近年来,网络攻击事件频发,许多公共系统都会选择用物理隔离(Air-Gapping)的手段来使自己的计算机免受来自外界的病毒或者通过网络数据渗透主机等外部攻击。
Air-Gapping是一种用于保护特定网络,采用物理隔离的安全措施,通常被用来防止通过网络连接途径造成的入侵事件及信息泄漏事件。
网络隔离被认为是非常安全的一种措施,对其的攻击是非常困难的。攻击者无论是想利用操作系统、应用软件还是通信协议上的漏洞,都需要通过网络。然而凡事没有绝对,一些大新闻告诉我们利用恶意USB就是一种具有可操作性的攻击方式。
即使使用这种物理隔离的方式,随着近年来HID和WHID设备的增多,大多会通过badusb、BashBunny、DuckHunter等模拟键盘设备来攻击他人设备。此时,另外一种新型的攻击思路也被搬上了屏幕。
那么Ghost Tunnel了解一下。
关于Ghost Tunnel
Ghost Tunnel简单来说是利用Wifi建立的隐蔽通道。传统的攻击方式都是通过网络或者物理接触来传输数据以达到控制他人设备的目的。是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备释放后,可在用户无感知情况下对目标进行控制及信息回传。相比于现有的其他类似研究(如WHID,一种通过Wi-Fi 进行控制的 HID 设备),Ghost Tunnel不创建或依赖于任何有线、无线网络,甚至不需要外插任何硬件模块。
相关研究
在2018年的荷兰黑帽大会上360天马团队展示了他们的研究。
传统的Wifi建立连接总共分为7步:
但是Ghost Tunnel指的是wifi建立连接前三步,处于探针的握手阶段。
但是设备与AP之间并没有进入之后的秘钥认证阶段,所以在普通人看来并没有连上他人的热点。
可是研究发现,在probe request帧和probe response帧中,存在这自定义的字段并且可以对其帧的数据结构部分进行修改,于是尝试利用request和response帧植入命令来交互。
『以视频中HID攻击为例』
我们使用BashBunny或者DuckHunter等HID工具将恶意程序植入受害者设备,比如一台Windows笔记本。随后恶意程序将使用受害者设备的内置无线通信模块与另一台由攻击者控制的设备建立端到端的WiFi传输通道。此时,攻击者就可以远程执行命令并窃取数据。
值得注意的是,Ghost Tunnel指的是通过利用受害者设备自身的无线模块来建立传输通道的一种方式,其并不仅局限于使用HID攻击来植入恶意程序,实际上以其他方式植入也是可行的。
Ghost Tunnel的优势
Ghost Tunnel的实现方式具有这几个优势:
❖ HID设备只用于植入攻击代码,当植入完成就可以移除了。(HID攻击外的其他植入形式也是可以的)
❖ 没有正常的网络连接,可以绕过防火墙。
❖ 不会对现有的网络通信及连接状态造成影响。
❖ 跨平台支持。该攻击可用于任何拥有WiFi模块的设备,我们在Win7、Win10、Mac OSX上进行了测试。
❖ 可在几十米内工作,配合信号桥接设备理论上可做到无限远。
总而言之,Ghost Tunnel通过Probe Request,Probe Response,Beacon三种类型帧来进行通信,并不建立完整的WiFi连接。
首先攻击者创建一个具有特殊SSID的AP,攻击者和受害者设备都使用它作为通信的标识符(而不是常规WiFi通信中的MAC)。此时,攻击者通过解析受害者设备发出的Probe Request帧提取到数据;受害者设备上的恶意程序将解析攻击者发出的Beacon及Probe Response帧来执行命令并返回数据。这便是Ghost Tunnel WiFi隐蔽传输通道的秘密。
我们的一些发现
在听取了360报告后,我们团队的安全研究工程师也对该技术进行了深度的研究。由于360团队尚未公开代码,所以我们对其复现并在Github上公开了我们的代码。目前,代码版本在windows平台和mac平台都处于演示阶段,主要问题是beancon帧和response帧在空气中的残留导致命令重复执行,接下来我们会对windows下的受控端进行优化和改进、希望能够建立长连接控制,并且一直开源该项目,对Ghost Tunnel的用途进行拓展和更深一步的研究。如果觉得该研究还不错的话,欢迎点下star哦。