近年來,網絡×××事件頻發,許多公共系統都會選擇用物理隔離(Air-Gapping)的手段來使自己的計算機免受來自外界的病毒或者通過網絡數據×××主機等外部×××。
Air-Gapping是一種用於保護特定網絡,採用物理隔離的安全措施,通常被用來防止通過網絡連接途徑造成的***事件及信息泄漏事件。
網絡隔離被認爲是非常安全的一種措施,對其的×××是非常困難的。×××者無論是想利用操作系統、應用軟件還是通信協議上的漏洞,都需要通過網絡。然而凡事沒有絕對,一些大新聞告訴我們利用惡意USB就是一種具有可操作性的×××方式。
即使使用這種物理隔離的方式,隨着近年來HID和WHID設備的增多,大多會通過badusb、BashBunny、DuckHunter等模擬鍵盤設備來×××他人設備。此時,另外一種新型的×××思路也被搬上了屏幕。
那麼Ghost Tunnel瞭解一下。
關於Ghost Tunnel
Ghost Tunnel簡單來說是利用Wifi建立的隱蔽通道。傳統的×××方式都是通過網絡或者物理接觸來傳輸數據以達到控制他人設備的目的。是一種可適用於隔離環境下的後門傳輸方式。一旦payload在目標設備釋放後,可在用戶無感知情況下對目標進行控制及信息回傳。相比於現有的其他類似研究(如WHID,一種通過Wi-Fi 進行控制的 HID 設備),Ghost Tunnel不創建或依賴於任何有線、無線網絡,甚至不需要外插任何硬件模塊。
相關研究
在2018年的荷蘭黑帽大會上360天馬團隊展示了他們的研究。
傳統的Wifi建立連接總共分爲7步:
但是Ghost Tunnel指的是wifi建立連接前三步,處於探針的握手階段。
但是設備與AP之間並沒有進入之後的祕鑰認證階段,所以在普通人看來並沒有連上他人的熱點。
可是研究發現,在probe request幀和probe response幀中,存在這自定義的字段並且可以對其幀的數據結構部分進行修改,於是嘗試利用request和response幀植入命令來交互。
『以視頻中HID×××爲例』
我們使用BashBunny或者DuckHunter等HID工具將惡意程序植入受害者設備,比如一臺Windows筆記本。隨後惡意程序將使用受害者設備的內置無線通信模塊與另一臺由×××者控制的設備建立端到端的WiFi傳輸通道。此時,×××者就可以遠程執行命令並竊取數據。
值得注意的是,Ghost Tunnel指的是通過利用受害者設備自身的無線模塊來建立傳輸通道的一種方式,其並不僅侷限於使用HID×××來植入惡意程序,實際上以其他方式植入也是可行的。
Ghost Tunnel的優勢
Ghost Tunnel的實現方式具有這幾個優勢:
❖ HID設備只用於植入×××代碼,當植入完成就可以移除了。(HID×××外的其他植入形式也是可以的)
❖ 沒有正常的網絡連接,可以繞過防火牆。
❖ 不會對現有的網絡通信及連接狀態造成影響。
❖ 跨平臺支持。該×××可用於任何擁有WiFi模塊的設備,我們在Win7、Win10、Mac OSX上進行了測試。
❖ 可在幾十米內工作,配合信號橋接設備理論上可做到無限遠。
總而言之,Ghost Tunnel通過Probe Request,Probe Response,Beacon三種類型幀來進行通信,並不建立完整的WiFi連接。
首先×××者創建一個具有特殊SSID的AP,×××者和受害者設備都使用它作爲通信的標識符(而不是常規WiFi通信中的MAC)。此時,×××者通過解析受害者設備發出的Probe Request幀提取到數據;受害者設備上的惡意程序將解析×××者發出的Beacon及Probe Response幀來執行命令並返回數據。這便是Ghost Tunnel WiFi隱蔽傳輸通道的祕密。
我們的一些發現
在聽取了360報告後,我們團隊的安全研究工程師也對該技術進行了深度的研究。由於360團隊尚未公開代碼,所以我們對其復現並在Github上公開了我們的代碼。目前,代碼版本在windows平臺和mac平臺都處於演示階段,主要問題是beancon幀和response幀在空氣中的殘留導致命令重複執行,接下來我們會對windows下的受控端進行優化和改進、希望能夠建立長連接控制,並且一直開源該項目,對Ghost Tunnel的用途進行拓展和更深一步的研究。如果覺得該研究還不錯的話,歡迎點下star哦。