劇透Black Hat 2017將要發布的8款安全工具

2021-02-16 FreeBuf

舉世矚目的Black Hat 2017即將於7月22-27日,在美國的拉斯維加斯盛大舉行。作為信息安全方面的頂級會議,每年Black Hat都會帶給我們許許多多的驚喜。從黑客大咖到全球頂級安全企業都將使出他們的渾身解數,為我們展示他們最新的技術研究成果。

而在上屆新增的展示環節「Black Hat兵工廠」,則成為了眾多工具愛好者最為期待的環節。那麼在本屆Black Hat的工具展示環節,將會為我們帶來什麼樣的先進技術呢?為了不吊大家的胃口,下面我將為大家提前預告即將在本屆Black Hat上發布的8款安全工具,讓我們先睹為快。

GitPwnd

展示嘉賓:NCC集團的Clint Gibler和Noah Beddome。演講議題:《Developing Trust and Getting Betrayed》

信任是開展業務的一個重要基礎。例如我們要信任我們的員工,同行和他們的技術。對這些不同的信任關係缺乏適當的管理或理解,就會無意中帶來新的安全隱患,而GitPwnd就可以讓我們利用他們之間的信任關係。GitPwnd是一款旨在滲透測試人員侵入計算機,並具有跨越開發環境能力的安全工具。在實際生產中,這些環境往往都具有嚴格的網絡分段和日誌記錄。防禦性工具通常會查找與正常用戶行為不同的進程活動和時間。而GitPwnd會自己插入到共同的開發工作流中,從而可以較i好的避開這些檢測。

Sandsifter

展示嘉賓:Battelle Memorial研究所的Christopher Domas。演講議題:《Breaking the x86 Instruction Set》

該工具旨在幫助安全測試人員探測處理器的弱點。Domas將在一場演講中發布該工具,該演講將詳細介紹可以篩選x86指令集,並查硬體故障和相關軟體漏洞的處理器fuzz技術。

AVPASS

展示嘉賓:Jinho Jung,Chanil Jeon,Max Wolotsky,Insu Yun和Georgia Tech的Taesoo Kim。演講議題:《AVPASS: Leaking and Bypassing Antivirus Detection Model Automatically》

喬治亞理工大學英特爾科學技術中心(ITSC-ARSA)的研究人員,將向人們展示如何突破基於算法分析檢測的安全防護。他們將發布一款名為AVPASS的工具,這款工具可以有效地窺探Android反惡意軟體檢測模型,並將 Android惡意軟體偽裝成一款安全的應用程式。

WSUSpendu

展示嘉賓:Romain Coltel和Yves Le Provost。演講議題:《WSUSpendu: How to Hang WSUS Clients》

如果你可以拿到一臺域環境下的WSUS伺服器並取得管理員權限,則WSUSpendu會給你更多的驚喜。該腳本是由法國研究人員開發的,有了它滲透測試人員可以自主創建惡意更新,並將其注入到WSUS伺服器資料庫中隨意的分發這些惡意更新。這些惡意更新甚至還可能被分發給那些與網絡隔離的系統,威力可見一斑。

Data Exfiltration Through Cloud AV Sidechannel

展示嘉賓:Amit Klein和Itzik Kotler。演講議題:《The Adventures of AV and the Leaky Sandbox》

雲查殺技術給我們帶來了更好的安全保障,但Klein和Kotler即將發布的這款工具將為大家展示,這方面仍然存在著巨大的安全隱患。端點和雲之間使用的連接也可被操縱,並實施邊信道攻擊。他們將藉助該款工具將為大家展示「滲漏(exfiltration)」技術,即使是在有著嚴格出口過濾保護的高安全性端點,也能成功實施攻擊。

GoFetch

展示嘉賓:獨立研究員Tal Talie和微軟的Tal Maor。演講議題:《The Industrial Revolution of Lateral Movement》

GoFetch是一個自動執行BloodHound應用程式生成的攻擊計劃的工具。 該工具首先會加載由BloodHound生成的本地管理員用戶和計算機的路徑,並將其轉換為自己的攻擊計劃格式。一旦攻擊計劃準備就緒,根據計劃GoFetch會逐步向目標滲透,並應用遠程代碼執行技術,通過Mimikatz獲取目標系統的用戶憑證。

CDF

展示嘉賓:來自Kudelski安全的Jean-Philippe Aumasson和Yolan Romailler。演講議題:《Automated Testing of Crypto Software Using Differential Fuzzing》

