xKungfoo 2017 | 好會知時節，上海正舉行（Day 2）

01-25

4月26日-27日，由XCon組委會主辦、未來安全承辦的xKungfoo 2017在上海浦東假日酒店舉行，現場匯聚數百位安全從業者，共坐一室，聆聽專業大牛分享前沿的技術。xKungfoo已經有將近十年的歷史，每年一期，乾貨滿滿，拒絕摻水。今年的xKungfoo更是實力銳增，每個議題都是一個方向，每個議題都是該方向最前沿的技術。

無乾貨，不xKungfoo。昨天會場座無虛席，今天會場依然沒有空位。不少聽會者都是一邊聽講一邊記筆記，休息間隙更是把演講者團團圍住。xKungfoo 2017精彩持續進行中，第二天又繼續分享了7個乾貨議題。

河廣：雲代碼Fuzz分析框架

來自螞蟻金服巴斯光年實驗室高級安全研究員河廣分享了雲代碼fuzz框架的分析。越來越多的企業把自己的信息託管到雲端，但是雲端的防護是不是真的如宣傳的那樣安全？河廣本次分享的議題內容主要是，基於在虛擬機中模糊測試代碼特性的角度，從防守者的角度對代碼分析測試現狀進行敘述，提出較通用的分析架構方案。

劉亞、王輝：如何評估你的DDoS Botnet跟蹤？

「DDoS Botnet 跟蹤」可以用來實時獲取那些通過botnet發起的DDoS攻擊的信息，比如所使用的botnet家族、C2控制端域名和IP、控制埠、攻擊類型以及具體的攻擊參數。這些信息除了有助於DDoS攻擊的檢測和防禦，還可以用來對攻擊進行溯源，找出幕後的控制者。

對於跟蹤botnet，我們需要知道：1）流行的DDoS botnet中有多少屬於家族未知的（即不能跟蹤的）？2）對於家族已知的（即可跟蹤）botnet，有多少C2 server不在我們的跟蹤範圍內？今天來自360安全研究員的劉亞、王輝基於上面的兩個問題詳細講解了如何從實際發生的DDoS攻擊中找出從未被發現的攻擊。

朱芳雅：虛擬商品的安全之路

何為虛擬商品？泛指一切無倉儲和物流運輸的商品和服務，包括虛擬商品和服務，也包括不需要倉儲物流的實物商品。今天，來自唯品會高級信息安全工程師分享了虛擬商品的安全之路。

虛擬商品已經日漸火爆，黑灰產也悄悄瞄上了這塊誘人的大蛋糕，比如盜券、篡改收貨地址、盜虛擬貨幣、詐騙等。由於虛擬商品的特殊性，解決這類問題變得很是棘手，企業只能加強自己的風控體系建設，設置完善的異常檢測機制，才能最小化黑灰產的傷害。

redrain：讀文檔讀出一個0day

PostScript是一門由Adobe推出的非主流冷門編程語言，用於列印圖像和文字。雖然冷門，但是列印、字體繪製來說不可或缺，Google的神人j00ru在逆向Adobe的字體引擎過程中接觸該語言，稱其為可以統治所有平台的字體漏洞之源。

今天CVE高產安全研究員redrain分享了自己對PostScript引擎GhostScript的研究成果，其中包含幾個有趣的漏洞。除此之外，他今天還帶來了一個重磅的新聞，現場爆出一個0day。

王啟澤：TrustZone安全技術研究

隨著移動互聯網和智能終端的發展，智能設備進入了人類生活的方方面面。由於普通移動終端操作系統的開放性和複雜性使得移動終端平台的安全性得不到保障。為此，ARM公司推出了TrustZone技術，可以通過TrustZone技術實現內存隔離和外設保護，提出了可信執行環境的概念。未來伴隨著物聯網的高速發展，每年搭載TrustZone技術的ARM物聯網晶元將達到百億顆，安全和互聯將成為物聯網的重點。TrustZone安全技術將成為移動互聯網和物聯網安全的主要安全研究熱點。

啟明星辰安全研究員王啟澤介紹了TrustZone技術的背景，安全技術架構及在TrustZone安全技術的研究。著重對TrustZone技術的缺陷和攻擊面做了介紹，並提出了TrustZone在內核安全加固方面的思路。

冰血封情：信息泄露蝴蝶效應從民眾到國家安全

邪惡八進位信息安全團隊創始人冰血封情帶著對安全永不磨滅的情懷來到了xKungfoo，他表示每個人在安全中都是一個至關重要的環節，也許你會覺得自己只是滄海中的一粟，其實不然，你可能就是掘開堤壩的那個蟻穴。

一個網民信息不會造成毀滅性的傷害，但是上千萬的網民數據泄露可能就會掀起一場腥風。一切非公開信息的泄露都可能危及國家安全！比如醫院的某類重點藥材信息泄露，敵方可能就會趁機做點手腳，危及醫院全部病人的安全。

李丹：釜山行之進化殭屍——從殭屍網路看網路攻防

去年10月低，美國東海岸地區大面積網路癱瘓。原因就是攻擊者利用全球的IoT設備向Dyn公司發動了大規模的DDoS攻擊。

綠盟科技威脅情報與網路安全實驗室的安全研究員李丹基於botnet實例，從攻擊鏈角度對網路攻防現狀進行分析，並提出了一個解決方案。比如自動化處理、自動捕獲樣本、自動運行樣本、自動識別、自動提取分類、自動跟蹤、自動連接其他產品等。

張偉：數據泄露中的口令攻防對抗

當前數據泄露有關注高、範圍廣、危害大三大特點，而口令是攻擊者實施攻擊行為的最後障礙。

來自泰格實驗室的張偉，分享了口令攻防對抗賽中幾個至關重要的環節，比如破解口令的方法：字典、彩虹表、GPU暴力。這三種方法各有優缺點，有的破解範圍小，有的消耗時間長，有的無法破解salt，但是如果能綜合這三種方法，破解將事半功倍。

至此，xKungfoo 2017第二天的議題已經分享完畢，xKungfoo 2017也順利閉幕。感謝演講嘉賓們的精彩分享，相信來參加的每位小夥伴們都收穫滿滿。

xKungfoo 2018，我們明年再見！

如若轉載，請註明原文地址： xKungfoo 2017 | 好會知時節，上海正舉行（Day 2）更多內容請關注「嘶吼專業版」——Pro4hou