听说……

这次不是听说！

2月25日第三届SSRC HACKING PARTY

在深圳蛇口圆满举办！

现场有多炸，来看看视频吧

老规矩，文末有福利，别错过~ 

SSRC白帽英雄们集结湾区深圳蛇口May Town梦工厂，一起开FUN话攻防。

活动特别邀请了深蓝攻防实验室攻防渗透专家、《域渗透攻防指南》作者谢公子作为技术主播，在B站上同步直播。

来到现场的有知名企业安全技术负责人、攻防负责人，还有来自民间各大身怀绝技的白帽团队，现场处处充满对不同领域安全技术的热烈讨论。

BGT为我们分享了过去一年多，在研究苹果内核中IPC机制的发现，以及其发现漏洞的经验。

BGT用两个经典漏洞——谷歌P0和MOSEC 2021年的漏洞，为我们展开后续十多个漏洞的发现思路和规律总结。

“我分享的东西可能比较抽象，但我更想传达我在研究XNU时候的思路，以及沿着这个思路找到的一些漏洞，从这些漏洞中又能够学习到一些新知识。”

作为知名企业红队，Kara4search深知EDR在实战中的重要位置，从EDR的组成，到进入内核，到攻击内核，为我们重点分享了针对EDR内核层的攻防。

“众所周知，企业的安全离不开EDR，从杀软到EDR数十年的攻击方式和手段都在不断进化，针对EDR的攻防迭代也在不断演变，我的个人见解是实战中不一定是把EDR干掉最好，最理想的情况是了解一整套架构，干掉内核监控，保留AGENT。”

来自打过多场实战攻防演练、拿过多次冠军的深蓝攻防实验室，Su1Xu3从一个攻防小故事切入，引入用了EDR中核心检测引擎ETW的价值，先为我们剖析了架构：ETW有三个组件，分别是提供者、控制者和消费者，再从中分析它所面临的安全问题及攻击者的攻击方式。

最后，Su1Xu3分享了一个EDR几个常用的检测引擎的总结表格，常用的有用户HOOK、内核回调、内核过滤器、ETW系列。

“所以在我看来，一个好的检测引擎，一个好的EDR必定是这四种检测方法都有，包括国内的厂商也跟进了，深信服EDR也用到了这些。

我有一句很喜欢的话送给大家，‘世上没有绝对的安全，不过是成本的对抗’，终归是你强我弱，我变强你变弱，就像猫抓老鼠一样，是永远都结束不了的。”

远海在2022年教育系统网络安全攻防演习中扮演攻击队的角色取得了第一的成绩，并且在教育行业漏洞报告平台连续三年获得年度漏洞提交榜第一名，结合自己的实战经验，远海从教育行业安全风险、攻防对抗实践和高校网络安全防御方案，三个方面做了分享。

“从目前攻击手段上可以很明显地看出，其大部分问题都出在第三方厂商开发的应用系统上，甚至可以不用过度关注目标高校单位的资产信息，只需要从一些软件开发商入手就能实现贯穿。

高校在建立体系化防守的同时，厂商也应该去完善自身的产品安全，如开启众测借助外力完善产品安全，明确开发规范等措施。”

来自深瞻情报实验室，专门研究高级威胁的威胁猎捕和取证调查的Barry带领我们从一个事件调查员的角度，分享当企业面对真实网络攻击事件，尤其是疑似定向网络攻击的事件时，如何进行溯源。

从网络攻击溯源的概念，到当前国际上比较主流的 MICTIC 溯源模型和它的扩展介绍，最后通过一定的案例分析，Barry为我们全面展示了思考溯源的思路和框架。

“溯源不是一个 100%的确认，而是一个有前提，有高中低置信度的推断。MICTIC 模型及扩展提供了一个多角度思考攻击溯源的基础框架，让大家在之后遇到溯源问题或者溯源报告的时候，知道有哪些角度可以去思考。” 

经过2022年全年的努力，5位师傅及3个团队登上了本次SSRC HACKING PARTY属于安全技术人员的「荣耀加身」 时刻的舞台。

深信服与货拉拉、OPPO、顺丰科技、腾讯、微众的SRC联合发起五四青年节众测启航计划，希望有越来越多的技术新生力量加入SRC，壮大湾区SRC的队伍，未来，湾区SRC也会联手举办更多有意义、高质量的活动，放送更多福利回馈粉丝。