一、前言
Ghost Tunnel是一種可適用于隔離環(huán)境下的后門(mén)傳輸方式,可在用戶(hù)無(wú)感知情況下對(duì)目標(biāo)進(jìn)行控制及信息回傳(不創(chuàng)建或依賴(lài)于任何有線、無(wú)線網(wǎng)絡(luò),甚至不需要外插任何硬件模塊)。
在4月的HITB阿姆斯特丹站上,我們(PegasusTeam)分享了一個(gè)關(guān)于隔離網(wǎng)攻擊的議題——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。
Ghost Tunnel是一種可適用于隔離環(huán)境下的后門(mén)傳輸方式。一旦payload在目標(biāo)設(shè)備釋放后,可在用戶(hù)無(wú)感知情況下對(duì)目標(biāo)進(jìn)行控制及信息回傳。相比于現(xiàn)有的其他類(lèi)似研究(如WHID,一種通過(guò) Wi-Fi 進(jìn)行控制的 HID 設(shè)備),Ghost Tunnel不創(chuàng)建或依賴(lài)于任何有線、無(wú)線網(wǎng)絡(luò),甚至不需要外插任何硬件模塊。
到底有多棒,先把demo放出來(lái)鎮(zhèn)文。
二、背景
為了便于讀者理解Ghost Tunnel的使用場(chǎng)景,在本節(jié)中將會(huì)介紹“遠(yuǎn)控木馬上線方式”、“網(wǎng)絡(luò)隔離”、“HID攻擊”等相關(guān)知識(shí),部分內(nèi)容引用自其他文章,在小節(jié)末將給出原文以便于大家擴(kuò)展閱讀。
2.1 遠(yuǎn)控木馬上線方式
說(shuō)起遠(yuǎn)控木馬,大家可能會(huì)想到一大堆耳熟能詳?shù)拿Q(chēng),如灰鴿子、冰河、Byshell、PCshare、Gh0st等等,在此我們以上線方式的角度對(duì)遠(yuǎn)控木馬進(jìn)行一個(gè)簡(jiǎn)單分類(lèi)。
主動(dòng)連接型
被控端開(kāi)啟特定端口,主控端通過(guò)該主機(jī)IP及端口連接到被控端,如3389遠(yuǎn)程桌面、VNC遠(yuǎn)程桌面等。
反彈連接型
由于主動(dòng)連接的方式不適用于攻擊目標(biāo)處在內(nèi)網(wǎng)的環(huán)境,許多木馬采用反彈型進(jìn)行上線。與主動(dòng)連接的方式相反,由主控端監(jiān)聽(tīng)特定端口,被控端執(zhí)行木馬后反連回主控端。由于該種方式的適用性更廣,大部分的木馬都采用該方式上線,如利用FTP上線、DNS域名解析上線等。
通過(guò)第三方域名型
出于隱蔽性或者反追蹤的目的,有些新型的木馬采用第三方網(wǎng)站來(lái)進(jìn)行上線。比如通過(guò)知名博客類(lèi)網(wǎng)站的文章內(nèi)容及評(píng)論區(qū),利用QQ空間、微博、推特的推送內(nèi)容,甚至筆者還見(jiàn)過(guò)利用QQ個(gè)性簽名來(lái)作為上線地址。八仙過(guò)海各顯神通,利用知名網(wǎng)站的好處是可以繞過(guò)某些防火墻的白名單限制。
 >《木馬的前世今生:上線方式的發(fā)展及新型上線方式的實(shí)現(xiàn)》 http://www.freebuf.com/articles/terminal/77412.html
其實(shí),Ghost Tunnel也可以理解為一種木馬的上線方式,只是它更針對(duì)于攻擊目標(biāo)處在隔離網(wǎng)絡(luò)中的場(chǎng)景。
2.2 什么是Air Grapping
Wikipedia: “An air gap, air wall or air gapping is a network security measure employed on one or more computers to ensure that a secure computer network is physically isolated from unsecured networks, such as the public Internet or an unsecured local area network.”
