# AIS3 2018 北區共筆 官方網站 : https://ais3.org/ 聊天室 : https://tlk.io/ais3-2018 中區共筆 : https://bit.ly/2KkFVQ3 南區共筆 : https://bit.ly/2mPQkdj [TOC] ### 7/30 (一) 14:00 - 17:00 - 講師 : Asuka Nakajima NTT - Reverse Engineering Dojo: Enhancing Assembly Reading Skills - Goal: Human Decompiler #### calling convention * stdcall * fastcall * thiscall ### 7/31 (二) 09:30 - 12:30 - 講師 : 叢培侃 奧義智慧科技 - 基礎汽車網路安全研究 Car Hacking 101 - ~~要研究 IOT 先拿社區的裝置開刀就對了~~ #### IOT Security * firmware * embedded linux * physical: UART(debug port) #### Car Hacking * physical: OBD-II Connecting / Board * Doagnostics Hardware / Software * ECU Know how * CAN Bus / UDS know how * Binary Analysis skill * A real car or testbed #### Car hacking in blackhat * https://www.blackhat.com/us-17/training/schedule/index.html#car-hacking---hands-on-5624 * CAN Bus: * https://en.wikipedia.org/wiki/CAN_bus * https://www.blackhat.com/docs/eu-16/materials/eu-16-Sintsov-Pen-Testing-Vehicles-With-Cantoolz.pdf #### Attacking ECUs and other Embedded Systems * EEPROM Programmer * Dump the firmware * JTAG * Fault injection（Glitching） * Clock Glitching * Power Glitching * Reversing The Firmware #### Car Hacking Vectors * Door/Windows Code * Replay CAN message or amplifined key relay attack * Keyless/Immobillzer * Transponder brute-force / clone * Megamas / Hitag / DST-40 * Hacking TPMS * 315 / 433 Mhz UHF * Hacking Radars * ADAS * 容易被干擾 * 需要搭配環境感知系統 * Hacking ECUs * Firmware dump / write / tuning * Hacking In-Vehicle Infotainment Systems(IVI) * WinCE / Linux / Android / QNX / AGK * QIA / APP / Navigator / Web Browser * 最早的娛樂裝置，能夠連上網 * CP 值高，很多研究員研究它 * 好 * Controller Area Network (CAN) * Standard: ISO/DIS 11898-1~4 * CAN-High, CAN-Low 雙絞線（抗干擾）  * OBD-II / Dongle * 讀取 CAN-High 與 CAN-Low 訊號並用網路傳出去 * 只有板板沒有API，不建議初學者走這條 * ECOM - 很好用，有很棒的 Interface 可以用 * https://www.cancapture.com/ecom * ValueCan - hen 貴，有很棒的軟體 * https://www.intrepidcs.com/products/vehicle-network-adapters/valuecan3/ * Universal ECU Bench Cable * 研究個別 ECU 很好用 * Unified Diagnostic Service (ISO 14229-1) * [wiki](https://en.wikipedia.org/wiki/Unified_Diagnostic_Services) * 每個汽車都會支援 * $27 - Security Access * 提權 * 攻擊 * replay the fixed seed/key * Hijack UDS session to gain access level * 例如 Upgrade 時擷取 UDS session * 條件：CAN 訊號要隨時接出來且剛好正在更新 * Reverse Diagnostic Software / ECU firmware * https://www.blackhat.com/docs/us-17/thursday/us-17-Nie-Free-Fall-Hacking-Tesla-From-Wireless-To-CAN-Bus-wp.pdf * ECU Firmware Reversing * infineon 晶片，可以丟 IDA Pro (tc1797) * Binary 裡以 `E5 44 EA` 開頭的部分藏有 Seed / Key 演算法的線索（？ ### 7/31 (二) 14:00 - 17:00 - 講師 : 許育誠/林政君 趨勢科技 - 先進資安防護技術 & 實例：AI/IOT - 基礎資安教育訓練：網頁 & IOT (TMSAT) #### 先進資安防護技術 & 實例：AI/IOT  * 黑色供應鏈(地下經濟) * [TOR](https://www.torproject.org/) ( ͡° ͜ʖ ͡ °) * 物聯網裝置為何成為攻擊焦點 * 時時連線 * 自帶弱點 * 代價低廉 * 缺乏管理 * Foscam, netis不要買 * [Shodan](https://www.shodan.io/) * 駭客的GOOGLE，提供搜尋在線上且存在漏洞的IOT裝置 * 用於發動DDOS的著名惡意軟體Mirai * Mirai開源網址: * https://github.com/jgamblin/Mirai-Source-Code * 名稱來源：  * 中國IPcam都外包的，不會修漏洞 * 興趣使然的開PORT很常見 * 社交工程實務 * 你好我是供應商，我後面有100萬訂單 * 請問貴單位使用幾版的OS呢? * 台灣廠商善於互毆(~~網內互打不用錢~~) * 台灣政府很有錢（咦 * 台灣有熱心民眾 (~~台灣最美的風景~~) & IPCAM * WannaCry攻擊加油站電腦，害講師沒辦法加油 * 工業物聯網中，OT人講話特別大聲 * [GSMA](https://www.gsma.com/iot/future-iot-networks/iot-security-guidelines/) #### 基礎資安教育訓練：網頁 & IOT (TMSAT) * 60% 相似的簡報 * [ppt link](https://s.itho.me/cybersec/2018/pdf/0313_103-3.pdf) * 安全的 Session / Cookie * Insecure Way * 永久有效 * Session Fixation * 沒有限制 Cookie 存取權限 * Suggested Way * 設定有效期限 * 認證或權限變更之後要重新建立 Session * 設定 Cookie 屬性做保護(利用參數) * 裝置的預設密碼 * Insecure Way * 使用預設的系統密碼 * 延伸問題 * [Insecam Project](https://www.insecam.org/) * Mirai：掃描鄰近的 IoT 裝置，測試預設的帳號密碼，成功就會成為 botnet 的其中一員 * Suggested Way * 強迫使用者在安裝流程變更系統密碼 * 2016年10月21日 Dyn 公司提供的 DNS 服務遭到了數次通過 Mirai 發起的大型 DDoS 攻擊，牽涉到的受感染物聯網裝置數量眾多。這次攻擊使得數個高瀏覽量的網站無法正常開啟，其中包括 GitHub、Twitter、Reddit、Netflix 和 Airbnb 等 * 使用未加密的傳輸通道 * Insecure Way * 使用沒有加密的通道傳輸設備操作命令 * Suggested Way * 使用加密通道傳輸設備操作命令 * TLS/SSL通道 * 使用HSTS * 強化HTTP header設定 * 登入WIFI用的密碼是用於加密資料的，大家都用相同密碼連同一個SSID，有沒有毛毛的 * 使用不安全的加密演算法 * Insecure Way * 使用已被攻破或已被證實不安全的加密和雜湊演算法 * Suggested Way * 使用正向表列的加密演算法 * SSL and TLS Deployment Best Practices (SSL Lab) * Recommendation for Applications Using Approved Hash Algorithms (NIST) * 暴露敏感資料 * Insecure Way * HTTP 標頭回傳伺服器資訊與版本 * 暴露伺服器端目錄結構 * 把機敏資料寫進 Log 或直接印出 * 直接印出錯誤訊息 * Suggested Way * 隱藏伺服器相關資訊避免提供攻擊線索 * 禁止直接讀取目錄或讀取工作路徑以外的檔案 * 抹除機敏資料後才能寫進 Log 或印出 * 自訂錯誤頁面 * 沒有驗證使用者端送上來的資料 * Insecure Way * 透過更改 URL 參數、POST、Cookie 等資料做惡意操作 * SQL Injection * 沒有邊界檢查 (Boundary Check) * Buffer Overflow * Suggested Way * 操作資料前必須在伺服器端確認使用者身分和權限 * 檢查且過濾使用者送來的參數 * 在伺服器端驗證參數是否合法 (Whitelisting) * 脆弱的使用者密碼 * ~~Insecure~~ Way * 使用超短密碼 * 使用常見的已知密碼 * 延伸問題 - 字典法攻擊 - 暴力法攻擊 * Suggested Way * 增加密碼長度 * 禁用常用的已知密碼 * 多重驗證 (MFA) * ex.