這是惡意黑客膽大妄為的一年，某些手法此前根本想象不到——佯攻、加密貨幣劫持、社會工程和破壞性惡意軟件行動。但即便是在2018年民族國家和網絡犯罪攻擊日漸猖獗的背景下，安全研究人員還是找到了一些以黑治黑預先制止壞人攻擊的創新手法。

??

[[254712]]

2018年，包括青少年在內的白帽子黑客攻入了一系列重要目標，比如機載衛星設備、美國大選仿真網站和吸塵機器人。他們還運用社會工程和網絡釣魚者自己的戰術和人工智能(AI)挫敗了壞人自己的陰謀，在漏洞被濫用之前搶先曝光。

我們不妨先忘了那些失敗的比特幣挖礦實驗、家庭路由器中的俄羅斯黑客和網絡上潛伏著的武器化PowerShell腳本，花幾分鐘時間回顧一下安全研究人員今年的創新黑客壯舉。

1. 飛機上的黑客

雖然耗時四年，但 Ruben Santamarta 最終證明了他在2014年報告的衛星設備固件重大漏洞是可以被武器化的。這位IOActive的研究員從地面黑進了機上WiFi網絡，暗中觀察乘客的互聯網活動，并侵入機載衛星通信設備，充分展示了他之前得出的漏洞利用理論的正確性，駁斥了當時某些專家的懷疑。

2018年8月美國黑帽大會上演示之前，Santamarta就告訴媒體：每個人都說這不可能。但這從根本上是可行的。如今有了證明。

Santamarta稱自己在衛星通信設備中發現了一系列后門、不安全協議和網絡錯誤配置，影響西南航空、挪威航空和冰島航空公司的數百架商業飛機。盡管這些漏洞可以使黑客遠程奪取飛機機上WiFi控制權，但鑒于機上WiFi網絡是隔離且經配置的，目前對飛機本身尚未顯現出什么安全威脅。

另外，Santamarta在黑帽大會上透露，2018年11月掃描挪威航空公司從馬德里飛往哥本哈根的航班上WiFi網絡時，他遭到了真正的惡意軟件的阻撓：機上衛星調制解調數據單元中運行有一個后門，Gafgyt物聯網僵尸網絡中的一臺路由器正在訪問該機上衛星通信調制解調器，掃描新的僵尸網絡預備役。幸運的是，飛機上的衛星通信終端無一被感染，但這也敲響了航空業潛在威脅的警鐘。

2. 語義曝光網絡釣魚者

社會工程是最簡單最可靠的網絡攻擊第一步，而且垃圾郵件過濾器肯定濾不掉所有的網絡釣魚郵件。所以，兩名研究人員設計了通過“黑”攻擊者所用語言來檢測社會工程師/網絡釣魚者的方法：他們創建了一款工具，可以對文本進行語義分析，運用自然語言處理識別不明確行為，判斷惡意意圖。

加州大學教授 Ian Harris 和Lootcore首席顧問 Marcel Carlsson 基本上通過文本或語音轉換的文本中所用的語言就能暴露出攻擊者。Harris和Carlsson的網絡釣魚者黑客工具檢測電子郵件中尋求隱私數據和惡意指令的問題——這些通常都是潛在社會工程攻擊的跡象。該工具也可用于標識惡意文本消息和電話。

此類文字黑客工具會對照隨機抽取的網絡釣魚郵件對比文本中的動賓結構短語，分析語義和選詞。

3. Mac-A-Mal

蘋果公司直到2012年都在宣傳Mac對病毒免疫，但如今，MacOS電腦也落入了惡意軟件作者的視野。

荷蘭 Sfylabs BV 惡意軟件分析師 Pham Duy Phuc 和意大利特倫托大學教授 Fabio Massacci 決定改良不斷壯大的Mac惡意代碼生態系統的檢測及分析過程。這一過程目前為止都是繁瑣的人工過程，兩位安全研究員為此開發了一套Mac-A-Mal框架，融合靜態及動態代碼分析以查找并暴露Mac惡意軟件的內部機制，包括最為隱秘的那些變種。