他們演示並發布了不同的,可以檢測通用加密API中漏洞的fuzz工具,其中包括RSA加密,elyptic-curve加密和對稱密鑰方案。

Electronegativity

展示嘉賓:Doyensec的Luca Carettoni。演講議題:《Electronegativity - A Study of Electron Security》

隨著本地桌面應用程式的捲土重來,Github的Electron跨平臺桌面應用開發框架也越來越受歡迎。而Electronegativity可以幫助滲透測試人員審計,基於Electron開發的應用中常見的設計級漏洞和實現錯誤。Electronegativity將會作為Electron安全模型全面討論的一部分進行發布。

*參考來源:darkreading,FB小編secist編譯,轉載請註明來自FreeBuf.COM

相關焦點

  • 每日英語朗讀 | The magic hat
    THE MAGIC HAT魔術帽The man wears a black coat男人穿著一件黑大衣,and white gloves.戴著白手套。He has a black hat.他有一頂黑帽子。His name is Mr. Magic.
  • 想要用英語說「帽子」,你要會的可不止'hat'一個詞哦!
    而且帽子可不止『hat』一種說法哦~至於都有什麼,跟著小E一起看看吧!▷▷ Baseball cap 棒球帽也許是當今最常見的帽子,尤其是年輕人的時尚必備品。▷▷ Straw hat 草帽夏天流行者必備的另一類帽子。其中有一種草帽叫做 boater ,也就是平頂藤編硬草帽,原是男士專戴,如今也成了許多女孩的最愛。
  • 2017國內移動端十大安全事件:個人信息安全成關鍵詞
    回看2017年的網絡安全大事記,比起PC端WannaCry橫掃全球,NotPetya和BadRabbit攻擊歐洲等轟轟烈烈的重大安全事件,移動端安全威脅似乎更接地氣,與我們的生活更加息息相關。下面讓我們一起回顧一下,本年度國內移動端十大安全事件。
  • 我是誰:沒有絕對安全的系統
    今天為大家帶來一部德國電影雖然比較小眾但全程劇情緊湊,結尾高能是2015年評分最高的歐洲電影——《我是誰:沒有絕對安全的系統》班傑明是一個這樣的人:智商165,但是在現實世界中,他是一個失敗者,並且常常為找不到存在感而憂傷。
  • 劇透2017行睿榜丨2017中國美發行睿榜參展商:松下專業理髮器
    你們期待已久的,美發界的奧斯卡-2017行睿榜終於要到來了!小睿再也按耐不住心裡的雞凍了,我要劇透!劇透!劇透!2017中國美發行睿榜參展商 松下專業理髮器美發美發,總要先有把好工具才能實現美。「2017中國美發行睿榜參展商 」參展時間:4月24-26日特別提示:活動開始和結束時間,嚴格按照流程安排,請大家準時就位。
  • 新越獄工具發布、微信更新大改變、iOS13.6發布正式版
    Odyssey越獄工具發布iOS13.6、12.4.8發布正式版微信測試版大改變期待已久的 Odyssey 越獄工具正式發布,被Odyssey越獄團隊的@tihmstar此次發布全網無企業證書,所以 Odyssey 暫時無法在線下載的安裝方式,需要藉助電腦,使用愛思助手、AltStore 等工具自籤。
  • Black Hat 2018 哪些黑客教程賣得最火?
    2018 年 8 月 4 日至 8 月 9 日,被稱為安全界奧斯卡的「Black
  • 每日晨讀《Where Is the Hat》
    He has a lovely hat. He likes wearing it very much. But when he sits, his hat can’t stay on his head.傑克是一隻小鵝。它有一頂可愛的帽子,他非常喜歡戴它。當它坐著時,他的帽子總是戴著頭上。
  • 三星官方劇透Note8外觀 發布時間再提前
    或許是傳出下月底即將發布的緣故,三星GALAXY Note8不僅在網絡上頻繁被曝光,而且現在官方也似乎加入了「劇透」的行列。官方劇透Note8根據國外網站SamMobile的報導稱,三星Exynos官方推特日前放出了一張推廣Exynos 8895處理器圖片,並且首次出現了一款尚未發布的新機的身影。相比三星GALAXY S8而言,這款新機擁有更窄的額頭,並且機身兩側似乎也變得更寬,甚至連電源鍵也沒有出現,看起來更像是傳說中的GALAXY Note 8。