簡(jiǎn)單來(lái)說(shuō),Air Grapping是一種用于保護(hù)特定網(wǎng)絡(luò),采用物理隔離的安全措施,通常被用來(lái)防止利用網(wǎng)絡(luò)連接途徑造成的入侵及信息泄漏事件。
隔離網(wǎng)閘是常見(jiàn)的一種形態(tài),其原理為:切斷網(wǎng)絡(luò)之間的通用協(xié)議連接;將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù);對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查,包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等;確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元;內(nèi)部用戶(hù)通過(guò)嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。其經(jīng)常被使用在涉密網(wǎng)與非涉密網(wǎng)間。
攻擊者無(wú)論是想利用操作系統(tǒng)、應(yīng)用軟件、通信協(xié)議的漏洞,都需要通過(guò)網(wǎng)絡(luò)觸碰目標(biāo)機(jī)器,而網(wǎng)絡(luò)隔離環(huán)境中就將這條路給封住了。不過(guò)凡事沒(méi)有絕對(duì),一些大新聞告訴我們利用惡意USB就是一種具有可操作性的攻擊方式,以下就是幾個(gè)針對(duì)隔離網(wǎng)攻擊的案例。
震網(wǎng)病毒 Stuxnet Worm
著名的震網(wǎng)病毒便利用了USB的方式將病毒傳入隔離網(wǎng)絡(luò),隨后將病毒傳播到網(wǎng)絡(luò)中的其他設(shè)備。在適當(dāng)?shù)臅r(shí)候給工控機(jī)器下發(fā)錯(cuò)誤指令,導(dǎo)致機(jī)器異常直至報(bào)廢。最終震網(wǎng)病毒導(dǎo)致伊朗的核計(jì)劃被迫延遲至少兩年。
水蝮蛇一號(hào) COTTONMOUTH-I
在斯諾登披露的NSA秘密武器中包含了該工具,其內(nèi)部包含了一套 ARMv7 芯片和無(wú)線收發(fā)裝置。當(dāng)它插入目標(biāo)主機(jī)后,植入惡意程序并創(chuàng)建一個(gè)無(wú)線網(wǎng)橋,配套的設(shè)備可通過(guò)RF信號(hào)與其進(jìn)行交互,傳輸命令及數(shù)據(jù)。同樣,它被NSA用于攻擊伊朗的秘密機(jī)構(gòu),從物理隔離的設(shè)備中竊取數(shù)據(jù)長(zhǎng)達(dá)數(shù)年。
2.3 HID攻擊
HID是Human Interface Device的縮寫(xiě),由其名稱(chēng)可以了解HID設(shè)備是直接與人交互的設(shè)備,例如鍵盤(pán)、鼠標(biāo)與游戲桿等。不過(guò)HID設(shè)備并不一定要有人機(jī)接口,只要符合HID類(lèi)別規(guī)范的設(shè)備都是HID設(shè)備。一般來(lái)講針對(duì)HID的攻擊主要集中在鍵盤(pán)鼠標(biāo)上,因?yàn)橹灰刂屏擞脩?hù)鍵盤(pán),基本上就等于控制了用戶(hù)的電腦。攻擊者會(huì)把攻擊隱藏在一個(gè)正常的鼠標(biāo)鍵盤(pán)中,當(dāng)用戶(hù)將含有攻擊向量的鼠標(biāo)或鍵盤(pán),插入電腦時(shí),惡意代碼會(huì)被加載并執(zhí)行。
Teensy
攻擊者在定制攻擊設(shè)備時(shí),會(huì)向USB設(shè)備中置入一個(gè)攻擊芯片,此攻擊芯片是一個(gè)非常小而且功能完整的單片機(jī)開(kāi)發(fā)系統(tǒng),它的名字叫TEENSY。通過(guò)TEENSY你可以模擬出一個(gè)鍵盤(pán)和鼠標(biāo),當(dāng)你插入這個(gè)定制的USB設(shè)備時(shí),電腦會(huì)識(shí)別為一個(gè)鍵盤(pán),利用設(shè)備中的微處理器與存儲(chǔ)空間和編程進(jìn)去的攻擊代碼,就可以向主機(jī)發(fā)送控制命令,從而完全控制主機(jī),無(wú)論自動(dòng)播放是否開(kāi)啟,都可以成功。
USB Rubber Ducker
