0


漏洞英文bug/360安全团队受邀亮相顶级盛会,安全漏洞利用技术入选Black Hat 2022_零基础信息安全自学

漏洞英文bug/360安全团队受邀亮相顶级盛会,安全漏洞利用技术入选Black Hat 2022_零基础信息安全自学

5月10日至13日,网络安全领域著名的安全会议Black Hat Asia 2022(亚洲黑帽峰会)在新加坡举行。Black Hat大会被公认为世界信息安全行业的最高盛会,每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会,大会聚焦先进安全研究、发展和趋势,并以其强技术性、权威性、客观性引领未来安全思想和技术的走向。

360漏洞_漏洞盒子_漏洞英文bug

作为国内领先的数字安全公司,今年三六零(.SH)旗下 360政企安全集团共有2项漏洞研究成果入围,来自360漏洞研究院的安全专家受邀参加大会,并发表主题为《USMA:用户态映射攻击》和《下一代漏洞利用:攻击通用日志文件系统》的演讲。

议题一:USMA:用户态映射攻击

USMA:Share Code with Me

演讲人:刘永、王晓东、姚俊

本议题中,360安全研究员分享了Linux平台下一种新型内核漏洞利用方法。这种方法打破了常规的漏洞利用思路:攻击者可以直接在用户态篡改内核代码,获得内核执行权限。360安全研究人员将这种新型攻击方法命名为USMA(User Space ,用户态映射攻击)。相比于常规方法,它克服了可获得性限制,对漏洞要求大大降低。更重要的是,它突破了目前业界最新的硬件防护措施-指针验证。

漏洞英文bug_漏洞盒子_360漏洞

议题二:下一代 漏洞利用:攻击通用日志文件系统

The Next of : the Log File

演讲人:许仕杰、宋建阳、李林双

360安全团队发表的另一个议题同样是漏洞利用的研究,360发现一种漏洞的新型利用,对于复杂的、难以利用的漏洞,采用这种方法,可以更方便更快捷地实现利用,加大了漏洞被利用的可能性,并且该利用方法具有很高的适配性,适用于的大部分漏洞。

该利用方法的发现,源自360安全团队在针对系统今年热门模块的研究时,挖掘出一枚通用日志文件系统模块漏洞之后,发现此漏洞用以往的手法利用起来比较困难,因此在研究利用的过程中,360安全专家打破常规地在其他模块中找到了一种全新的利用方法,并巧妙地完成了该漏洞的利用。

360漏洞_漏洞盒子_漏洞英文bug

在本届Black Hat上360安全团队所发表的两个议题,充分体现了其在操作系统安全研究上的厚积薄发。作为团队重点研究方向之一,360漏洞研究院在、Linux、MacOS等主流操作系统安全上积累了丰富的技术经验,独创了一系列前沿性成果,并获得业内顶级机构的认可与嘉奖,其中包括获得2021年首届信创挑战赛操作系统类第一名;挖掘“飓风山竹”漏洞链包揽2021年安全界奥斯卡Pwnie “史诗级成就”和“最佳提权漏洞”两项提名;在2021年“天府杯”大赛攻破 20/项目;2021年入选Black Hat Asia ,受邀发表演讲《: and on QTEE》等。

与此同时,安全漏洞的研究离不开“攻击利用”与“修复防御”两方面,攻防两方总是相互较技,新型攻击技术层出不穷,也不断催生出新的防御手段。作为数字安全的领导者,360政企安全集团17年来一直对漏洞利用技术手段进行深入的研究,并提出了一系列领先行业的漏洞利用方式,因此360安全专家屡次受邀参加Black Hat等顶级工业与学术会议,并积极与业内进行广泛讨论,从“以攻促防”的实战思维,及时完善相关缓解措施,更好地帮助广大政企用户防御0Day漏洞及APT高级威胁攻击。

值得一提的是,此次在世界舞台发表成果的安全专家是360漏洞研究院的95后新锐安全力量,未来,360漏洞研究院将持续招募安全漏洞研究人才,挖掘和培养更多数字安全生力军,为国家和社会数字安全建设贡献力量。

~

网络安全学习,我们一起交流

~

标签: 漏洞 安全 议题

本文转载自: https://blog.csdn.net/m0_68974407/article/details/140246944
版权归原作者 程序员三九 所有, 如有侵权,请联系我们删除。

“漏洞英文bug/360安全团队受邀亮相顶级盛会,安全漏洞利用技术入选Black Hat 2022_零基础信息安全自学”的评论:

还没有评论