TROOPERS 2023 会议要点

TROOPERS 是一个历史悠久的国际 IT 安全会议，十年来有超过 3,500 名与会者和来自 25 个以上国家/地区的演讲者。今年是该会议第 15 次在德国海德堡举行。来自世界各地的与会者能够享受到各种技术讲座，分为三类：攻击与研究、防御与管理以及Active Directory 和 Azure 安全。

参加本次会议是我们的漏洞研究人员与 IT 安全社区会面、了解最新研究趋势并通过演讲分享自己的知识的绝佳机会。特别是所涵盖的各种技术及其相关的安全挑战提供了一种获得更广阔的视角和获得有价值的见解的好方法，这些见解不仅与特定技术相关。

场地及活动

该会议第二次在海德堡的 Halle02 举行。这个场地通常用于举办音乐活动，由仓库改建而成，氛围活泼而舒适，非常适合举办这样的技术会议：

https://twitter.com/WEareTROOPERS/status/1674345822022975488

在实际的 TROOPERS 会议之前进行了为期两天的现场培训，提供不同的主题，例如恶意软件分析、黑客企业和事件分析。会议本身还举办了各种活动，例如现场音乐共进晚餐、类似 CTF 的 PacketWars 竞赛，以及涵盖云安全等当前 IT 安全主题的圆桌讨论。此外，还有不同的慈善活动，如一万跑和拍卖会，为公益事业筹集资金。

会谈

三天的 TROOPERS 会议中，三个平行的轨道涵盖了各种各样的主题，总共进行了 36 场演讲：

Mikko Hypponen 的主题演讲概述了技术改变我们生活的方式。这包括诸如勒索软件团体实施的有组织犯罪等争议，勒索软件团体提供 24/7 客户支持以确保其良好声誉。谈论当今技术时我们无法回避的另一个话题当然是人工智能。如果我们一遍又一遍地向一个会编写代码的人工智能提供自己的代码来提高自身，会发生什么？我们还能理解和控制这个创造吗？

谈话猫和老鼠 - 还是国际象棋？作者 Fabian Mosch 解释了最新的防病毒和 EDR 解决方案如何通过使用用户空间挂钩来识别恶意软件，以及存在哪些不同的技术来绕过这些恶意软件。通过采用最近的 AMSI 绕过方法，Fabian 实现了一种新方法，通过挂起进程并阻止加载 EDR DLL 来避免 EDR 检测。

Alexander Heinrich 和 Jiska Classen 在演讲“攻击超宽带：智能手机中 UWB 应用的安全分析”中展示了他们关于超宽带技术的令人印象深刻的研究。上述攻击使用不同的方法来缩短超宽带设备测量的距离。由于该技术用于打开现代汽车，因此犯罪分子可能会通过中继攻击来窃取这些汽车。

Benjamin Koltermann 和 Maximilian Rademacher 的演讲“测试和模糊 Kubernetes 准入配置”很好地解释了 Kubernetes 准入控制器的工作原理及其用途。此外，Benjamin 和 Maximilian 还展示了一种新工具来模糊测试和测试配置，并在现场演示中进行了演示。

监控解决方案：攻击 IT 基础设施的核心

在会议的第二天，我们的漏洞研究员 Stefan 发表了演讲“监控解决方案：攻击 IT 基础设施的核心”：

https://twitter.com/spoookyM/status/1674393734836789248

演讲概述了监控解决方案的必要性和重要性及其对攻击者的价值。基于常见监控解决方案的技术架构，衍生出相应的攻击面。此后，演讲深入探讨了四个案例研究，涵盖 Cacti、OpenNMS、Checkmk 和 Netdata。对于所有这些案例研究，我们发现的代码漏洞导致了完整的远程代码执行链，并在演讲期间通过单独的利用演示进行了展示。结论总结了所有代码漏洞的常见模式，解释了如何预防这些漏洞，以及安全研究人员可以从中学到什么。这表明清洁代码对于防止此类攻击有多么重要。

感谢所有参加演讲的人以及组织者邀请我们！

对于对相关漏洞的详细信息感兴趣的每个人，我们建议阅读以下博客文章（有关 OpenNMS 和 Netdata 的文章也将很快发布）：

• Cacti：未经身份验证的远程代码执行

• Checkmk：通过链接多个错误来远程执行代码（第 2 部分、第 3 部分）

• 这是一个（SNMP）陷阱：在 LibreNMS 上获得代码执行（演讲中未涉及）