他們的工具可以靜默運行，能抓取惡意軟件行為模式，比如網絡流量、規避方式和文件操作。Phuc表示：

兩名研究人員用該工具發現了數百個新型Mac惡意軟件樣本。他們發現，2017年VirusTotal上的半數Mac惡意軟件都是后門，而大多數變種都是廣告軟件。

4. 上帝模式

硬件黑客在2018年很火。2018一開年就是舉世震驚的現代微處理器漏洞幽靈和熔斷的曝光，然后是各種防濫用緩解措施。夏天時一名研究人員披露了他令人毛骨悚然的CPU安全功能黑客手法。

研究員 Christopher Domas 發現了突破現代 CPU ring權限模式的突破方法，讓他可以獲得計算機內核級權限并繞過軟件和硬件安全措施檢測。8月份的美國黑帽大會上Domas做了題為《上帝模式解鎖：X86 CPU 硬件后門》 的演講。

Domas分享了他是如何通過某些機型x86微處理中的一個硬件漏洞奪取到主機“上帝模式”控制權的。該后門在某些系統上默認啟用，可令攻擊者獲取內核控制。不過，Domas表示，僅 VIA C3 CPU 可被該攻擊攻破，后面的處理器可對此漏洞免疫。

他將自己的漏洞利用工具 Project Rosenbridge 放到了GitHub上供其他研究人員實驗。工程主頁上Domas寫道：

5. 吸塵機器人間諜

先是冰箱，現在連吸塵機器人都開始窺探家中動靜了。

Positive Technologies 的研究人員發現東莞蒂奇360吸塵機器人中存在漏洞，可變身移動監視設備，通過其內置網絡攝像頭或智能手機控制的導航功能監聽消費者對話和窺探主人行動。

該遠程代碼執行漏洞可令攻擊者獲取設備超級用戶權限——通過了設備默認登錄功能的脆弱身份驗證之后。另外還有一個漏洞存在于該設備的固件更新過程中，攻擊者可以用手插入惡意microSD卡。

吸塵機器人的間諜功能很明顯：攻擊者可將之轉變為監視消費者和盜取消費者信息的中心，甚至強征該吸塵機器人進入IoT僵尸網絡大軍。這是消費級IoT設備加入互聯網訪問功能卻沒有考慮安全問題的又一個例子。

6. AI即武器

打敗對手的途徑之一就是像對手一樣思考。Cyxtera Technologies 的研究人員便是受這種思維啟發，打造了模擬壞人武器化AI用于更精準網絡釣魚攻擊的算法。

DeepPhish算法旨在學習攻擊者是如何利用AI和機器學習工具繞過惡意行為及內容安全監測工具的。2018年末，Cyxtera研究副總裁 Alejandro Correa 表示，超過一半的網絡釣魚攻擊將通過存在惡意 TLS Web 證書的網站發起。攻擊者往自己的釣魚網站中加入Web證書毫無難度。

Correa及其團隊收集攻擊者手動創建的URL，建起神經網絡學習這些URL中哪些突破了黑名單或其他防御措施。然后他們便可以產生出成功率更高的網絡釣魚URL。一次測試中，攻擊者原先的成功率僅為0.7%，用了DeepPhish工具后成功率激增至20.9%。

7. 腳本小子

2018年的DefCon安全大會上，兩名11歲的小黑客往佛羅里達州州務卿的模擬網站中植入了SQL注入代碼。15分鐘里，他們攻入網站后臺，修改了投票計數報告。

Emmett Brewer 在10分鐘里就破解了該模擬網站，5分鐘后，與他同齡的Audrey修改了模擬佛羅里達州選區投票網站的票數。Brewer把選票全計到了自己頭上，發了條推特：我覺得我贏下了佛羅里達州中期選舉。

幸好該網站并非佛州網站的精確模擬，但令人擔憂的是，兩位小朋友僅僅是看過SQL注入教程就黑掉了模型網站——這些講義是 DefCon R00tz 兒童訓練營的組織者發放給這些小黑客的。

DefCon投票村共同創始人兼組織者 Jake Braun 稱：投票與選舉黑客活動和R00tz訓練營并不是要制造一種“好容易啊”的感覺，選舉系統最有價值的部分是這些網站。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

??戳這里，看該作者更多好文??