BlackHat 專題 | 中國黑客5秒幹掉 macOS 系統,攻擊方法首次全球...

2021-01-19 雷鋒網

用戶在蘋果電腦上點擊了一條連結,在他眼裡,一切都那麼平靜。然而他並不知道,隨著點擊的輕響,無數數據在電腦中奔湧激蕩。在秒針跳動五次的時間內,蘋果公司頂尖程式設計師們藉由代碼構建的層層防禦體系毀滅殆盡,賽博世界的上帝悄然易主。電光火石間,黑客奪取了電腦的一切權限。

這件事,真實地發生在「黑客奧運會」——Pwn2Own 2016 上。做出這種華麗攻擊的,正是來自騰訊科恩實驗室的黑客們。令人髮指的是,他們還使用了另一種姿勢,再次讓 macOS 的世界失守崩潰。

正是這種震懾人心的黑客美學,幫助他們成功獲得了「世界破解大師」的稱號。

從今年3月開始,全世界都在等待這群「大師」揭秘那次神秘攻擊的方法。五個月過去了,科恩實驗室的黑客們終於決定還原這次攻擊的技術細節。他們選擇的舞臺,是黑客界的最高盛會——BlackHat USA。

【從畫左到畫右分別是:Gross,Flanker(何淇丹)、傅裕斌、陳良】

隱秘入口——關於那次攻擊的驚人真相

陳良、Flanker(何淇丹)、傅裕斌、Gross,正是當時破解 macOS 的主力黑客。

他們親口講述的真相,幾乎超出所有人的想像:兩次完美的進攻,全部擊潰了蘋果的圖形渲染系統。這種攻擊方法,在世界上只出現過一次。而那一次攻擊的導演,仍然是他們。

這是一個隱秘的入口。

陳良告訴雷鋒網,

遠程攻擊是所有攻擊中難度較大的。而黑客進行遠程攻擊的首選正是瀏覽器 Safari。這兩次成功的攻擊,利用了兩套「Safari+圖形渲染」漏洞。

對於這種攻擊的發生,蘋果也負有一定的責任。Flanker 說,「在舊的蘋果系統中,一般的應用是無權調用 GPU 和圖形渲染系統的,所有的圖形渲染都必須通過「窗口管家」實現;而在新的蘋果系統中,為了保證用戶體驗的順暢,蘋果開放了普通應用調用 GPU 的權限。」

這正是一切災難的邏輯起源。

【macOS 圖形渲染系統工作邏輯示意】

畸形的數據

簡單科普一下:如果一個 App 想要繪製圖形,需要提供一些邏輯坐標,這些坐標通過內核驅動器傳遞給 GPU 做繪製,進而轉換成物理坐標,出現在顯示器上。

對於已經通過漏洞「綁架」 Safari 的陳良一眾,可以偽造 Safari 的「矯詔」,向圖形繪製系統發出各種畸形的數據。

例如一個非常非常長的矩形,例如一個邊長為負數的矩形。

對於圖像渲染系統來說,無論 Safari 的命令有多麼不靠譜,他都無法「抗旨不尊」。於是,可憐的渲染系統手握小皮鞭,逼迫 GPU 畫出一個「邊長為負數的矩形」。於是 GPU 方了,它的世界崩潰了,各種不著四六的數據被寫進內存,黑客的嘴角露出一絲笑容。

然而,這還遠遠不夠。

【內存溢出示意】

精心構建的數據陷阱

讓系統完全崩潰顯然不是黑客的目的,他們的目的是精準地控制這種崩潰——讓GPU的「哀嚎」組成一段「動人的交響曲」。

為了達到這個目的,他們面對「三座大山」。

1、他們要利用這個微小的創口,用手術刀精準地在內存裡排列出他們想要的代碼。


2、即便這麼艱難,但蘋果的代碼還是「閉源」的,他們必須通過逆向工程「猜」出蘋果的代碼邏輯。


3、雪上加霜的是,封閉的蘋果系統在安全防護上之決絕遠超 Windows。

事實上:他們每一個微小的動作,都會造成大面積的影響。

舉例來說,

這就像駕駛一部叉車穿針引線,連續完成一百次;