提款卡+帳戶密碼才能提款 * SSO * Digital Identity Guidelines (NIST, 800-63B) #### TMSTAT任務流程簡介 - Cedric Wang * PDF 參考 [I'm pdf.](https://www.ccisa.org.tw/download/20171215TrendMicro.pdf) * [PaGamO 平台](https://www.pagamo.org/) ### 8/1 (三) 09:30 - 12:30 - 講師 : 王歆綺 資策會 - 遠端注入與無檔案式攻擊技術 #### 無檔案式攻擊技術 實作ing~~ * [rtf analysis](https://blog.nviso.be/2017/04/12/analysis-of-a-cve-2017-0199-malicious-rtf-document/) * 惡意程式通常只會發出一次連線，而一般應用則通常會持續連線，可藉由此特徵分析流量並找出受害電腦 * Get 是明信片, Post 是信封～ ### 8/1 (三) 14:00 - 17:00 - 講師 : 王凱慶 中華電信/中華資安國際 - 網站應用程式安全 * 其他可以考慮的議題 1. 浮動IP範圍 2. 服務是否暴露在public環境上 3. 系統弱點是如何被patch的 4. 入侵系統後還能夠做些甚麼 5. 網路架構是怎麼一回事 6. 應用架構特性差異 [SSL Checker](https://cryptoreport.websecurity.symantec.com/checker/) [彩蛋 傷心 難過](http://b0rder1and.ais3.org/) 資訊蒐集 * IP列舉 * 掃描雲服務廠商所有IP * DNS是個好方向 * 搜尋引擎 * Google, Yahoo * Crt.sh * 證書透明度查詢系統 * 僅有效憑證資訊可供查詢 * 類似網站 Symantec Cryptoreport * PassiveDNS * 記錄曾經解析過的網域 * 分析網域過往行為 * 通常用於防毒廠商分析網域 * 加入Virustotal計劃可以收到大家回傳的樣本或.. * DNSdumper：給他domain，會回傳一些有趣東西 * 網域列舉 * Censys, Shodan, Zoomeyes * 紀錄網路空間的主機資訊 * 被記錄後可能會被掃 * CSP(CONTENT SECURITY POLICY) CSP用於指定網站資源有效域，用於強化xss攻擊的抵抗力 * 暴力破解 * 一本好的字典 * Sublist3r ← 講者推薦的開源工具 [VirusTotal](https://www.virustotal.com/#/home/search) [dnsdumpster](https://dnsdumpster.com/) [ZoomEye](https://www.zoomeye.org) [Censys](https://censys.io) * CDN服務 * 快取 * 存取控制 * WAF * 抗DDOS * 繞過CDN * 為什麼要繞過? * 沒了CDN就沒了WAF * DDOS就打的到 * 容易debug * 額外的注入機會 * 額外的注入機會 * AP通常是如何獲取使用者的IP? 先找HTTP_CLIENT_IP沒有的話才找REMOTE_ADDR 前者使用者可以自己改，所以這方法不可靠 * 使用CDN的AP要如何獲取使用者真實IP? 跟上面差不多，差在HTTP_CLIENT_IP變成CF-CONNECTING-IP * 怎麼繞過 * 嘗試找到舊 IP * 找尋暴露在網路上的真實 IP (PassiveDNS) * 尋找沒有受cdn保護的子網域 * 調整 HTTP Refer * 觀察 Header * 測試網站暴露在網路上將帶來各種風險 * 譬如提早暴露 AIS3 錄取名單 * 搜尋講師資料可能會找到有趣的東西 * 使用 CDN 的正確姿勢 * 該主機限定只有 VPN 才能存取 * 使用安全通道 * GRE Tunnel * VPN * 僅允許 CDN 與 AP 進行連線 透過調整HTTP HEADER 將 USER AGENT 改成 GOOGLE BOT 來源改成自己的DOMAIN 有些在CDN後方的SERVER為了確認你是否為Google Robot 會主動發起連線，真實IP便露出來了 * Cloud Storage Service * 資料儲存服務 * 透過API進行操作 * 雲端環境中的角色 * 資料長時間儲存 * 資料交換 * 儲存備份資料 https://buckets.grayhatwarfare.com/ * 如何列舉目標的 S3 Bucket * 使用字典檔 * 如何生成字典檔 * 手動生成 公司名稱 參考實際使用名稱 參考DevOps的命名方式 * 自動產生工具 Smeegescrape CeWL SSRF * 神奇服務 * Splash: Javascript Render Service * 爬蟲會用到的工具 * 可以 GET/POST 還可以修改 header * 運行方法 * docker run -p 8050:8050 -p 5023:5023 scrapinghub/splash * ↑官方建議參數，listen 0.0.0.0，非常危險 * 練習 http://ssrf01.0x61697333.cf/ * Payload * file:///etc/nginx/sites-enabled/default * file:///meow/ais3/index.php * http://0:9200/_search * 可利用協議 * Http/Https * http://127.0.0.1:8080 * Gopher * gopher://127.0.0.1:6378/_get * File * file:///etc/passwd * Dict * dict://127.0.0.1:8379/hello:world * 保護繞過 * http 302 重新導向 * Location: scheme://IP:Port/Path * IP變形 * 127.0.1 * ipv3 的表達形式 * 127.0x0.0x00.1 * 127.0.0.1 => http://2130706433 * http://0/ * http://[::] * http://0000::1 * nip.io * DNS Rebind * 檢查與請求結果不一致 https://github.com/carnal0wnage/weirdAAL ### 8/2 (四) 09:30 - 12:30 - 講師 : 劉建宗 安華聯網 - 軟體安全開發實務 * Software Development Life Cycle (SDLC) * 單元測試責任 -> 開發人員(RD) *  * Single Point Of Failure (SPOF) * e.g. Dyn DDOS * [Insecam](https://www.insecam.org/) * CppUnitLite 實作練習 1. V2 password：`Fqv$M;K[8&@-2Hm~` 2. V3 password：`ZtA6t735ZH:D7S?r` 3. V4 password：`eDpYJbD},"*74?"W` #### 軟體安全分析 * 進行測試 * 定義Trust Boundry * 定義弱點 * 利用弱點 * Thread Modeling (Design phase) * 探討攻擊點 * 有哪些process或data在運作 * 用哪些channel或protocol運作 * 確認存取權限 * 判斷可能的威脅 * 列舉正常的使用者行為 * 定義有可能的非法行為 * Attack tree (基於使用者經驗): 分析非法行為的成本 * Thread list (ex: OWASP Top 10, CWE Top 25, ...) * 風險分析 * 依據發生機率、造成的影響量化 * Handling Risk * Avoid: 發生機會高衝擊又高，應避免 * Transfer: 風險轉嫁 * Ignore: 衝擊小，可忽略 * 問題文件化 * 使後續處理有所依據 * 自動化的安全檢測 * 靜態 Static * 不實際執行 * 從原始碼判斷 * 容易被混淆 * 動態 Dynamic ### 8/2 (四) 14:00 - 17:00 - 講師 : 李奇育 交通大學資工系 - 4G 行動網路安全之潛在風險與檢測 #### 行動網路系統與安全簡介 * 行動裝置、NB-IOT蓬勃發展 * 電信商多以媒體服務賺$$(e.g. VoLTE) * 行動網路系統與安全大綱 * 行動網路系統的演化  * 行動網路的主要標準: 3GPP * 通常standard沒有規定的事電信商就不會做，眾多漏洞便由此產生 * 3G 採 Circuit switching 的語音服務封包交換 Packet switching 上網 * 4G is IP-based * Circuit switching 會 reserve resources 品質較優 * 3G/4G行動網路架構  * User plane * Control plane(MME 控制) * RRC(e.g. 連基地台(BS)) * MM(告訴MME位置) * CM(取得IP上網) * 如何建立一個用於上網服務的4G網路連線?  * 目前4G網路的安全機制 * 用戶認證(IMSI) * 非存取層： 只對Control Plane加密 * 存取層(AS ciphered) #### 計費功能(Charging)之潛在安全威脅 * 資料流之認證(Authentication)與授權(Authorization) * Vulnerabilities 1. 惡意增加流量 2. 免費流量 * 資料流量統計: 統計多少Bytes經過核心網 (封包閘道器P-GW)  * 認證安全弱點與攻擊 1. IP, Bearer 運作分離 2. Accounting只記IP，導致可 IP Spoofing 偽裝使用者惡意增加流量產生費用 * 資料流授權安全弱點與攻擊 1. 偽裝IP，導致用戶下行資料流增加 2. Skype P2P(UDP): 打電話並掛掉使受害者流量增加 3. 