快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

Ghost Tunnel:适用于隔离收集的WiFi隐蔽传输通道

image.png

1、媒介

Ghost Tunnel是一种可适用于隔离环境下的后门传输方式,可在用户无感知情形下对目标进行控制及信息归传(不创建或依靠于任何有线、无线收集,甚至不需要外插任何硬件模块)。

在4月的HITB阿姆斯特丹站上,我们(PegasusTeam)分享了一个关于隔离网攻击的议题——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。

Ghost Tunnel是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备开释后,可在用户无感知情形下对目标进行控制及信息归传。相比于现有的其他类似研究(如WHID,一种通过 Wi-Fi 进行控制的 HID 设备),Ghost Tunnel不创建或依靠于任何有线、无线收集,甚至不需要外插任何硬件模块。

到底有多棒,先把demo放出来镇文。

二、违景

为了便于读者理解Ghost Tunnel的使用处景,在本节中将会先容“遥控木马上线方式”、“收集隔离”、“HID攻击”等相干知识,部分内容引用自其他文章,在小节末将给出原文以便于人人扩大涉猎。

2.1 遥控木马上线方式

说起遥控木马,人人可能会想到一大堆耳熟能详的名称,如灰鸽子、冰河、Byshell、PCshare、Gh0st等等,在此我们以上线方式的角度对遥控木马进行一个简单分类。

主动连接型

被控端开启特定端口,主控端通过该主机IP及端口连接到被控端,工控黑客 ,如3389遥程桌面、VNC遥程桌面等。

反弹连接型

由于主动连接的方式不适用于攻击目标处在内网的环境,许多木马采用反弹型进行上线。与主动连接的方式相反,由主控端监听特定端口,被控端执行木马后反连归主控端。由于该种方式的适用性更广,大部分的木马都采用该方式上线,如行使FTP上线、DNS域名解析上线等。

image.png

通过第三方域名型

出于隐蔽性或者反追踪的目的,有些新型的木马采用第三方网站来进行上线。譬如通过知名博客类网站的文章内容及评述区,行使QQ空间、微博、推特的推送内容,甚至笔者还见过行使QQ个性署名来作为上线地址。八仙过海各显神通,行使知名网站的好处是可以绕过某些防火墙的白名单制约。

image.png>《木马的前生今生:上线方式的发铺及新型上线方式的完成》 http://www.freebuf.com/articles/terminal/77412.html

实在,Ghost Tunnel也能够理解为一种木马的上线方式,只是它更针对于攻击目标处在隔离收集中的场景。

2.2 什么是Air Grapping

Wikipedia: “An air gap, air wall or air gapping is a network security measure employed on one or more computers to ensure that a secure computer network is physically isolated from unsecured networks, such as the public Internet or an unsecured local area network.”

简单来说,Air Grapping是一种用于维护特定收集,采用物理隔离的安全措施,通常被用来防止行使收集连接路子酿成的入侵及信息泄漏事故。

image.png

隔离网闸是常见的一种形态,其道理为:切断收集之间的通用协定连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括收集协定检查以及代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。其经常被使用在涉密网与非涉密网间。

攻击者无论是想行使操作体系、应用软件、通讯协定的漏洞,都需要通过收集触碰目标机器,而收集隔离环境中就将这条路给封住了。无非凡事没有尽对,一些大消息告诉我们行使恶意USB就是一种具有可操作性的攻击方式,下列就是几个针对隔离网攻击的案例。

震网病毒 Stuxnet Worm

image.png

有名的震网病毒便行使了USB的方式将病毒传入隔离收集,随后将病毒传播到收集中的其他设备。在适量的时辰给工控机器下发错误指令,导致机器异常直至报废。终极震网病毒导致伊朗的核计划被迫延迟最少两年。

水蝮蛇一号 COTTONMOUTH-I

image.png

在斯诺登表露的NSA隐秘武器中包含了该工具,其内部包含了一套 ARMv7 芯片以及无线收发安装。当它插入目标主机后,植入恶意程序并创建一个无线网桥,配套的设备可通过RF旗子灯号与其进行交互,传输命令及数据。一样,它被NSA用于攻击伊朗的隐秘机构,从物理隔离的设备中窃取数据长达数年。

2.3 HID攻击

HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。无非HID设备并不一定要有人机接口,只需相符HID类别规范的设备都是HID设备。一般来讲针对HID的攻击首要集中在键盘鼠标上,因为只需控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐躲在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。

Teensy

攻击者在定制攻击设备时,会向USB设备中置入一个攻击芯片,此攻击芯片是一个无比小而且功能完备的单片机开发体系,它的名字鸣TEENSY。通过TEENSY你可以摹拟出一个键盘以及鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,行使设备中的微处理器与存储空间以及编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。

image.png

USB Rubber Ducker

简称USB橡皮鸭,是最早的按键注入工具,通过嵌入式开发板完成,后来发铺成为一个完全成熟的商业化按键注入攻击平台。它的道理一样是将USB设备摹拟成为键盘,让电脑识别成为键盘,然落后行脚本摹拟按键进行攻击。

image.png

BadUSB

Teensy以及橡皮鸭的缺点在于要定制硬件设备,通用性比较差。然则BadUSB就不同样了,它是在“USB RUBBER DUCKY”以及“Teensy”攻击方式的基础上用通用的USB设备(譬如U盘)。BadUSB就是通过对U盘的固件进行逆向重新编程,至关于改写了U盘的操作体系而进行攻击的。