這就像帶上墨鏡打遊戲,連續通關一絲血都不費;


這就像同時交往一百個女朋友,還讓她們感覺不到彼此的存在。

總之,這件事情,比你的想像更難。

【現場展示對 macOS 的破解過程】

Flanker 告訴雷鋒網(公眾號:雷鋒網):

比較簡單的漏洞,可以允許黑客在任意地址寫任意值。這種情況就很容易。但是和圖形相關的漏洞通常是依靠 GPU 執行浮點運算。所以我們必須滿足它的性質——浮點數要對應很大的整形,所以必須在精確的內存位置布置極其特別的數據。

從技術上來說,他們需要找到一片穩定的內存,然後再極其短暫的時間內,把自己精心構建的代碼鋪進去。就像在飛馳的列車旁,精準地跳上一個指定的車門。然而,上帝在大多數時候並不那麼給力。

這個漏洞處於比較活躍喧囂的內存區,利用時一旦內存收到幹擾,就會失敗。所以我們發明了一套「內存風水論」。利用內存分配某些「先進先出」的特性,構造了一些「空洞」,然後想辦法讓我們的代碼正好落入這片「空洞」之中。

Flanker 解釋道。

以上的技術路徑,是兩套破解方案中較為複雜的一套,被他們稱為「內核態漏洞方案」,而另一套「用戶態漏洞方案」雖然理論相近,但利用方案相對簡潔。

【現場演示視頻中,攻擊者獲得系統最高權限】

永不消逝的噪音 VS 永不磨滅的黑客精神

正如前文所言,這種破解相當於「在飛馳的列車旁,精準地跳上一個指定的車門」。然而,Flanker 和 傅裕斌 告訴雷鋒網一個殘酷的事實:存在一定的可能性,當你準確地跳向車門時,車門卻是關閉的。

這種在盜夢空間最底層將入侵者扼殺掉的力量,仍然是來自內存的「永不消逝的噪音」。Flanker 說,「用戶態漏洞方案」有15%-20%的失敗機率,而「內核態漏洞方案」雖然失敗機率極低,但是仍然難保 100% 成功率。

