AI学习与DNS防御、开源漏洞检测框架与传说中的“羊毛党”:FreeTalk深圳站看点回顾(附PPT下载)

2017-10-19 124330人围观 ,发现 4 个不明物体 活动

2017年9月23日, FreeTalk 2017深圳站在深圳市洛客邦德馆成功举办。鹏城当日天气大好,本次活动也聚集了500多名安全从业人员与FB铁粉,可称热闹非凡。现场共准备了五个精彩纷呈的演讲议题,踊跃的提问和互动也拉近了观众宾与嘉宾之间的距离,好东西值得细细品味,今天就让我们一起来回顾一下当天的热门看点吧!

全部演讲PPT下载地址参见文末~ಠ౪ಠ

构建全流量Web入侵检测平台

李斌-流量入侵平台.jpg

华润网络的安全负责人李斌,基于其丰富的安全从业经验,在现场向大家分享了《构建全流量Web入侵检测平台》的实用心得,为本期的精彩内容开了个好头。

近年来,网络安全的国际形势日益严峻,不断增长的安全威胁给企业和个人都带来巨大的挑战。企业面临越来越多的安全挑战,如何能在攻防对抗中占主动地位?

传统的IDS系统做一个形象的比喻,假如防火墙是一幢大楼的门锁的话,那么IDS就是这幢大楼里的监视系统。然而面临愈发严峻的网络安全态势,IDS系统的缺陷日益显露:

1、基于规则检测,可检测攻击类型有限

2、关注检测过程,不关注结果,误报率高

3、没有保留全部原始流量数据,不便于事后追溯

4、扩展性不高

因此,引入全流量入侵检测技术架构就很有必要了。我们会通过镜像端口获取Nginx后端进出的Http流量,结合Bro抓包进行规则匹配检测和异常流量分析。常见的如SQL注入暴力破解撞库攻击、CC攻击等攻击手段,都可以通过异常分析引擎进行检测。

2.png

李斌介绍道,全流量入侵检测系统的扩展性也很强,BRO、ES及检测规则都可以平行扩展,应用场景也比较广泛,生产、测试、办公环境皆可应用。功能上来说,全流量数据可作为被动扫描器的数据源以全面发现安全漏洞,扩展MySQL数据包即可更精确地判断SQL注入,对接威胁情报平台则可以实现攻击追根溯源。

网络安全新时代,更加全面的入侵发现和威胁感知,毫无疑问会使我们在攻防对抗中处于主动地位。

互联网渠道营销活动安全防御研究 —— 羊毛党”威胁分析与研究

汤志刚-羊毛.jpg

国舜股份副总裁汤志刚先生,为我们带来议题《互联网渠道营销活动安全防御研究 —— 羊毛党”威胁分析与研究》。

汤志刚称,随着金融行业互联网化程度越来越深,互联网营销活动的深度和频度都在不断提升。当前互联网营销活动的典型模式是通过开展一些优惠活动吸引活跃用户,例如注册送代金券等。每一份奖励涉及金额都很少,只有几块钱甚至几毛钱,这些金额很小的奖励被称为“羊毛”

2.png

有一些人有选择地参与活动,采取各种非正常手段以相对较低成本甚至零成本换取“羊毛”水平利润,以量变最终达到质变。这一行为被称为“薅羊毛”,而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。而“羊毛党”也又可细分为“自撸”党、“倒毛倒卖”党、“综合”党等。

1.png

“羊毛党”的攻击手法及作案风格多种多样,针对不同的用户群体有不同的获利方式。在诱人的利益驱动下,黑产“羊毛党”快速形成了庞大而完整的产业链。根据汤志刚的统计分析,这些人的分工非常明确:

1、最前端是软件制作团伙,负责制作自动、半自动黑产工具

2、在中端,有账号出售团伙和卡商进行信息窃取和“养卡”

3、后端是职业刷手进行具体操作

当今的互联网环境下,各类营销活动的各个环节都有可能被攻击,都可能导致损失活动资金,损失活动资金规模在各种攻击手段的重复下可能很大,同时破坏正常的活动秩序,损害正常用户的活动体验,导致活动无法实现预期成果。因此,结合互联网渠道营销活动业务特点,进行针对性的防御非常必要。