釣魚 4. MMS(TCP) * 認證與授權弱點解決方法 * 跨層的安全綁定 (IP和Bearer) * 取消授權機制 * 3GPP 無詳細安全定義 #### 4G新世代高音質通話系統(VoLTE)之潛在安全威脅 * Voice over LTE(VoLTE): 即利用封包提供語音服務 * $30啟動服務 * 以通話時間計費，而不是流量 * IP Multimedia Subsystem(IMS): 多媒體server，重要架構，負責把packet-based 轉換成 circuit-based  * VoLTE 優勢 * 直接在 LTE 打電話（以往會切回 3G），可以邊講電話邊用 4G 上網 * 接通電話的速度比較快 * 音質比較好 * VoLTE 運作  * 用 IPSec（拿到 Key 有機會解開） * VoLTE 的 QoS * VoLTE Voice Bearer: Guaranteed-Bit-Rate，優先等級 2 * VoLTE Signaling Bearer: Best Effort，優先等級1 (highest) * Call 建起來就有 guarantee 不會被打斷，如果資源不夠，會阻止新的 Call 建立起來，但不會去打斷現有 Call * VoLTE 弱點 * 是否能利用Signaling Bearer傳送資料封包，取得較高優先級，而不用額外費用 * 手機是否允許軟體傳資料到 VoLTE * 早期可以，現在有些會隱藏 interface * 4G 閘道器是否會把封包傳到網際網路 * T-Mobile 可以傳道網際網路和另一支手機，但 AT&T 只能傳給另外一支手機 * 有些封包過不了（例如只有 ICMP 可以過） * 利用ICMP / UDP tunneling傳資料出去 * 免費使用飛機wifi * 傳垃圾封包干擾 VoLTE 通話 * DoS * 狂送 VoLTE Signal Bearer 給受害者，受害者便不能用 Data Bearer 傳資料 * 不安全的語音承載 * VoLTE 封包是直接從 Modem 送到硬體，不會經過作業系統 * 手機和 IMS 經 signaling bearer 溝通雙方要用的 IP 和 Port * 通話建立後 modem 會將該 IP 和 Port 的封包當成語音封包，直接送到語音承載 * 原因與解法 * 可分成 VoLTE 標準、行動網路、行動裝置 * VoLTE的標準:設計的缺陷 * 缺乏對VoLTE服務和高優先級承載的保護機制 * 行動網路 * 不適當的路由和缺乏VoLTE信令的統計機制 (accounting) * 解決方法:修正路由、限制高優先級乘載的速度、增加VoLTE信令的統計機制 * 行動裝置 * 軟體(行動作業系統)和硬體(Modem)皆缺乏適當的存取控制 * 新版Android已經增加了對VoLTE資訊和網路介面的存取控制 * [VM](https://goo.gl/8DRz82)，密碼: `nctu` #### 4G行動網路簡訊系統(SMS)之潛在安全威脅 * Internet-based * CS-based * iMS-based ### 8/3 (五) 09:30 - 12:30 - 講師 : Anthony Lai [VXRL](https://www.vxrl.hk/) - Target Attack Analysis and Incident Response * material: https://goo.gl/XFubKq * training folder: https://tinyurl.com/ybs4bwn6 * Taiwan is Taiwan, no Taiwan China.(我們懷念他) * Taiwan is a country. * QQ很危險:https://goo.gl/dvFZ18 * 中國手遊大多有後門，~~誰玩誰傻逼~~ * ~~不用手機就不用怕了~~(10年前我可以但現在不行XD) ### 8/3 (五) 14:00 - 17:00 - 講師 : 劉作仁 安華聯網 - 連網裝置安全檢測 - 講師無慘 - 善用裝置預設 root 權限 - 通靈，揣摩開發人員想法 ### 8/4 (六) 09:30 - 12:30 - 講師 : 林昆立 TDOHacker - 逆向工程實務 * ida 快捷鍵 * shift+F12 開啟字串列表 * F7 Stepinto * F8 Stepover * xor al 0x20 * al是a~z的話是大小寫轉換 * 睡前優質讀物 * https://www.xorpd.net/pages/xchg_rax/snip_00.html * https://beginners.re/ * https://wizardforcel.gitbooks.io/re-for-beginners/content/ * 無法由組合語言判斷兩個連續位址是兩個區域變數還是一個含有兩個變數的struct ### 8/4 (六) 14:00 - 17:00 - 講師 : 陳仲寬 交通大學 BambooFox - AI Security Docker 安裝 curl -sSL https://get.docker.com/ | sudo sh Docker image load sudo docker load < mlsec_ais3.tar sudo docker run -p 8888:8888 -it mlsec:ais3 bash or 從 dockerhub pull 下來 sudo docker pull bletchley/mlsec:ais3 sudo docker run -p 8888:8888 -it bletchley/mlsec:ais3 bash 進到 docker 之後輸入 jupyter notebook --allow-root 帶有 token 的網址丟進瀏覽器，網址的部分要修改一下 將 http://(<container_id> or 127.0.0.1):8888 => http://127.0.0.1:8888