红雨滴团队Blackhat、Defcon参会项目介绍(附大会部分议题PPT)

阅读量333529

|评论1

发布时间 : 2019-08-12 19:00:04

 

今年北美最大安全盛会Blackhat 2019和Defcon 27已经结束,奇安信威胁情报中心红雨滴团队也在Blackhat Arsenal和Defcon Demo Labs亮相,并展示了相关工具和Demo。

其中,红雨滴团队在Blackhat Arsenal上展示了IOC Explorer和SysmonHunter,分别用于辅助威胁关联分析和狩猎,在Defcon Demo Labs上展示了一个通过USB接口实现的隐匿Bootkit USB-Bootkit的实现。这里,我们对相关参会项目内容进行介绍,并附上相关PPT资料和代码链接。

 

IOC Explorer:自动化关联失陷指标的工具

关联失陷指标是安全事件调查乃至威胁狩猎的重要步骤。发现一个主机的IP地址与多个恶意文件存在关联,并且进一步确认这个主机旨在提供恶意文件下载服务,该发现有助于让安全运营团队实施更加有效的安全预防措施,比如:阻断内部主机与该恶意IP的访问连接。然而,构建失陷指标之间的关联通常需要大量的人工操作,比如在多个不同的威胁情报源(包括开源情报和私有情报)中检索失陷指标。有时候,分析人员只有在手工执行了多次迭代查询之后,才能发现高价值的关联线索。

IOC Explorer旨在协助分析人员在所有可用的威胁情报源中自动执行迭代查询,并在所有失陷指标间构建清晰的树状关系结果。在减轻了人工负担的同时,该工具也会协助分析人员发现更多调查线索。

相关工具可以访问如下的下载链接:

https://github.com/lion-gu/ioc-explorer

下面是该工具作者在Arsenal现场展示台的现场照片。

 

SysmonHunter:一个简单的基于ATT&CK的Sysmon日志狩猎工具

ATT&CK为近年来最火的安全名词之一,从我们对ATT&CK视角来看,其主旨在于建立更加统一的攻击战术技术表达,其原理白皮书中也介绍了包含的244项攻击技术来源于对公开威胁团伙或活动的抽象和总结,并且提供了相应的检测和缓解建议。

我们结合对ATT&CK的研究,开发了一个简单的狩猎工具并用于Sysmon日志的分析中。SysmonHunter工具自定义了描述威胁对象的结构和基于ATT&CK的检测规则语法,用于筛选Sysmon日志中的异常行为,并与对应的攻击技术类型和战术目的相映射,帮助威胁分析师定位日志中的网络攻击痕迹。

SysmonHunter使用ElasticSearch和Neo4j来存储异常的威胁对象及其之间的关系,用python pandas库完成数据的清洗和统计工作,最终以web界面形式呈现。

工具及相关PPT介绍下载链接:

https://github.com/baronpan/SysmonHunter

 

USB-Bootkit:通过USB接口实现的隐匿Bootkit

在对目标系统计算机实现控制的过程中,如何针对目标持久化、隐蔽地植入恶意代码一直是攻击者的努力方向。尤其是在国家级对抗的APT攻击案例中,更底层、更难以被发现的植入方法被越来越多的使用。例如“方程式”组织(Equation Group)针对常见品牌的硬盘固件重编程的恶意模块,含有能够感染硬盘固件的恶意代码,并且极难被发现和清除(即便重装系统,除非替换硬盘)。

在针对USB接口及计算机体系结构和操作系统进行深入研究后,我们发现了一种新型的、通过USB接口实现的Bootkit攻击方案。该方案利用供应链等攻击场景,在可物理接触目标计算机时,将恶意USB设备隐蔽的接入到目标计算机硬件设备内(如主板、USB外部设备等)。内置在隐蔽USB设备中的Bootkit攻击代码,在计算机启动时优先于操作系统运行,从而劫持系统加载过程,实现隐蔽的Bootkit攻击。被攻击的目标即便重装系统、格式化硬盘,甚至替换硬盘,均无法防御该攻击。

我们制作了一个内嵌USB-Bootkit的HID键盘参与了本年度Defcon Demo Labs演示。该键盘在外观上与普通键盘并无差异,但内置的Bootkit设备能劫持Windows的启动过程(自适应Legacy和UEFI模式)。当攻击完成后,恶意设备模块会自动断电,以避免被操作系统识别。该演示吸引了大量的关注,同时收到了很多的现场提问。

下图是小伙伴在现场演示时的相关硬件照片。

Paper及演示录像下载链接:

https://github.com/RedDrip7/USB-Bootkit

 

关于Blackhat 2019和Defcon 27大会的更多资料,也可以参考如下链接进行下载(感谢国内相关研究人员的收集和分享)。

Blackhat 2019大会PPT:

链接: https://pan.baidu.com/s/11Di191v9p3TD2NdFb2gWWg

提取码: u3qa

Defcon 27大会资料:

https://media.defcon.org/DEF%20CON%2027/

本文由奇安信威胁情报中心原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/183990

安全客 - 有思想的安全新媒体

分享到:微信
+15赞
收藏
奇安信威胁情报中心
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66