每一次互联网渠道营销活动中,都如同过一座独木桥——左右权衡,在流量风控之间,寻求一个平衡点。

深入CRS漏洞检测框架osprey(鱼鹰)

接下来的分享嘉宾是来自斗象科技能力中心(Tophant Competence Center,简称TCC)的Cody,他会上分享了议题《深入CRS漏洞检测框架——Osprey(鱼鹰)》,并籍此正式开源该框架工具,引起一阵欢呼喝彩!

Cody-鱼鹰.jpg

Osprey是TCC研发的一款开源漏洞检测框架,应用在斗象科技旗下产品网藤CRS,并已同步到Github开源社区。

漏洞的生命周期

当一个新的漏洞被批漏出来,安全技术人员、研究人员会对漏洞原理进行剖析研究,然后输出对该漏洞的检测脚本(以下简称PoC)。随后,利用输出的PoC对客户或自有的产品、服务器等进行漏洞检测,最后提出对漏洞的修补建议。在整个漏洞生命周期中,最受关注的一点就是PoC的输出

3.png

大家可能会有这样的疑问:目前安全圈内已经有一些开源可用的PoC框架,为什么TCC还要再造一套呢?  

Cody在分享中表示,Osprey在今日的开源,也是源自于长久的积累。安全团队应该都会有自己定制的一些小工具,便于平时的工作使用,Osprey也是如此。最初,它只是作为团队内部人员自己开发使用的一个PoC检测小工具,随着需求以及使用场景的复杂化,Osprey也逐渐的迭代升级,演化到今天,成为一个稳定、强大的框架工具。  

在此基础上,TCC也希望将自己积累的能力通过开源的方式传递给安全圈和其他人,就像FreeBuf和漏洞盒子一样,秉承自由与分享的精神相互交流。

当然,Osprey 与其他PoC 框架也有差异。

命令行与 Web API 接口使 Osprey 的集成与调用更灵活多样,使用者可以简单的用 Osprey 作为PoC 工具检测漏洞,也可以利用它来定制开发自己的漏洞检测扫描器。另外,搭配 dnspot 组件,Osprey 还可以更全面的捕捉漏洞。

而我们将其命名为鱼鹰,也是希望它能够像鱼鹰捕获猎物一样,快、精、准、狠

命令行+Web API接口

以Flask为轻量级WebAPI接口,以Celery和RabbitMQ作为队列的任务调度和管理,以多进程和协程结合的执行方式作为Worker消费任务,以MongoDB存储任务执行结果的分布式漏洞检测框架。

4.png

除此之外,在日常工作中也会碰到漏洞无回显,PoC写不了的问题,比如后台XSS盲打、命令注入、SSRF……有payload也不知道如何写PoC。TCC对此也提出了自己的解决方案。  

Osprey+dnspot=漏洞无所遁形  

利用DNS域名和解析做无回显漏洞的盲检测,将带有特定标识的域名作为payload的一部分(如在命令注入漏洞的检测中,使用作为PoC的payload),当在你的名称服务器上收到对该域名的解析请求时,说明漏洞被触发了。

dnspot是TCC的另一个开源项目,它实现了一个DNS解析和记录服务器。  

实现方式:一个域名+一台公网服务器+将该域名的NameServer配置为该台服务器+部署dnspot于服务器上  

通过Osprey.utils提供的接口,可以非常方便的联动dnspot,在PoC中简单的通过方法调用就能实现无回显漏洞的盲检测。

5.png

dnspot是Osprey针对盲检测漏洞打造的利器,相关代码以及与Osprey的联动也将会在近期开源到Github中,敬请期待!