BashBunny

image.png

可以发动多种payload是这款设备的一大特色。将开关切换到相应payload选择(上图中的Switch Position 1/2),将Bash Bunny插入目标设备,观察LED灯的变牵就能了解攻击状态。在硬件方面,设备中包含1颗四核CPU以及桌面级SSD,Hak5先容说此设备从插入到攻击发动只要要7秒。此外,这款Bash Bunny设备实际上拥有Linux设备的种种功能,通过特定串口可走访shell。尽大部分渗透排泄测试工具的功能都能在其中找到。

DuckHunter

在Kali Linux NetHunter中提供了该工具。它可以将USB Rubber Ducky的脚本转化为NetHunter 自有的HID Attacks格式,由此我们将刷有Nethunter的Android设备通过数据线与电脑相连便能摹拟键盘进行输入。

image.png

WHID

WHID就是WiFi +HID的组合,WHID注入器顾名思义就是对HID攻击进行无线化攻击时的一种注入工具,通过在USB设备上提供WiFi功能以供遥程控制。

image.png

《HID攻击之TEENSY实战》

http://blog.topsec.com.cn/ad_lab/hid%E6%94%BB%E5%87%BB%E4%B9%8Bteensy%E5%AE%9E%E6%88%98/

《新的U盘自动运行——BadUSB道理与完成》

https://security.tencent.com/index.php/blog/msg/74

《据说是“最进步先辈的USB攻击平台”》

http://www.freebuf.com/news/128788.html

《DuckHunterHID for mac》

http://www.ggsec.cn/DuckHunterHID.html

《WHID注入器:在无线环境下完成HID攻击的最新利器》

http://www.4hou.com/technology/4565.html

3、Ghost Tunnel

对于隔离收集的攻击一般有两个步骤:

1. 在目标体系植入恶意软件

2. 确立数据通道,(infiltrate & exfiltrate),以便执行命令以及窃取数据。

根据之前的案例可以看到,任何可以承载数据的前言都是可以用来确立数据通讯的通道。Ghost Tunnel便是一个行使WiFi旗子灯号的隐蔽传输通道。

image.png

起首,以HID攻击为例:我们使用BashBunny或者DuckHunter等HID工具将恶意程序植入受害者设备,譬如一台Windows笔记本。随后恶意程序将使用受害者设备的内置无线通讯模块与另一台由攻击者控制的设备确立端到端的WiFi传输通道。此时,攻击者就可以遥程执行命令并窃取数据。

值得注意的是,Ghost Tunnel指的是通过行使受害者设备自身的无线模块来确立传输通道的一种方式,其并不仅局限于使用HID攻击来植入恶意程序,实际上以其他方式植入也是可行的。

3.1 优势

Ghost Tunnel的完成方式具有这几个优势:

HID设备只用于植入攻击代码,当植入实现就可以移除了。(HID攻击外的其他植入情势也是可以的)

没有正常的收集连接,可以绕过防火墙。

不会对现有的收集通讯及连接状态造成影响。

跨平台支持。该攻击可用于任何拥有WiFi模块的设备,我们在Win七、Win十、Mac OSX上进行了测试。

可在几十米内工作,配合旗子灯号桥接设备理论上可做到无限遥。

3.2 道理

在正常的Wi-Fi通讯中,一个站点必须经历Beacon,Probe,Authentication,Association等过程后才能确立与接入点的连接,其全部流程以下图。

image.png

而Ghost Tunnel并没有使用正常的Wi-Fi连接,而只用到了Beacon、Probe Request、Probe Response,以下图。

image.png

为什么用这三个帧呢?在802.11的状态机中,取决于认证以及关联的状态,一共有三个阶段。

image.png

在State 1时,客户端处于Unauthenticated、Unassociated状态。而该阶段可以使用的802.11帧有下列详细几种,其中就包含了Probe Request,Probe Response,Beacon帧。

image.png

原本它们被使用在无线收集扫描阶段。当802.11客户端在扫描可用无线收集时,有两种扫描方式:

  • 主动扫描,客户端主动发送Probe Request,接收由接入点返归的Probe Response。

  • 被动扫描,客户端在每一个频道监听AP周期性发送的Beacon。

  • image.png

    总而言之,Ghost Tunnel通过Probe Request,Probe Response,Beacon三种类型帧来进行通讯,并不确立完备的WiFi连接。

    起首攻击者创建一个具有特殊SSID的AP,攻击者以及受害设备都使用它作为通讯的标识符(而不是常规WiFi通讯中的MAC)。此时,攻击者通过解析受害者设备发出的Probe Request帧得到数据;受害者设备上的恶意程序将解析攻击者发出的Beacon及Probe Response帧来执行命令并返归数据。这便是Ghost Tunnel WiFi隐蔽传输通道的隐秘。

    image.png

    3.3 其他

    你可能会有关于完成道理等更深入的问题,譬如:

  • 怎么样在802.11帧中携带我们的载荷?

  • 怎么样在用户空间行使设备的无线网卡来发送以及接受802.11数据包?

  • 各个操作体系平台的WiFi应用接口是什么,详细怎么样完成?

  • 攻击者端的C&C Server是怎么样完成的?

  • 欢迎查看我们已对外公布的PPT,你可以在其中找到这些问题的谜底。要是以为该研究还不错的话,欢迎点下Star。

    https://github.com/360PegasusTeam/PegasusTeam/tree/master/talks

    4、影响

    P4wnP1项目受GhostTunnel启发,在新版本加入了此种方式。

    https://github.com/mame82/P4wnP1

    image.png

    image.png

    在MSF近期更新的一个脚本中(https://github.com/rapid7/metasploit-framework/pull/9862 )行使类似的思路完成了近场探测的功能,作者表明该脚本的首要场景就是探测目标设备是不是否已经物理接近了被攻击端。

    image.png

    *qingxp9,转载注明来自FreeBuf

    您可能还会对下面的文章感兴趣: