欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Ghost Tunnel:适用于隔离网络的WiFi隐蔽传输通道

来源:本站整理 作者:佚名 时间:2018-05-09 TAG: 我要投稿


一、前言
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式,可在用户无感知情况下对目标进行控制及信息回传(不创建或依赖于任何有线、无线网络,甚至不需要外插任何硬件模块)。
在4月的HITB阿姆斯特丹站上,我们(PegasusTeam)分享了一个关于隔离网攻击的议题——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备释放后,可在用户无感知情况下对目标进行控制及信息回传。相比于现有的其他类似研究(如WHID,一种通过 Wi-Fi 进行控制的 HID 设备),Ghost Tunnel不创建或依赖于任何有线、无线网络,甚至不需要外插任何硬件模块。
到底有多棒,先把demo放出来镇文。
二、背景
为了便于读者理解Ghost Tunnel的使用场景,在本节中将会介绍“远控木马上线方式”、“网络隔离”、“HID攻击”等相关知识,部分内容引用自其他文章,在小节末将给出原文以便于大家扩展阅读。
2.1 远控木马上线方式
说起远控木马,大家可能会想到一大堆耳熟能详的名称,如灰鸽子、冰河、Byshell、PCshare、Gh0st等等,在此我们以上线方式的角度对远控木马进行一个简单分类。
主动连接型
被控端开启特定端口,主控端通过该主机IP及端口连接到被控端,如3389远程桌面、VNC远程桌面等。
反弹连接型
由于主动连接的方式不适用于攻击目标处在内网的环境,许多木马采用反弹型进行上线。与主动连接的方式相反,由主控端监听特定端口,被控端执行木马后反连回主控端。由于该种方式的适用性更广,大部分的木马都采用该方式上线,如利用FTP上线、DNS域名解析上线等。

通过第三方域名型
出于隐蔽性或者反追踪的目的,有些新型的木马采用第三方网站来进行上线。比如通过知名博客类网站的文章内容及评论区,利用QQ空间、微博、推特的推送内容,甚至笔者还见过利用QQ个性签名来作为上线地址。八仙过海各显神通,利用知名网站的好处是可以绕过某些防火墙的白名单限制。

>《木马的前世今生:上线方式的发展及新型上线方式的实现》 http://www.freebuf.com/articles/terminal/77412.html
其实,Ghost Tunnel也可以理解为一种木马的上线方式,只是它更针对于攻击目标处在隔离网络中的场景。
2.2 什么是Air Grapping
Wikipedia: “An air gap, air wall or air gapping is a network security measure employed on one or more computers to ensure that a secure computer network is physically isolated from unsecured networks, such as the public Internet or an unsecured local area network.”
简单来说,Air Grapping是一种用于保护特定网络,采用物理隔离的安全措施,通常被用来防止利用网络连接途径造成的入侵及信息泄漏事件。

隔离网闸是常见的一种形态,其原理为:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。其经常被使用在涉密网与非涉密网间。
攻击者无论是想利用操作系统、应用软件、通信协议的漏洞,都需要通过网络触碰目标机器,而网络隔离环境中就将这条路给封住了。不过凡事没有绝对,一些大新闻告诉我们利用恶意USB就是一种具有可操作性的攻击方式,以下就是几个针对隔离网攻击的案例。
震网病毒 Stuxnet Worm

著名的震网病毒便利用了USB的方式将病毒传入隔离网络,随后将病毒传播到网络中的其他设备。在适当的时候给工控机器下发错误指令,导致机器异常直至报废。最终震网病毒导致伊朗的核计划被迫延迟至少两年。
水蝮蛇一号 COTTONMOUTH-I

在斯诺登披露的NSA秘密武器中包含了该工具,其内部包含了一套 ARMv7 芯片和无线收发装置。当它插入目标主机后,植入恶意程序并创建一个无线网桥,配套的设备可通过RF信号与其进行交互,传输命令及数据。同样,它被NSA用于攻击伊朗的秘密机构,从物理隔离的设备中窃取数据长达数年。
2.3 HID攻击
HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载