 可以實現的追蹤，但在支持性、價格、通用性上各有千秋。

Ralf 在現場給出了CoreSight System 的模型示意圖，並對市面上的三種晶元（三星獵戶座，華為海思和高通驍龍）逐個進行分析，並現場演示了追蹤過程。CoreSight 代碼追蹤能夠有效檢測惡意程序的執行，這樣的代碼追蹤技術還是值得了解和掌握的。研究員還在分享最後給出了參考材料（ARM DDI 0314H、ARM IHI 0029D、

ARM IHI 0035B

）。

在安卓Chrome上獵殺邏輯漏洞

來自英國 MWR InfoSecurity 的安全研究員 Georgi Geshev 就此議題展開了論述，他們認為 Pwn2Own 比賽中過多地使用模糊測試會越來越難以發現可理解的漏洞，於是他們分析挖掘內存以及邏輯漏洞，並對部分發現的漏洞進行思路分享。在參加Mobile Pwn2Own時的規則是通過簡訊或者網頁的方法攻擊手機，為此，他們選擇的是chrome作為突破口。

他們發現 content scheme 能夠讀取本地文件，由此開始了對同源策略的調查，如果創建一個 HTML 文件，文件中會把自身嵌入 iFrme ， PC 端的 chrome 基於同源策略就不能打開，但用Android其實可以，攻擊者可以利用這一點讀取本地文件列表。其次，通過 CSRF 結合讀取的手機設備id可以發送 post 請求自動從 Play Store 上安裝應用程序。完整的攻擊方法很快就可以搭建出來：把HTTP重定向到content scheme 然後再使用 chrome 自動下載機制，使用下載地址欺騙同源策略，攻擊者就可以做到讀取本地已經下載的其他文件。當然，這樣的攻擊方法也有缺陷，比如Android 的 toast 消息就無法避免，需要等待用戶鎖屏後執行操作。

盤古團隊：輕鬆發現 iOS 高危漏洞

如何輕鬆學習研究 iOS 漏洞呢？盤古認為可以通過很多公開來源的途徑，獲取蘋果官方的公告、了解公開的越獄工具、diff 代碼、學習其他人的研究人員的博客中公開的漏洞細節（如Google Project Zero）。

研究人員認為第一步需要熟悉現有的漏洞，了解上下文的情況，嘗試自己寫POC、EXP，並測試穩定性方面的問題。第二部，需要分析漏洞的成因，有些低級漏洞的出現成因是代碼質量較差，如 SMB 中類似的漏洞很多。其次，需要分析漏洞的修補方法，了解是否有類似的漏洞。盤古團隊在方法論探討結束之後，對漏洞的案例進行分析：如 IOSurface、IOMobileFrameBuffer、sharememory系列漏洞等等。方法論中所謂的輕鬆也是說要舉一反三，從已發現的漏洞中學習。

現場演示：iOS虛擬化

Corellium 創始人分享 iOS 虛擬化這個新鮮議題，同時在現場一併公開了 iOS 虛擬化的最新研究成果。他介紹的 Virtual.al TK1 demo box 可以虛擬化 iphone3、4、4s，而他們的 CHARM設計（Corellium Hypervisor for ARM）還可以支持 iPhone 6 和 iPhone 7 的虛擬化。

有了這樣的虛擬化設備，在進行安全研究的時候，逆向iOS 會變得輕鬆起來。通過虛擬化攻擊，甚至可以直接通過 IDA Pro 進行深入研究，對於 iOS 研究社會會有幫助。

逆向工程工具：標準化和整合

最後壓軸的是騰訊科恩高級研究員 Anton Kochkov 的議題，目前安全研究員在挖掘漏洞進行分析時都有各種各樣的研究方法，靜態分析、調試、模糊測試的工具也是五花八門。每一年的安全會議上，都有各種工具全新登場，然而在做一些分析的時候，團隊合作挖掘和分析是研究中必要的一環，對比其他金融、建築行業都適用了通用的協議來進行行業內的合作，安全行業中，實際上沒有一種通用的標準或者協議，可以來進行工作的協作以及數據交換。

現有的部分協議存在著很多問題，不能夠跨平台，速度又會很慢，例如 GDB、LLVM、WinDdg，全新的優良設計的標準有待出現。Anton建議可以向數據科學家交換數據的方式學習，需要通過這種標準化的協議幫助交互性的提升。當然，這個協議並不需要像 ISO 那樣，他希望聚集更多的安全專家，建立專門的討論組並開始制定這樣的標準。

小結

此次的峰會中，國際一流研究員齊聚一堂，是一場前沿技術的分享大會。無論是工具的運用，研究分析的思路、以及安全行業的前景和未來，我們都在這場峰會中感受到了研究員們在常年的研究中積累出的智慧和認識，以及他們努力推動行業發展的意願。正如我們所看到的日新月異成長著的深圳，相信安全行業仍然會茁壯地成長，持續煥發著生機。

會後花絮