這些來自賽博實際的的噪聲,是他們盡了最大的努力,仍然不能控制的最低值。

在3月的 Pwn2Own 大賽上,嚴苛的賽制規定,一個團隊只能在15分鐘的時間內最多進行3次嘗試。也就是說,雖然概率很小,但是他們仍然有失敗的可能。

然而這一次,一直為他們出難題的上帝終於眷顧了他們,兩種方案全部一次攻擊成功,分別用時 5 秒和 1 分鐘。

上帝眷顧他們的理由或許很多,

但是有一條不容置疑,

那就是這群中國黑客身上流淌著的,永不磨滅的黑客精神。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。

相關焦點

  • 看黑客如何在Black Hat 2016上5秒幹掉 macOS 系統,「催吐」ATM機|...
    Black Hat 2016 專題報導 中國黑客5秒幹掉 macOS 系統,攻擊方法首次全球揭秘用戶在蘋果電腦上點擊了一條連結,在他眼裡,一切都那麼平靜。然而他並不知道,隨著點擊的輕響,無數數據在電腦中奔湧激蕩。
  • 全球首次:中國黑客公布「催眠」特斯拉技術細節
    【特斯拉事故示意圖】而就在前兩天,中國特斯拉自動駕駛的「首撞」也發生在北京北五環上。頻發的撞車事故至少說明一點,那就是輔助駕駛系統還有諸多設計缺陷。而來自中國的黑客們,用實際的攻擊測試,證明了輔助駕駛系統遠不是「偶爾失靈」這麼簡單。稍不留意,它就可能被人利用,有計劃地發起各種「慘烈」的攻擊。
  • 2013年全球重要黑客大會一覽
    溫哥華CanSecWest會議時間:2013年3月6~8日,溫哥華,British Columbia官網地址:http://cansecwest.com/CanSecWest是一個老牌安全會議了,全球黑客頂尖賽事PWN2OWN就是由CanSecWest安全會議組織,早在2年前的PWN2OWN競賽中,黑客一舉破解了Safari、IE8
  • 全球超50000臺伺服器遭攻擊,它說是中國黑客幹的
    據 Bleeping Computer 美國時間 5 月 29 日報導,近日,Guardicore 網絡安全實驗室的研究人員發布了一份詳細的報告,內容涉及全球範圍內攻擊 Windows MS-SQL 和 PHPMyAdmin 伺服器的廣泛攻擊活動。
  • 全球黑客大會BlackHat上京東安全開源發布人工智慧反黑客利器FUZE
    北京時間8月14日在美國拉斯維加斯舉行的第26屆全球黑客大會BlackHat上,京東安全矽谷研發團隊發布了一款利用人工智慧對抗黑產的利器——FUZE,這是全球第一個利用人工智慧對漏洞進行評估分析的工具。
  • 全球近百個國家遭受大規模網絡攻擊,黑客勒索比特幣
    全球近百個國家遭受大規模網絡攻擊,黑客勒索比特幣 每日經濟新聞 2017-05-13 08:21:25
  • BlackHat 2015黑客大會精華報導
    黑客與極客(FreeBuf.COM)一年一度黑客大會BlackHat正在賭城拉斯維加斯如期舉行,全世界頂級黑客再度聚首,集思廣益,技術與觀點的交匯相觸。近期有兩位研究人員開發的針對智能汽車軟體的遠程攻擊表明,傳統軟體存在的問題許多也同樣存在於運行車輛的應用程式中。而想要從攻擊或者軟體漏洞中恢復,對於汽車而言則不是一件輕鬆的事情。Moss並不是唯一一個有這樣想法的人。長期為黑客及安全研究者擔任辯護律師、史丹福大學網絡與安全中心主任Jennifer Granick,繼Moss之後發言:軟體必須去承擔責任。
  • 破解知名軟體時間按秒算 世界黑客大賽 厲害了中國團隊
    破解知名軟體時間按秒算 世界黑客大賽 厲害了中國團隊     截至當地時間16日,在加拿大溫哥華舉行的Pwn2Own世界黑客大賽排名中,中國360、騰訊、長亭科技3家公司派出的團隊包攬前三名。
  • 專攻中國的境外黑客組織「海蓮花」首次曝光
    中國經濟網北京5月29日訊 5月29日,中國網絡安全公司360旗下「天眼實驗室」發布報告,首次披露一起針對中國的國家級黑客攻擊細節。該境外黑客組織被命名為「海蓮花(OceanLotus)」,自2012年4月起,「海蓮花」針對中國政府的海事機構、海域建設部門、科研院所和航運企業,展開了精密組織的網絡攻擊,很明顯是一個有國外政府支持的APT(高級持續性威脅)行動。
  • BlackHat 2015 驚現中國防禦「兵器」—SQLChop
