Group of Software Security In Progress

Whats in a Name Exploring CA Certificate Control

作者: Zane Ma, Joshua Mason, Manos Antonakakis, Zakir Durumeric, Michael Bailey

单位: Georgia Institute of Technology乔治亚理工学院, Stanford University斯坦福大学, University of Illinois at Urbana-Champaign伊利诺伊大学厄巴纳-香槟分校

会议: USENIX Sec 2021

链接: What’s in a Name? Exploring CA Certificate Control

Abstract

作者总结发现,近年来对PKI中根证书的管理一直存在问题。现下,解决这些问题的最可行的方法是Mozilla的Common CA Database (CCADB),CCADB为CA管理员提供了一种自发公开证书、证书策略和审计的平台,其无法提供CA操作员的信息,无法很好的解决上述存在的问题。因此,作者在CCADB的基础上开发Fides,Fides是一个对CA操作行为建模和集群的系统,以便在共享的操作控制下检测CA证书。

SinkFinder Harvesting Hundreds of Unknown Interesting Function Pairs With Just One Seed

作者:Pan Bian, Bin Liang, Jianjun Huang, Wenchang Shi, Xidong Wang, Jian Zhang

单位:Renmin University of China

会议:FSE’2020

论文链接:https://rucsesec.github.io/papers/FSE2020.pdf

Abstract

作者实现了SinkFinder来使用机器学习方法,自动化地挖掘那些感兴趣的安全敏感函数对,并且只用提供一对函数作为初始化种子。最后作者自己实现了checker,并利用挖掘出的安全敏感函数对在Linux Kernel-4.9上发现了55个可疑的bug,其中有37个已经得到了确认。

PhantomCache Obfuscating Cache Conflicts With Localized Randomization

作者:Qinhan Tan1, Zhihua Zeng1, Kai Bu1, Kui Ren1

单位:1Zhejiang University

会议:NDSS 2021

论文链接:PhantomCache: Obfuscating Cache Conflicts with Localized Randomization

Abstract

许多cache timing攻击方法步骤需要攻击者明确memory block与cache set之间映射关系,例如Prime+Probe方法中的最小驱逐集(Minimal Eviction Set)计算过程等。

本文提出了一种相对应的保护方案——PhantomCache。该方案通过局部随机化技术(localized randomization technique),破坏memory block到cache set之间的固定映射关系。具体而言,PhantomCache将每个memory block映射到有限数量的若干cache set中的一个;在检索该memory block对应的cache set时,仅在该若干个cache set的范围内进行检索。

Too Quiet in the Library an Empirical Study of Security Updates in Android Apps Native Code

作者:Sumaya Almanee1, Arda Unal1, Mathias Payer2, Joshua Garcia1

单位:University of California Irvine,EPFL

会议:ICSE 2021

论文链接:https://hexhive.epfl.ch/publications/files/21ICSE.pdf

Abstract

Android 应用程序一般包括第三方native库,以提高应用的性能和支持代码重用。Android开发者在他们的项目中添加了预编译的 native 库,通过本机的 Java 接口或 Android 开发工具包直接从应用程序执行。但是开发人员经常忽视及时更新这些库。这导致在补丁可用很久后仍继续使用存在未修补安全漏洞的第三方 native 库。

作者研究了2013年9月至2020年5月谷歌Play上最流行的200个免费应用程序的 native 库的安全更新。在这项研究中面临的一个核心困难是因为开发人员经常重命名或修改第三方库,所以其类型及版本的识别变得很困难。作者提出了一种名为 LibRARIAN 的第三方库的方法,基于相似度度量bin2sim,它可以准确地识别Android应用程序中的第三方库及其版本。LibRARIAN 根据库的元数据和在只读节中标识字符串,利用从库中提取的不同特性进行识别。2013年9月至2020年5月期间,作者发现有 53/200 个热门应用程序 (26.5%) 在补丁发布后存在已知 cve 的漏洞版本,其中14个仍然存在漏洞。作者还发现应用程序开发人员平均需要 528 天来应用安全补丁,而库开发人员平均在 library 发行 54 天后发布安全补丁,更新速度慢了10倍。

The Eye of Horus-Spotting and Analyzing Attacks on Ethereum Smart Contracts

作者:Christof Ferreira Torres1, Antonio Iannillo1, Arthur Gervais2, and Radu State1

单位:1SnT, University of Luxembourg; 2Imperial Collage London

出处:arXiv preprint 2021

原文:The Eye of Horus: Spotting and Analyzing Attacks on Ethereum Smart Contracts

1 Abstract

在最近几年,以太坊受到了广泛的关注。其日交易量从2016年的10K,增加到了2020年的500K。进而以太坊智能合约(下称合约)也将与越来越多的资金流通挂钩。但在价值提升的同时也必然受到更多的攻击,并将造成大量的经济损失。目前为止,学术界和工业界也已经开发了大量的工具,在部署合约前检测其漏洞。但是这些工具中的大部分都仅仅检测合约存在的漏洞,没有检测其瘦到的攻击,更没有量化和追踪资产流失情况。