  • 2017 Blackmagic Design現場製作暨廣電新品發布(附直播視頻)
    北京時間2017年02月07日凌晨4點,BMD在新加坡召開新品發布會。
  • 紅帽Red Hat Enterprise Linux 7.8 更新
    紅帽對兩個月前發布的 Red Hat Enterprise Linux 7.8 進行了更新,7.8 是 RHEL 7 進入維護階段的首個版本,此次更新同樣是 7.8 的首次更新(也有可能是最後一次更新)。紅帽表示在升級之前,用戶應該開始認真思考他們升級至 RHEL 8 的策略。
  • iOS 12.4越獄工具發布
    日前,iOS安全研究人員Pwn20wnd發布了最新iOS版本的越獄工具,原因是Apple在iOS 12.4中引入了一個在iOS 12.3中修復的漏洞,而該漏洞也被用來在iOS 12.2版本中進行越獄。該漏洞除了可以被用來對iOS進行越獄外,還打開了攻擊者攻擊擁有大量iOS用戶的企業的後門。
  • 開源免費的 USB 啟動盤製作工具 Rufus 正式版發布!
    在之前大眼仔生活圈公眾號中有發布過一篇關於火絨團隊發布監測的關於老毛桃的文章,這應該算是其中一個典型吧,至於其它的我想也就不多解釋了。知名電腦裝機工具老毛桃包含惡意木馬程序 - 請謹慎使用今天大眼仔給大家推薦的是一款開源免費的 USB 啟動盤製作工具 - Rufus,目前這款工具在功能和穩定性上已經相當成熟,對於有強迫症或者愛乾淨的同學來說,想必這款工具會非常適合您。在十多天前發布的還是測試版,昨天 Rufus 3.12 正式版發布了。
  • 給大家介紹一下 這是2017上半年工控系統安全威脅概況
    作為一個緊跟潮流又緊密關注科技事件的小編,明星的戀情我就不多說了,蹭著這個熱點小編只想告訴各位:大家好,給大家介紹一下,本文是2017上半年工控系統安全威脅概況。近日,卡巴斯基實驗室通過對各種各樣的信息系統,比如商業、政府組織、銀行、電信運營商、工業企業和個人的信息系統進行分析,發布了《2017上半年工業自動化系統威脅報告》。
  • Jack 60s 美語講堂:white hat 是「白帽子」的意思嗎?(附音頻)
    這是 Jack 60s 美語講堂陪你度過的第 168 天Hey,guys  I'm Jack 歡迎來到Jack 60s美語講堂今天我今天要分享的英語表達是:White大家都知道是「白色」的意思,hat則表示「帽子」,那麼white hat是「白帽子」的意思嗎?
  • 維基解密發布CIA"哭泣天使"黑客工具針對三星智能電視的用戶指南
    維基解密發布了與中情局所使用的代號為「哭泣天使」的黑客工具相關的用戶指南,以劫持三星智能電視。
  • Facebook 開源 Instagram 安全工具 Pysa
    這是 Instagram 上用於檢測和修復應用程式龐大 Python 代碼庫中錯誤的一個內部工具,可以自動識別 Facebook 工程師編寫的易受攻擊的代碼段,然後再將其集成到社交網絡的系統中。其工作原理是在代碼運行 / 編譯之前,以靜態的形式掃描代碼、查找潛在已知的錯誤模式、然後幫助開發者標註出潛在的問題。
  • 9款免費Wi-Fi故障診斷工具
    【IT168 評論】以下這9個工具,可以幫助您知道無線網絡中已知的和未知的重要細節。這裡所列的每一個工具都能為您提供基本的無線詳細信息:SSID、信號強度、通道、MAC地址和安全狀態。它們甚至可以顯示「隱藏」或沒發送的SSID,顯示噪聲級別,或顯示無線連接成功和失敗數據包的統計信息。
  • 蘋果2017 年發布的這款產品終於要來了
    2017 年 9 月,蘋果發布了 iPhone 8 系列以及十周年 iPhone X,同時,蘋果還發布了一款 AirPower 無線充電枕。AirPower 支持同時為 iPhone、Apple Watch 以及 AirPods 三款設備進行無線充電,並且對設備的擺放角度沒有特殊要求,炫酷的動畫更是讓很多蘋果用戶對 AirPower 非常期待。
  • Pussy Power Hat
    a pussy cat with a pussy hat。哈哈~~小貓戴小貓帽