孙冰
孙冰是一位资深的信息安全研究员,现就职于英特尔安全事业部(原迈克菲),主管其入侵防御产品下的安全研究团队。他拥有丰富的操作系统底层和信息安全技术的研发经验,尤其对于高级漏洞攻防、木马后门检测、虚拟化技术以及固件安全等方面有比较深入的研究,并曾在XCon、Black Hat、CanSecWest等安全会议上做过演讲。
JIT喷射技术不死—利用WARP Shader JIT喷射绕过控制流保护(CFG)
很多脚本语言都使用即时编译(JIT)技术来提高其脚本的 执行效率,如JavaScript和 ActionScript。可是在某些情况下这个原本合法的 JIT机制却可以被漏洞利用代码用来绕过内存缓解/保护措施(ASLR/DEP) 。这种所谓的“JIT喷射”技术是在 2010年首次被提出来的。其基本思想是利用高级脚本语言中的常量数字在可预测的地址上产生想要的 JIT指令片段。随着JIT喷射作为一种可靠的漏洞利用技术逐渐流行起来,软件厂商开始着手重新设计它们的JIT引擎。此后,一系列缓解措施被采用来防止JIT喷射,比如随机化JIT代码页的分配及变换JIT代码生成。本议题中的利用目标—微软的 WARP (Windows Advanced Rasterization Platform) Shader JIT引擎中就被加入了一些安全机制,如Shader复杂度和JIT缓存大小限制、常量与代码分离等。如此一来,在多数漏洞利用场景下JIT喷射变得不再可用。然而,即使是在当前号称最为安全的 Windows 10时代,JIT喷射技术也并未就此彻底消亡。在这个演讲中我们将介绍一种全新的 JIT喷射技术,用以在浏览器环境中通用地绕过控制流保护(CFG)。本议题会详细讨论如何绕过微软WARP JIT的 限制来可靠地执行代码。最后,我们会演示在Windows 10 IE11和 Edge上绕过CFG。
吴康(Polymorphours)
,椒图天择实验室成员,CVE-2007-5587, CVE-2012-0005等多个漏洞的发现者,ms08-025,ms08-067等一批漏洞PoC贡献者,2012 xkungfoo演讲者(Windows系统中错误的句柄引用所引发的漏洞),以windows, linux, solaris等系统内核,系统固件,硬件安全,WEB安全为研究方向
利用脚本虚拟机检测WebShell
webshell做为web系统的后门常常将自己隐藏在众多网站页面中,黑客们总是很精巧的对它们进行变形来躲避杀毒软件的查杀,它们的变形形式比二进制程序更加的灵活,特别是一句话木马。常见的WEBSHELL查杀方式,如基于文件特征文本,它在各种加密和变形木马面前显得总是显得节奏滞后,而攻击和防御技术总是相互促进的,WEBSHELL利用脚本来变形,那么我们就利用脚本虚拟机来查杀它们,在这个议题中将以ASP语言为例,讨论ASP语言结构,解释器技术,及自动化输入向量生成技术,并在演讲结束后给出演示。
nEINEI
Bytehero Team成员,Intel Security/McAfee Labs安全研究员。Bytehero未知病毒检测引擎设计者之一,VirusTotal /OPSWAT平台BDV反病毒引擎提供者。拥有多年信息安全领域研究经验。感兴趣方向:高级漏洞利用技术/复杂威胁研究,反病毒引擎设计,逆向工程等。曾在CanSecWest2014, AVAR2012, XCon2010, XCon2013, XCon2014, Xcon2015 等国际安全会议上发表过议题演讲。
突破AV虚拟机的高级利用技术
AV虚拟机技术起源于针对多态、变形病毒的检测。自从加壳技术,代码混淆流程后,AV虚拟机开始承担了脱壳,代码还原的任务。而目前,AV虚拟机发展成为一个非常复杂的技术体系。包括CPU仿真,硬件仿真,网络仿真,文件系统,注册表系统,GUI,进程,线程,异常处理,PE加载机制,包括EXE,DLL,SYS的各种windows特性的仿真任务。
绕过AV虚拟机的检测,重点是理解AV虚拟机和真实机器之间的差异问题。在早期阶段,Bypass方式主要是集中在仿真指令不够多,windows特性不够完善,例如多线程,执行超时,父进程检测等方式。而目前主流的AV虚拟机技术都已经完善了这些特性。即使有漏洞也可以在较短时间内弥补上。本次议题中我们主要集中在研究AV虚拟机体系架构实现方面的弱点,而这些作为Bypass技术点是难以在短时间内弥补上的,甚至是不可解决的问题。本次议题会详细讨论6种AV虚拟机架构设计中存在的固有问题,并且会演示用不同思路绕过最新版本的Kaspersky,bitdefender,ESET,VBA32等安全产品。AV虚拟机技术作为终端安全静态检测的最后一道防线,这应该是引起我们高度重视的问题。
