直击 HITB：360 在阿姆斯特丹讲了这些议题

2023-11-25 01:08:21 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

北京时间 4 月 8 日，欧洲顶级信息安全会议 HACK IN THE BOX（HITB）在荷兰阿姆斯特丹开幕。4 月 11 日开始，包括 360、腾讯、阿里在内的中国安全力量悉数登台演讲，成为会议的一大亮点。360 集团带来了软件安全、硬件安全、无线安全方面三个议题演讲和 HackCUBE 展台及承办 Badge Village，继续成为国内议题、展台项目数量最多的公司。

HITB 是目前欧洲知名度最高、影响力最大的信息安全会议，2003 年首次举办，今年已经是第 16 届，每年都会吸引全球顶尖的信息安全人才聚集阿姆斯特丹，共同探讨最为前沿的信息安全攻防技术。

深挖微软漏洞反获厂商点赞感谢

来自 360CERT 的 360CERT 安全分析团队负责人洪宇和 360CERT 安全研究员邢士康带来了「Attacking Microsoft .NET Framework through CLR」软件安全方面议题演讲，演讲主要是通过研究微软.net 中的 CLR 环境，以寻找.net 应用漏洞的通用性攻击思路。

洪宇介绍，议题里两个主要的意义，一是提出用过修改中间代码对上层.net 应用进行 fuzz 的 fuzz 思路，二是通过 CLR VSTO 进行新型的 Office 钓鱼，由于成功率远远高于以往传统钓鱼，甚至高于前段时间微软专门针对 DDE 做出缓解措施的钓鱼，所以有较大影响范围。微软 SRC 安全专家表示，将会根据演讲做一些关于 VSTO 的缓解措施。

图片1.png

洪宇、邢士康两位研究员演讲现场

在会后交流中，国外安全专家普遍对 CLR 中间层做 fuzz 的安全思路很感兴趣。专家认为，这个思路可以更方便从.NET 应用中间层进行 fuzz，从而找到.NET 上层应用的漏洞，算是一种通用性的研究思路，对于网络安全有重要意义。

「幽灵通道」威力堪比「水蝮蛇」攻防皆备

今年 360 无线电安全研究院第三次登上以「议题严苛」著名的 HITB 舞台，算是 HITB 熟面孔。来自天马安全团队的高级研究员柴坤哲、曹洪健，独角兽团队高级安全研究员李均带来了「GhostTunnel（幽灵隧道：用于突破隔离环境的隐蔽数据通道）」议题。GhostTunnel（「幽灵隧道」）的特性是利用无线信号在两台无网络连接的设备间进行数据通信，它可以和物理隔离环境中的设备建立一个「无线网桥」，这种攻击方式对被攻击端网络环境毫无影响和干涉，做到能在用户完全无感知的情况下建立远程通信。

图片3.png

柴坤哲、李均、曹洪健研究员演讲

在该议题中天马安全团队以利用 USB-HID 攻击为例，通过 HID 攻击将恶意程序释放到目标设备后执行，恶意代码利用目标设备的无线网卡发出无线信号与隔离网络环境外的攻击者进行通信。

值得一提的是，这个攻击方法与此前曝光的 NSA 的「水蝮蛇」攻击工具相似，距离要求更低，只要在无线信号的覆盖的有效距离内就可以，甚至可以利用其他特殊设备进行中转，实现无距离限制控制。

几位专家也从主机层面和企业管理层面提供了完备的防御方法，提醒更多的企事业单位要及时防御攻击。

图片4.png 柴坤哲、曹洪健、李均研究员演讲

HackCUBE 够「黑」黑客云集 360 展台

来自 360 无线电研究院另外一支重要力量鲲鹏安全研究团队, 发挥了 360 在硬件安全领先的科研能力。团队负责人简云定和研究员王超然、付杰带来了「Wireless Hacking with HackCUBE」的演讲和黑客工具 HackCUBE 展示，这也是 HackCUBE 首次与全球安全爱好者见面。

HackCUBE 是一个自由度很高的攻防研究硬件平台，搭载各类 IOT 通信模块如 WiFi、NFC、Bluetooth、RF 等，安全研究员及爱好者皆可通过 HackCUBE 实现各种 IOT 相关安全研究以及 DIY 各类安全攻防程序。

图片5.png