因此本文设计了HORUS框架,用于自动检测合约所受的攻击情况,并提供快速量化和追踪以太坊中资金流失情况的方法。在文中也对2020年5月前的合约进行分析测试。

NETPLIER-Probabilistic Network Protocol Reverse Engineering From Message Traces

作者:Yapeng Ye, Zhuo Zhang, Fei Wang, Xiangyu Zhang, Dongyan Xu

单位:Department of Computer Science, Purdue University

会议:NDSS 2021

论文链接:[https://www.ndss-symposium.org/wp-content/uploads/ndss20214A-524531paper.pdf](https://www.ndss-symposium.org/wp-content/uploads/ndss20214A-5_24531_paper.pdf)

Abstract

网络协议逆向在很多安全研究领域都有着重要作用。在无法获取到程序的二进制文件的情况下,自动化分析协议字段主要是通过对message trace进行分析,从而推断出协议的格式。主要有pair-wise sequence alignment和tokenization两种主要方式。但两种方式对数量较多的消息进行分析时效果不佳。作者提出了一种基于概率的针对network message trace的协议逆向方法。并通过对10种协议进行分析,表面作者的方案优于现有的逆向技术。

Assessing the Impact of Script Gadgets on CSP at Scale

作者: Sebastian Roth, Michael Backes, Ben Stock

单位: CISPA

会议: AsiaCCS 2020

链接: Assessing the Impact of Script Gadgets on CSP at Scale

ABSTRACT

CSP(Content Security Policy)的目的是缓解XSS的影响,已经被所有的主流浏览器支持。但是目前面临新的威胁,即script gadgets,可以使得一些非script标记转化为可执行代码,这样可以绕过CSP。作者扩展了Lekie和Weichselbaum的工作。为了利用script gadgets,代码片段所在的库需要被加载或者主机存在于白名单中。而作者发现即使网站存在CSP,并且开发者并没有使用gadgets,攻击者可以用已知的script gadgets sideload库,结合CSP的重定向匹配逻辑,可以绕过10%的安全策略。

POP and PUSH-Demystifying and Defending Against Port-Oriented Programming

作者:Min Zheng∗, Xiaolong Bai∗, Yajin Zhou†⋆ , Chao Zhang‡§ and Fuping Qu∗

单位:∗ Orion Security Lab, Alibaba Group,† Zhejiang University,‡ Institute for Network Science and Cyberspace, Tsinghua University,§ Beijing National Research Center for Information Science and Technology

会议:NDSS 2021

论文链接:https://www.ndss-symposium.org/wp-content/uploads/2021-126b-paper.pdf

摘要

这篇文章研究的对象是iOS、macOS这类基于XNU的操作系统。针对XNU kernel的传统攻击通常同时需要信息泄露和控制流劫持这两类漏洞,即先借助信息泄漏漏洞来解决KASLR,然后借助控制流劫持漏洞去执行ROP gadget。然而,由于PAC【之前我们有推荐过相关论文】在苹果设备的部署,控制流劫持变得很困难。于是也就有了本文总结的(Mach) Port Object-Oriented Programming (POP)攻击与对应的PUSH防御。

Defense Mechanisms Against DDoS Attacks in a Cloud Computing Environment-State-of-the-Art and Research Challenges

作者:Neha Agrawal;Shashikala Tapaswi

单位:Amity University Gwalior; Indian Institute of Technology Indore

来源:IEEE COMMUNICATIONS SURVEYS & TUTORIALS 2019.11

连接:Defense Mechanisms Against DDoS Attacks in a Cloud Computing Environment: State-of-the-Art and Research Challenges

Abstract

云计算所具有的显著优点(如按需服务、资源池、广泛的网络访问、快速的弹性服务)正在被攻击者所利用,并以此发送日益严重的分布式拒绝服务攻击(DDoS)。在这种情况之下,DDoS攻击通常是通过大量(高速率)的恶意流量来耗尽服务器的资源。由于恶意流量是如此之大,这样的高速率攻击就去很容易检测到,因此攻击者逐步开始研究低速率的DDoS攻击。低速率的DDoS攻击由于其隐蔽、低速的特征很难被现有的防御机制所检测到。本文主要研究了在云计算环境中的各种DDoS攻击及其检测、防御和缓解方法。

Understanding Worldwide Private Information Collection on Android

作者:Yun Shen, Pierre-Antoine Vervier, Gianluca Stringhini

单位:NortonLifeLock Research Group, Boston University

会议:NDSS 2021

论文链接:Understanding Worldwide Private Information Collection on Android

摘要

移动手机可以收集唯一标识符(例如电子邮件地址)、用户位置、短信等大量隐私信息。在本文中,作者对Android进行了最大的隐私信息收集(PIC)研究。利用从流行的移动安全产品的客户那里收集的匿名数据集,作者分析了210万个独特应用生成的敏感信息流,发现其中87.2%所有设备都将隐私信息发送到至少五个不同的域,并且活跃在不同区域的参与者有兴趣收集不同类型的信息。美国和中国是收集最多隐私信息的国家。作者的发现提出了有关数据监管的问题,并将鼓励政策制定者进一步监管公司如何使用私人信息并在公司之间共享私人信息,以及如何真正确保责任制。