攻擊型資安研討會「DEVCORE CONFERENCE 2023」圓滿落幕

攻擊型資安研討會「DEVCORE CONFERENCE 2023」圓滿落幕

全台唯一純攻擊導向資安研討會 DEVCORE CONFERENCE 2023 於 3 月 11 日落幕,首日企業場吸引逾 500 位產官學研專業人士與會後,第二日駭客場由 DEVCORE 紅隊服務團隊與技術研究團隊帶來共 7 場由攻擊視角出發的精彩演講,與現場近 400 位駭客及資安人員共同探索攻擊技術與漏洞研究過程,協助企業做有效防禦及配置。 

Ding - 以紅隊思維看藍隊防禦,紅藍攻防中的經典案例

駭客場首場演講中,DEVCORE 紅隊演練隊長 Ding 萃取出過去近 70 場紅隊演練的精華經驗,由 MITRE ATT&CK 框架切入,解析紅隊演練從情蒐、進入內網建立連線、提權、取得 domain admin 以及在系統間橫向移動等階段,曾搭配使用的工具及成功案例。Ding 提醒,眾多資安危機實際上來自於「人」的問題,企業或組織應有相對應的改善機制;而針對紅隊攻擊方,除了技術是最基本的要求外,也須培養從企業角度思考和解決問題的能力,幫助自己在紅隊演練中找到新思路。 

攻擊型資安研討會「DEVCORE CONFERENCE 2023」圓滿落幕

Vtim - 讓流量穿過你的巴巴 - 紅隊實戰 SSRF 經典案例

第二場由紅隊演練專家 Vtim 上場,分享 SSRF(Server Side Request Forgery)這個已知的高風險漏洞在紅隊演練中實戰的思路,展現出 SSRF 可能帶來高危害及大範圍的影響。Vtim 建議,企業在實作存取外部資源的功能時,應建立參數白名單、或限制參數內容不得包含內網 IP 位址;在不適用白名單的情況下,可限制參數 DNS 解析過後的內容不能有內網 IP 位址,且若功能支援跳轉,應針對每一次 HTTP 302 跳轉位址進行檢查;若無法有效建置黑白名單,組織可考慮將功能建置於獨立且隔離的網路環境,將該漏洞的影響降到最低。 

Mico - I wanna know 你信不信 - 現代郵件詐術

釣魚信件等社交工程攻擊手法早已是各大企業及組織必須面對的資安問題,第三場由 DEVCORE 紅隊演練專家 Mico 獨家整理出社交工程郵件的懶人包,剖析攻擊者如何運用 Email 繞過系統對垃圾郵件設下的安全機制。演講中設定了常見的四種攻擊情境:將寄件者信箱分別設定為不存在、真實存在、與收件信箱相似、與收件信箱相同的域名,並解析四種寄件者信箱在面對收件伺服器 MRA 的 DMARC、SPF、DKIM 三種安全機制時成功的可能性。Mico 指出,組織若有啟用 DMARC 設定,較能防範網域被駭客利用寄出偽造信件,使社交工程攻擊情境減少。 

Cyku & Crystal - 黑魔法、大壞蛋得崩,讓四個臭蟲變成漏洞吧!

DEVCORE 資深紅隊演練專家 Cyku 及技術專案經理 Crystal 透過實際案例,分析攻擊方如何運用四個在 CVSS 評分近 0.0 分的弱漏洞,包含 Path Traversal、Parameter Pollution、CRLF Injection、Command Injection 等,串聯起完整攻擊鏈,進而找出遠端執行安全漏洞(RCE 漏洞)。Cyku 和 Crystal 也回應企業修補漏洞的議題,建議組織仍需從內網核心主機思考較關鍵的弱點及路徑,或參考 CISA 漏洞修補列表上的資訊,評估漏洞修補的順序和策略。 

Meh - 挑戰百萬賞金!虛擬世界之密室逃脫

資深資安研究員 Meh 首度對外分享 CVE-2020-3947 的研究經歷,分析虛擬機背後可能存在、卻容易被忽略的安全問題及漏洞。Meh 在演講中透露研究員平時挖掘漏洞時的心路歷程,也展示了研究員會如何探索 VMware 這種虛擬環境的漏洞。Meh 表示,研究過程中雖然可能要面對找到已被找出的漏洞、漏洞被修補、fake bug 等挫折,但是從過程中累積失敗經驗,並保有挑戰自己的熱情,是研究過程中最難以取代的精華。 

Nini - Remote Door Execution

DEVCORE 資安研究員 Nini 以遠端開啟智慧門鎖為核心,展示從研究目標的發想、嘗試開鎖及最終成果的完整歷程。Nini 結合硬體及軟體面向,細數從傳統門鎖的機械結構、電子鎖的感測器模組及電子零件攻擊面,再到智慧電子鎖的網路攻擊面等不同攻擊面上遭遇的障礙及樂趣,以及最終成功解鎖的完整流程。演講最後, Nini 建議資安研究員應嘗試枚舉攻擊面,並透過大量閱讀及思考培養自身 slow hunch (慢直覺),做出各種嘗試,進而享受研究的過程。

攻擊型資安研討會「DEVCORE CONFERENCE 2023」圓滿落幕

Orange & Angelboy -  From Zero to Hero - 從零開始的 Pwn2Own 奪冠之路

駭客場最終場由 DEVCORE 首席資安研究員 Orange 及資深資安研究員 Angelboy 共同主講,分享參加 Pwn2Own 的完整過程。從前期對研究目標 SOHO SMASHUP 組合的篩選評估,找尋 0-Day 漏洞、與產品團隊攻防,到最終上場展示漏洞利用的研究成果,並以此榮獲 Pwn2Own Toronto 2022 漏洞研究競賽的冠軍及破解大師(Master of Pwn)頭銜的過程。兩位擁有深厚經歷的資安研究員均指出,要贏得比賽,對於團隊每個人員的了解相當重要,唯有理解團隊每個人所具備的技能和定位,才能在面對不同競賽類型時組織成合適的團隊編制及配置。 

Hsuann
作者

T客邦特約編輯 ,負責產業即時報導、資訊整理

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則