本次比赛上,360安全联队先后破解了微软Edge、VMware workstation、Adobe Flash以及谷歌Pixel,创造了Pwn(破解)类比赛中各团队破解项目最多的记录。更为抢眼的是,号称拥有“不败金身”的VMware神话也终于落幕,360安全联队的全球首破上演了黑客界的顶级神技。
全球首破虚拟化项目VMware workstation
PwnFest黑客大赛首日,360就遭遇了被称为本届赛事上最难项目的VMware workstation。做为在今年的Pwn2Own上杀出的黑马项目,VMware workstation曾让来自全球顶尖的安全团队铩羽而归,据说除了七年前的旧版本被破解过外,VMware workstation一直在赛场保持不败金身。
时隔大半年,主办方POC(Power of Community)让VMware workstation再次登上擂台等待挑战,并大手笔为给该项目设置了15万美元的最高单项奖金。然而这次VMware workstation却没能守住神话,第二轮比赛之后,经过VMware等厂商的官方裁定,宣布360安全联队成功破解该项目,成为全球第一个破解该软件的安全团队。
图:360安全联队攻破VMware并获得15万美元奖金
比赛首日,360联队还以10秒不到的用时基于最新的Windows10 RS1系统的Edge浏览器。而比赛次日,面对拥有谷歌黑客天团Project Zero重重保护的Pixel项目和安全性屡屡飙升的Flash项目,360安全联队依旧平稳绕过防护措施,拿下这两大项目的奖章和奖金。
突破四大项目 成功问鼎“破解之王”
据了解,PwnFest引入了奖章系统,在选手挑战成功任意一个项目后,会根据项目的难度拿到不同数量的金色奖章;如果实现系统提权还有附加的奖章收入。最终于拿到奖章数量最多的选手,会得到一个纯金打造的“Lord of Pwn”(破解之王)的奖牌。
经过激烈的角逐后,360联队在微软、谷歌、苹果、Adobe、VMware五大巨头厂商的共同裁定下,以绝无争议的成绩荣登榜首,捧起破解之王的奖牌。
图:360安全联队在PwnFest上荣获破解之王
360联队三队齐发 实力强劲
参加PwnFest比赛的360联队由360旗下的Vulcan团队、Marvel团队和Alpha团队三支队伍构成,这几支团队分别致力于PC、虚拟化平台和移动端的漏洞和攻防研究,并将挖掘到的漏洞及时提交给厂商进行修复。
在去年的国际赛事Pwn2Own上,360Vulcan团队就拿下了当时最难的项目IE浏览器,成为亚洲首个突破该项目的队伍;在今年的Pwn2Own上,他们又向谷歌Chrome发起挑战,并成为唯一一支成功破解的团队。
图:360 Vulcan Team 是Pwn2Own上唯一攻破Chrome浏览器的团队
360Alpha团队也经常在世界舞台上亮相,2015年的Mobile Pwn2Own上,他们成为首个在世界黑客大赛上攻破Android手机的中国团队;作为国内首支虚拟化安全研究的技术团队,360Marvel Team也已经向各大虚拟化平台提交几十个漏洞并获得致谢,在国内乃至世界的虚拟化研究领域均处于领先地位。
迄今为止,360的各个研究团队已经为谷歌、微软、苹果和Adobe等全球知名厂商提交了五百多个漏洞并获得公开致谢,并获誉“东方最强白帽子军团”的称号。