本次比賽上,360安全聯隊先后破解了微軟Edge、VMware workstation、Adobe Flash以及谷歌Pixel,創造了Pwn(破解)類比賽中各團隊破解項目最多的記錄。更為搶眼的是,號稱擁有“不敗金身”的VMware神話也終于落幕,360安全聯隊的全球首破上演了黑客界的頂級神技。
全球首破虛擬化項目VMware workstation
PwnFest黑客大賽首日,360就遭遇了被稱為本屆賽事上最難項目的VMware workstation。做為在今年的Pwn2Own上殺出的黑馬項目,VMware workstation曾讓來自全球頂尖的安全團隊鎩羽而歸,據說除了七年前的舊版本被破解過外,VMware workstation一直在賽場保持不敗金身。
時隔大半年,主辦方POC(Power of Community)讓VMware workstation再次登上擂臺等待挑戰,并大手筆為給該項目設置了15萬美元的最高單項獎金。然而這次VMware workstation卻沒能守住神話,第二輪比賽之后,經過VMware等廠商的官方裁定,宣布360安全聯隊成功破解該項目,成為全球第一個破解該軟件的安全團隊。
圖:360安全聯隊攻破VMware并獲得15萬美元獎金
比賽首日,360聯隊還以10秒不到的用時基于最新的Windows10 RS1系統的Edge瀏覽器。而比賽次日,面對擁有谷歌黑客天團Project Zero重重保護的Pixel項目和安全性屢屢飆升的Flash項目,360安全聯隊依舊平穩繞過防護措施,拿下這兩大項目的獎章和獎金。
突破四大項目 成功問鼎“破解之王”
據了解,PwnFest引入了獎章系統,在選手挑戰成功任意一個項目后,會根據項目的難度拿到不同數量的金色獎章;如果實現系統提權還有附加的獎章收入。最終于拿到獎章數量最多的選手,會得到一個純金打造的“Lord of Pwn”(破解之王)的獎牌。
經過激烈的角逐后,360聯隊在微軟、谷歌、蘋果、Adobe、VMware五大巨頭廠商的共同裁定下,以絕無爭議的成績榮登榜首,捧起破解之王的獎牌。
圖:360安全聯隊在PwnFest上榮獲破解之王
360聯隊三隊齊發 實力強勁
參加PwnFest比賽的360聯隊由360旗下的Vulcan團隊、Marvel團隊和Alpha團隊三支隊伍構成,這幾支團隊分別致力于PC、虛擬化平臺和移動端的漏洞和攻防研究,并將挖掘到的漏洞及時提交給廠商進行修復。
在去年的國際賽事Pwn2Own上,360Vulcan團隊就拿下了當時最難的項目IE瀏覽器,成為亞洲首個突破該項目的隊伍;在今年的Pwn2Own上,他們又向谷歌Chrome發起挑戰,并成為唯一一支成功破解的團隊。
圖:360 Vulcan Team 是Pwn2Own上唯一攻破Chrome瀏覽器的團隊
360Alpha團隊也經常在世界舞臺上亮相,2015年的Mobile Pwn2Own上,他們成為首個在世界黑客大賽上攻破Android手機的中國團隊;作為國內首支虛擬化安全研究的技術團隊,360Marvel Team也已經向各大虛擬化平臺提交幾十個漏洞并獲得致謝,在國內乃至世界的虛擬化研究領域均處于領先地位。
迄今為止,360的各個研究團隊已經為谷歌、微軟、蘋果和Adobe等全球知名廠商提交了五百多個漏洞并獲得公開致謝,并獲譽“東方最強白帽子軍團”的稱號。