华强北产业链及其相关硬件技术研究报告

接下来出场的嘉宾是来自漏洞盒子的资深白帽PushEAX,他为我们带来的是《华强北产业链及其相关硬件技术研究报告》的主题分享。

杨文韬-华强北.jpg 

假设你买了台32GB的iPhone,后来有一天进了网易云音乐的坑,突然发现32GB根本不够塞,iPhone又不能换卡,这该如何是好啊?但是在神奇的华强北,可以直接帮你拆掉手机硬盘,花500块就能体验128GB的酸爽,岂不美哉?神奇的华强北到底是什么地方?换硬盘的手机真的好吗?

带着这些问题,PushEAX从以下四个方面进行展开,带我们一探神秘的华强北,走起!

1、华强北硬件“洋垃圾”产业链探究

2、论如何充分利用华强北的资源

3、华强北苹果产业链初探

4、展望硬件安全和物联网安全趋势

作为国内最大的“山寨”货源集散中心,全国各地回收到的各类旧硬件大部分都会发到华强北,包括一些东南亚国家回收的也不例外,量非常的大,因此形成一整套华强北产业链也就顺理成章了。

图片1.png 

PushEAX对华强北的洋垃圾进行了详细分类,CPU、主板、内存、储存、显卡应有尽有,并从应如何充分利用的角度进行了深入分析。 

插播一段题外话,2016年3月,FBI为了解锁一台贝纳迪诺恐怖分子使用的iPhone手机,施压苹果公司要求强行解锁手机。在遭到苹果公司的拒绝后,FBI转而向以色列移动取证软件公司Cellebrite求助。最后,FBI在支付1.5万美元的费用后成功解锁了该iPhone 5C手机。

而现在,解锁手机在华强北似乎只是一项“基础服务”。

图片3.png 

聊到硬件安全和物联网安全趋势时,PushEAX提到,拆、卸、焊、装甚至设计电路图,将会成为每一个物联网安全从业者必备的技能。未来的网络安全人才,必定是那一批不单单会分析代码,而且能拆能修,能做得了硬件设计加工的人。

基于Ai学习的DNS防御

华为防火墙前首席构架师雷奕康结合自己在相关领域的丰富经验,为我们带来了本期活动的最后一个议题——《基于Ai学习的DNS防御》。

网域名称系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使用户更方便地访问互联网,DNS使用TCP和UDP端口53。

但DNS系统本身却是非常脆弱的,一旦遭到攻击将造成巨大的影响。去年美国最主要的DNS服务商Dyn遭遇大规模 DDoS攻击,导致Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报等数百家网站无法访问。媒体将此次攻击称作是“史上最严重DDoS攻击”

1.png

雷奕康介绍道,DNS攻击可以分为DNS查询攻击DNS反射攻击DNS污染

DNS查询攻击即直接攻击DNS解析系统,使整个系统陷入瘫痪;反射攻击是通过DNS报文无需验证的原理,进行伪装后向服务器发送请求的一种攻击方式;DNS污染则分为正向和反向,但其目的往往都是入侵目标系统后,将域名指往不正确的IP地址。

2.png

据相关研究报告称,DNS性能和攻击能力完全不成正比,而目前的主流解决方案如Http DNS、Public DNS和智能DNS等往往都在易用性或安全性上存在比较大的问题。基于机器学习的全新架构可以采用算法优化,解决攻防两方的性能不对称问题。其用户学习和热点学习特性,则使得对DNS请求真实性判断的准确性大幅提升。

3.png

除了基于AI的智能DNS主动防御以外,雷奕康也向现场观众介绍了基于新一代AI DNS系统在安全应用、AI流量管理、商业应用和热点预测等方向的应用模式。他提到,DNS安全在未来几年内无论在互联网还是物联网领域,都将得到最高程度的重视。

至此,FreeTalk深圳站圆满结束,这次没能来现场玩耍的同学们,希望在其他场次中看到你们!我们下一站再见咯~

演讲PPT下载地址:https://pan.baidu.com/s/1geV1TUr,提取码:af83

*本文系FreeBuf官方报道,转载请注明来自FreeBuf.COM

这些评论亮了

  • T_T 回复
    工作十年不如我司工作一年。
    )10( 亮了
发表评论

已有 4 条评论

取消
Loading...
css.php