黑帽大会的规模逐年递增,这场全球最聪明的大脑聚集在一起,会擦出什么样的电光火石,本年度的黑帽大会吸引了近万人参加,这些技术男很符合《黑客帝国》中“基努里维斯”的形象标准,目光深邃,站得笔挺,不善言谈,据说还有不少FBI现场招人,总之吸引了全球的眼光。本文盘点了本次大会上炫酷的10大工具,值得高兴的是大部分都是开源的。
2014黑帽大会上展示的黑客工具可以帮助渗透测试者发现VoIP通信中的弱点,进行网络钓鱼攻击支持终端用户安全意识培训或更好的保证亚马逊网络服务实例。2014黑帽美国简报或Arsenal工具陈列展示的大部分工具都是开源的,来自解决方案供应商、顾问和安全供应商的红客实施项目,使他们的工作更安全。
这些工具揭露软件的漏洞、配置的缺陷,否则软件制造商可能不会发现缺陷。下面是10种在各个阶段值得一试的工具。
用于恶意软件分析的Maltrieve
安全研究人员使用Maltrieve工具收集服务器上的恶意软件。通过这个开源工具,恶意软件分析人员可以通过分析URL链表和已知的托管地址获得最新鲜的样本。
Kyle Maxwell是VeriSign的一名威胁情报分析员,也对Maltrieve项目有着重要贡献,他在黑帽Arsenal demo区域展示了Maltrieve。这个工具统计恶意软件的URL黑名单,支持Cuckoo Sandbox进行引爆和分析样品,支持VxCage管理恶意软件样本库。
用于追踪的Snoopy
Snoopy是一个追踪和分析框架,可以安装在RaspberryPi或其他低成本的硬件上,通过连接WiFi或蓝牙来收集过往行人的信息。
可以基于连接设备的访问点使用收集到的数据描绘用户。Glenn Wilkinson在黑帽Arsenal上展示了这个工具,Glenn Wilkinson是英国基于安全咨询公司的一名安全分析员。红客可以使用这个工具进行匿名统计或检查拦截车辆,对目标受害者实施监控。Snoopy可以设置为一个未授权访问点,使它看起来像一个旅馆或者咖啡馆的网络访问点。
用于笔测试管理的Dradis
渗透测试者可以用Dradis管理Nessus、Qualys和其它漏洞扫描工具执行的安全评估。Dradis可以用来追踪项目进度,基于多种源构建报告,节省报告时间。Dradis也使用标准问题描述和建议加速报告进程。
Daniel Martin在黑帽Arsenal上展示了这个工具,Daniel Martin是英国开源软件框架的研究人员和创造者。Martin说,Dradis在2007年问世,2014年进行了主要升级。这个升级包括了一个新的网页接口和网页接口和代码库检修来提高性能和可靠性。
用于Chromecast的Rickmote控制器
你的邻居可以很容易的占据Google Chromecast,Dan Petro说。Dan Petro是Bisho Fox的安全分析员,他在黑帽Arsenal展示了Rickmote控制器,这种攻击可以自动劫持Chromecast设备附近的流媒体视频。
Petro搭建了一个控制器,通过RaspberryPi用Wi-Fi来识别和播放Chromecast设备的视频。Rickmote杀死了原始的Wi-Fi连接,使用Chromecast的不安全的配置设置模式来触发工具的连接。2013年,在圣地亚哥的ToorCon上首次展示。
用于预付Sql攻击的Taintless
SQL攻击是一种常用的攻击方法,这种方法使用恶意SQL指令丢弃后端支持数据库的内容,进而攻击网络应用。Taintless用于研究自动SQL攻击,旨在提高一种新的方式无误的检测和组织攻击。Taintless分析网络应用寻找可能成为攻击错误点。
Abbas Naderi Afooshteh是来自伊朗的研究人员,他在黑帽Arsenal展示了这个工具,并公布了一个叫Joza的新系统,这个系统可以自动化寻找和阻止SQL入侵攻击。
用于威胁情报的Voyeur
Voyeur可以用来分析梳理活动目录服务的威胁。Voyeur生成一个连接终端用户和计算机、企业网络组、企业网络设备的报告,Voyeur使事件响应者可以将信息作为安全事件调查进行分析。
Juan Garrido是Innotec系统的安全顾问,Innotec系统是一个管理服务供应商。Juan Garrido在黑帽Arsenal上展示了这个开源工具。这个工具不需要管理证书来执行,可以将结果输出为CVS文件或者格式化为Excel扩展表。
用于网络钓鱼训练的Ice-Hole
Ice-Hole用于系统管理,渗透测试者和安全分析员可以实施和管理电子邮件钓鱼识别测试项目。Ice-Hole可以用来执行攻击,并提供反馈和对用户的培训。
Darren Manners是Richmond的高级安全工程师,Richmond是基于解决方案供应商的SysCom技术公司。Darren Manners开发了钓鱼训练工具,并在黑帽Arsenal上展示这个工具的功能。Manners也是Spheres of Influence的开发者,Spheres of Influence是一个映射地理位置和组织数据到连接的IP地址,从而发现潜在的威胁。
用于VoIP安全的Viproy
渗透测试者可以通过Viproy识别多媒体通信的缺陷。Viproy支持思科,微软link和其它主流供应商的协议。
Fatih Ozavci展示了这个工具。Fatih Ozavci是基于Denver的安全度咨询公司的高级顾问。Viproy自动发现VoIP设备,识别探测控制快速拨号,进行未经认证的通话并发现信息聚集的攻击。工具包增加了对IP电话的支持,IP电话使用的是思科Skinny协议。Viproy有10个模块,执行各种功能来识别缺陷,包括电子欺骗,强力攻击和计费绕过。
用于移动端Zeus攻击预防的Zitmo NoM
Zitmo Nom通过不含防病毒程序的SMS传输识别移动端恶意软件。Zitnom旨在识别Zitmo,Zitmo是移动端的Zeus银行恶意软件,该软件攻击受害者的账户。Zitmo的目标是Android设备用户,不过也出现在了黑莓、Windows手机和塞班平台上。Zitmo将收到的SMS信息转发给一个指挥和控制服务器,并尝试查询双因素认证和安全代码来攻击账户信息。
David Schwartzberg是MobilIron的高级安全工程师,他展示了Zitmo Nom是如何制服Zitmo的。Zitmo Nom还处在原型阶段, Schwartzberg希望通过吸引参与者搭建功能,扩展性能。计划是在功能完整后对其进行开源。
Nimbostratus
Nimbostratus旨在自动化利用亚马逊基础设施的过程。Andres Riancho是名应用安全专家,他带领了网络应用安全扫描项目w3af的开发和维护,他也开发了这个工具,并在黑帽简报上展示了这个工具。
Riancho从网络应用缺陷开始,最终控制了亚马逊虚拟实例,访问可能包含敏感数据的MySQL数据库。Riancho说这个工具可以用来应对AWS或任何云托管服务。在Riancho的展示中,Nimbostratus用于丢弃EC2实力配置文件的证书,揭发使用亚马逊SQS的线索。用来存储服务器间的信息,增加执行代码的能力。