    北京時間2015年8月2日,全球頂尖安全會議BlackHat如期在美國拉斯維加斯舉行。豪華的會場,火辣的美女,神秘的黑客,讓全世界的目光都聚集在美麗的拉斯維加斯。BlackHat無疑是匯聚全世界最多黑客的會議之一,其中不乏技術水平頂尖的著名與非著名黑客。
  • 黑客爭霸王中王!盤點全球最強黑客大戰
    破解類黑客大賽  破解類賽事傾向於選手對各大軟體系統、智能設備等熱門產品的破解,參賽者成功後獲得相應獎金和積分。被破解的廠商則通過該比賽發掘未知漏洞,完善自身產品的安全性。:智能硬體  影響力:HackPwn聚焦於智能生活的安全,相比破解,更注重提升產品的防護能力,並通過安全培訓、廠商協作等方式共同抵制針對物聯網的惡意攻擊。
  • 黑客講壇:QR二維碼的攻擊方法與防禦
    導讀:今天收到了「黑客講壇」的第二篇投稿文章,是來自blackeagle的一篇關於QR碼安全的文章。維權的手段一般是找到聯繫方式要求對方修改,如果溝通不順暢,也可以通過微博@官方帳號尋求解決的途徑,能做多少是多少吧。 最後,雖然大多數讀者可能沒有耐心看完這篇文章,但為了鼓勵「黑客講壇」的作者們,點擊「閱讀原文」可以為作者進行小額贊助。
  • 新發現的thunderclap漏洞允許黑客使用Thunderbolt/USB-C外設攻擊PC
    該漏洞會影響所有使用Thunderbolt接口的設備,並允許黑客通過插入數據線來黑入PC。 相關論文發表在加利福尼亞州聖地牙哥舉行的網絡和分布式系統安全研討會上。
  • 美國正遭遇「史上最嚴重」黑客攻擊,俄羅斯是幕後黑手?
    這場黑客攻擊上周日首次被曝出,此後美國財政部、國土安全部、商務部、能源部、國務院等眾多聯邦政府機構,以及科技巨頭微軟等許多財富500強企業都表示遭到攻擊。目前暫不清楚黑客是否獲取了任何機密信息,但有一些專家稱黑客可能在尋找核武器機密信息以及其他先進武器設計圖等。針對美國政府的攻擊可能數月前就開始。
  • 有黑客組織利用macOS後門對越南地區Mac用戶發起攻擊
    ▼ 援引外媒報導,一支有國家背景的黑客組織正利用現有 macOS 後門對越南地區的 Mac 用戶發起攻擊。根據趨勢科技近日發布的一份最新報告,這款升級版惡意軟體能讓攻擊者訪問受感染的 Mac,並監控和竊取敏感信息。
  • 富士康海外工廠遇黑客攻擊
    關于勒索金額一事,市場傳聞稱黑客向鴻海1804枚比特幣(價值約3450萬美元),這一消息目前尚未得到證實,唯一可以確認的是目前鴻海並未匯出勒索贖金。對此,鴻海集團證實表示,美洲廠區近日遭受網絡勒索病毒攻擊,鴻海正在與技術專家和執法部門合作,評估全部影響,目前內部信息安全團隊已完成軟體以及作業系統安全性更新,同時提高信息安全防護層級。
  • CISA:中國黑客利用開放漏洞,攻擊美國機構
    中國組織部署了開源工具,如Cobalt Strike、China Chopper Web Shell,以及Mimikatz等等從受感染的系統中獲取敏感信息。還不止這些。——CISA的指控——美國CISA機構說:「中國的網絡攻擊組織還在繼續識別網際網路上的大型證書庫,以實現暴力破解。」雖然此類活動不是利用0day漏洞的直接結果,但它表明中國的網絡攻擊組織可以有效地利用開源工具來實現攻擊目的。」
  • 美財政部遭黑客入侵,黑客用了美國產攻擊軟體,既丟面子又丟裡子
    美財政部遭黑客入侵,黑客用了美國產攻擊軟體,既丟面子又丟裡子 據美國媒體報導,當地時間12月13日,美國聯邦調查局和國土安全部網絡安全部門發表聯合聲明表示,在過去幾個月美國財政部、商務部以及美國大型網絡安全公司FireEye遭遇外國黑客的入侵。
  • 舊金山地鐵票價系統遭黑客攻擊並勒索比特幣作為贖金
    作者: GTong    舊金山的Municipal地鐵(也被稱為Muni)的電腦票價系統在上周遭到黑客攻擊系統被攻擊之後,黑客索要100比特幣作為贖金,相當於當日價格7萬3千美元。由於系統票價系統被攻擊,上周五、周六的地鐵乘客可以免費乘車,同時,地鐵的電腦屏幕上顯示一封寫有「你被『黑』了,所有數據已被加密。聯繫Key(cryptom27@yandex.com)ID:681 這個地址。」同時,所有的地鐵購票機器都工作失常,屏幕上顯示「免費乘地鐵」字樣。
  • 環球時報:五大證據揭露CIA網絡攻擊中國11年
    中國網絡安全公司360公司3月3日就爆出猛料:「多方面證據證實美國對中國關鍵領域的網絡攻擊已經持續了11年」。這是中國機構首次詳細披露相關證據,該結論到底如何得出?美國此舉對中國危害多大?《環球時報》記者就此採訪了多名業內專家。