簡(jiǎn)稱(chēng)USB橡皮鴨,是最早的按鍵注入工具,通過(guò)嵌入式開(kāi)發(fā)板實(shí)現(xiàn),后來(lái)發(fā)展成為一個(gè)完全成熟的商業(yè)化按鍵注入攻擊平臺(tái)。它的原理同樣是將USB設(shè)備模擬成為鍵盤(pán),讓電腦識(shí)別成為鍵盤(pán),然后進(jìn)行腳本模擬按鍵進(jìn)行攻擊。
BadUSB
Teensy和橡皮鴨的缺陷在于要定制硬件設(shè)備,通用性比較差。但是BadUSB就不一樣了,它是在“USB RUBBER DUCKY”和“Teensy”攻擊方式的基礎(chǔ)上用通用的USB設(shè)備(比如U盤(pán))。BadUSB就是通過(guò)對(duì)U盤(pán)的固件進(jìn)行逆向重新編程,相當(dāng)于改寫(xiě)了U盤(pán)的操作系統(tǒng)而進(jìn)行攻擊的。
BashBunny
可以發(fā)動(dòng)多種payload是這款設(shè)備的一大特色。將開(kāi)關(guān)切換到相應(yīng)payload選擇(上圖中的Switch Position 1/2),將Bash Bunny插入目標(biāo)設(shè)備,觀察LED燈的變化就能了解攻擊狀態(tài)。在硬件方面,設(shè)備中包含1顆四核CPU和桌面級(jí)SSD,Hak5介紹說(shuō)此設(shè)備從插入到攻擊發(fā)動(dòng)只需要7秒。此外,這款Bash Bunny設(shè)備實(shí)際上擁有Linux設(shè)備的各種功能,通過(guò)特定串口可訪問(wèn)shell。絕大部分滲透測(cè)試工具的功能都能在其中找到。
DuckHunter
在Kali Linux NetHunter中提供了該工具。它可以將USB Rubber Ducky的腳本轉(zhuǎn)化為NetHunter 自有的HID Attacks格式,由此我們將刷有Nethunter的Android設(shè)備通過(guò)數(shù)據(jù)線與電腦相連便能模擬鍵盤(pán)進(jìn)行輸入。
WHID
WHID就是WiFi +HID的組合,WHID注入器顧名思義就是對(duì)HID攻擊進(jìn)行無(wú)線化攻擊時(shí)的一種注入工具,通過(guò)在USB設(shè)備上提供WiFi功能以供遠(yuǎn)程控制。
《HID攻擊之TEENSY實(shí)戰(zhàn)》
http://blog.topsec.com.cn/ad_lab/hid%E6%94%BB%E5%87%BB%E4%B9%8Bteensy%E5%AE%9E%E6%88%98/
《新的U盤(pán)自動(dòng)運(yùn)行——BadUSB原理與實(shí)現(xiàn)》
https://security.tencent.com/index.php/blog/msg/74
《據(jù)說(shuō)是“最先進(jìn)的USB攻擊平臺(tái)”》
http://www.freebuf.com/news/128788.html
《DuckHunterHID for mac》
http://www.ggsec.cn/DuckHunterHID.html
《WHID注入器:在無(wú)線環(huán)境下實(shí)現(xiàn)HID攻擊的最新利器》
http://www.4hou.com/technology/4565.html
三、Ghost Tunnel
對(duì)于隔離網(wǎng)絡(luò)的攻擊一般有兩個(gè)步驟:
1. 在目標(biāo)系統(tǒng)植入惡意軟件
2. 建立數(shù)據(jù)通道,(infiltrate & exfiltrate),以便執(zhí)行命令和竊取數(shù)據(jù)。
根據(jù)之前的案例可以看到,任何可以承載數(shù)據(jù)的媒介都是可以用來(lái)建立數(shù)據(jù)通信的通道。Ghost Tunnel便是一個(gè)利用WiFi信號(hào)的隱蔽傳輸通道。
首先,以HID攻擊為例:我們使用BashBunny或者DuckHunter等HID工具將惡意程序植入受害者設(shè)備,比如一臺(tái)Windows筆記本。隨后惡意程序?qū)⑹褂檬芎φ咴O(shè)備的內(nèi)置無(wú)線通信模塊與另一臺(tái)由攻擊者控制的設(shè)備建立端到端的WiFi傳輸通道。此時(shí),攻擊者就可以遠(yuǎn)程執(zhí)行命令并竊取數(shù)據(jù)。
值得注意的是,Ghost Tunnel指的是通過(guò)利用受害者設(shè)備自身的無(wú)線模塊來(lái)建立傳輸通道的一種方式,其并不僅局限于使用HID攻擊來(lái)植入惡意程序,實(shí)際上以其他方式植入也是可行的。
3.1 優(yōu)勢(shì)
Ghost Tunnel的實(shí)現(xiàn)方式具有這幾個(gè)優(yōu)勢(shì):
HID設(shè)備只用于植入攻擊代碼,當(dāng)植入完成就可以移除了。(HID攻擊外的其他植入形式也是可以的)
沒(méi)有正常的網(wǎng)絡(luò)連接,可以繞過(guò)防火墻。
不會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)通信及連接狀態(tài)造成影響。
跨平臺(tái)支持。該攻擊可用于任何擁有WiFi模塊的設(shè)備,我們?cè)赪in7、Win10、Mac OSX上進(jìn)行了測(cè)試。
可在幾十米內(nèi)工作,配合信號(hào)橋接設(shè)備理論上可做到無(wú)限遠(yuǎn)。
3.2 原理
在正常的Wi-Fi通信中,一個(gè)站點(diǎn)必須經(jīng)歷Beacon,Probe,Authentication,Association等過(guò)程后才能建立與接入點(diǎn)的連接,其整個(gè)流程如下圖。
而Ghost Tunnel并沒(méi)有使用正常的Wi-Fi連接,而只用到了Beacon、Probe Request、Probe Response,如下圖。
為什么用這三個(gè)幀呢?在802.11的狀態(tài)機(jī)中,取決于認(rèn)證和關(guān)聯(lián)的狀態(tài),一共有三個(gè)階段。
在State 1時(shí),客戶(hù)端處于Unauthenticated、Unassociated狀態(tài)。而該階段可以使用的802.11幀有以下具體幾種,其中就包含了Probe Request,Probe Response,Beacon幀。
原本它們被使用在無(wú)線網(wǎng)絡(luò)掃描階段。當(dāng)802.11客戶(hù)端在掃描可用無(wú)線網(wǎng)絡(luò)時(shí),有兩種掃描方式:
總而言之,Ghost Tunnel通過(guò)Probe Request,Probe Response,Beacon三種類(lèi)型幀來(lái)進(jìn)行通信,并不建立完整的WiFi連接。
首先攻擊者創(chuàng)建一個(gè)具有特殊SSID的AP,攻擊者和受害設(shè)備都使用它作為通信的標(biāo)識(shí)符(而不是常規(guī)WiFi通信中的MAC)。此時(shí),攻擊者通過(guò)解析受害者設(shè)備發(fā)出的Probe Request幀得到數(shù)據(jù);受害者設(shè)備上的惡意程序?qū)⒔馕龉粽甙l(fā)出的Beacon及Probe Response幀來(lái)執(zhí)行命令并返回?cái)?shù)據(jù)。這便是Ghost Tunnel WiFi隱蔽傳輸通道的秘密。
3.3 其他
你可能會(huì)有關(guān)于實(shí)現(xiàn)原理等更深入的問(wèn)題,比如:
-
如何在802.11幀中攜帶我們的載荷?
-
如何在用戶(hù)空間利用設(shè)備的無(wú)線網(wǎng)卡來(lái)發(fā)送和接受802.11數(shù)據(jù)包?
-
各個(gè)操作系統(tǒng)平臺(tái)的WiFi應(yīng)用接口是什么,具體如何實(shí)現(xiàn)?
-
攻擊者端的C&C Server是如何實(shí)現(xiàn)的?
歡迎查看我們已對(duì)外公布的PPT,你可以在其中找到這些問(wèn)題的答案。如果覺(jué)得該研究還不錯(cuò)的話,歡迎點(diǎn)下Star。
https://github.com/360PegasusTeam/PegasusTeam/tree/master/talks
四、影響
P4wnP1項(xiàng)目受GhostTunnel啟發(fā),在新版本加入了此種方式。
https://github.com/mame82/P4wnP1
在MSF近期更新的一個(gè)腳本中(https://github.com/rapid7/metasploit-framework/pull/9862 )利用類(lèi)似的思路實(shí)現(xiàn)了近場(chǎng)探測(cè)的功能,作者表明該腳本的主要場(chǎng)景就是探測(cè)目標(biāo)設(shè)備是否是否已經(jīng)物理接近了被攻擊端。
*本文作者qingxp9,轉(zhuǎn)載注明來(lái)自FreeBuf
| 
