前沿拓展：

2018 年 4 月，在荷蘭阿姆斯特丹 Hack In The Box 安全會(huì)議上，我們分享了一個(gè)關(guān)于隔離網(wǎng)攻擊技術(shù)的議題——Ghost Tunnel: Covert Data Exfiltration Channel to Circumvent Air Gapping（適用于隔離網(wǎng)絡(luò)的 Wi-Fi 隱蔽傳輸通道）。

Ghost Tunnel 是一種可適用于隔離環(huán)境下的后門傳輸方式。一旦 payload（攻擊載荷）在目標(biāo)設(shè)備釋放，Ghost Tunnel 可在用戶無感知情況下對(duì)目標(biāo)進(jìn)行控制并將信息回傳到攻擊者的設(shè)備。相比于現(xiàn)有的其他類似研究（如 WHID，一種通過 Wi-Fi 進(jìn)行控制的 HID 設(shè)備），Ghost Tunnel 不創(chuàng)建或依賴于任何有線、**網(wǎng)絡(luò)，甚至不需要外插任何硬件模塊。

繼該會(huì)議上分享后，同年 8 月 Ghost Tunnel 再次入選了 Black Hat USA 2018 Arsenal。

1. 常見的遠(yuǎn)控木馬上線方式

說起遠(yuǎn)控木馬，大家可能會(huì)想到一串耳熟能詳?shù)拿Q，如灰鴿子、冰河、byshell、PCShare、gh0st等。在此，我們以上線方式的不同來對(duì)遠(yuǎn)控木馬進(jìn)行簡單分類，詳見《木**前世今生：上線方式的發(fā)展及新型上線方式的實(shí)現(xiàn)》（網(wǎng)址為 http://www.freebuf.com/articles/terminal/77412.html）。

主動(dòng)連接型。被控端開啟特定端口，主控端通過被控端的 IP 及端口連接到被控端，該類型有3389 遠(yuǎn)程桌面、VNC 遠(yuǎn)程桌面等遠(yuǎn)控方式。反彈連接型。由于主動(dòng)連接方式不適用于許多攻擊目標(biāo)所處的內(nèi)網(wǎng)環(huán)境，因此許多木馬采用反彈連接的方式進(jìn)行上線。與主動(dòng)連接的方式相反，反彈連接是由主控端**特定端口，被控端執(zhí)行木馬后反向連接主控端。由于該方式的適用性更廣，因此大部分木馬都采用這種方式上線，如利用 FTP 上線、DNS 上線等，如圖 2-118 所示。

通過第三方域名型。出于隱蔽性或反**的目的，有些新型木馬采用第三方網(wǎng)站來進(jìn)行上線，例如將知名博客類網(wǎng)站的文章內(nèi)容及評(píng)論區(qū)、QQ 空間、微博、推特的推送內(nèi)容甚至 QQ 個(gè)性簽名作為上線地址，如圖 2-119 所示。利用知名網(wǎng)站的好處是可以繞過某些防火墻的白名單限制。

其實(shí)，Ghost Tunnel 也可以理解為一種木**上線方式，只是它更針對(duì)于隔離網(wǎng)絡(luò)的場(chǎng)景。

2. 什么是隔離網(wǎng)閘

簡單來說，隔離網(wǎng)閘（air gapping）是一種用于保護(hù)特定網(wǎng)絡(luò)的物理隔離安全措施，被用來防止利用網(wǎng)絡(luò)連接實(shí)施入侵行為的發(fā)生。

隔離網(wǎng)閘的常見原理為：① 切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；② 將數(shù)據(jù)包分解或重組為靜態(tài)數(shù)據(jù)；③ 對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；④ 確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元； ⑤ 內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。隔離網(wǎng)閘經(jīng)常被使用在涉密網(wǎng)與非涉密網(wǎng)之間。

攻擊者無論是想利用**作系統(tǒng)、應(yīng)用軟件還是想利用通信協(xié)議的漏洞，都需要通過網(wǎng)絡(luò)觸碰目標(biāo)主機(jī)，因此攻擊者在網(wǎng)絡(luò)隔離的環(huán)境中就很難實(shí)施攻擊了。不過凡事沒有絕對(duì)，利用惡意 U** 就是一種具有可**作性的攻擊方式，如震網(wǎng)**（Stuxnet Worm）、水蝮蛇一號(hào)（COTTONMOUTH-I）就是針對(duì)隔離網(wǎng)攻擊的經(jīng)典案例。

(1) 震網(wǎng)**

著名的震網(wǎng)**利用 U** 將**傳入隔離網(wǎng)絡(luò)。**隨后會(huì)逐漸傳播到網(wǎng)絡(luò)中的其他設(shè)備上，并在適當(dāng)?shù)臅r(shí)候給工控設(shè)備（用于工業(yè)自動(dòng)化控制的設(shè)備）下發(fā)錯(cuò)誤指令，導(dǎo)致設(shè)備異常直至報(bào)廢。據(jù)相關(guān)媒體披露，震網(wǎng)**導(dǎo)致伊朗的核計(jì)劃被迫延遲至少兩年。

(2) 水蝮蛇一號(hào)

在**登披露的 NSA 秘密武器中包含了該工具，水蝮蛇一號(hào)的內(nèi)部包含了一套 ARMv7 芯片和**收發(fā)裝置。當(dāng)它插入目標(biāo)主機(jī)后會(huì)植入惡意程序并創(chuàng)建一個(gè)**網(wǎng)橋，配套的設(shè)備可通過 RF 信號(hào)與其進(jìn)行交互并傳輸命令和數(shù)據(jù)。同樣，它被 NSA 用于攻擊伊朗的秘密機(jī)構(gòu)，從物理隔離的設(shè)備中竊取數(shù)據(jù)長達(dá)數(shù)年。

3. Ghost Tunnel 的應(yīng)用

對(duì)于隔離網(wǎng)絡(luò)的攻擊一般有兩個(gè)步驟：

① 在目標(biāo)系統(tǒng)中植入惡意軟件；

② 建立數(shù)據(jù)通道（infiltrate 和exfiltrate），以便執(zhí)行命令和竊取數(shù)據(jù)。

根據(jù)之前的案例可以知道，任何可承載數(shù)據(jù)的媒介都可以用來建立數(shù)據(jù)通信的通道。Ghost Tunnel便是一個(gè)利用 Wi-Fi 信號(hào)的隱蔽傳輸通道。

以 HID 攻擊為例，可以使用 BashBunny 或 DuckHunter 等 HID 工具（將在 6.1 節(jié)中介紹）將惡意程序植入受害者設(shè)備，隨后惡意程序?qū)⑹褂檬芎φ咴O(shè)備的內(nèi)置**通信模塊與另一臺(tái)由攻擊者控制的設(shè)備建立端到端的 Wi-Fi 傳輸通道。此時(shí)，攻擊者就可以遠(yuǎn)程執(zhí)行命令并竊取數(shù)據(jù)。

值得注意的是，Ghost Tunnel 并不僅局限于使用 HID 攻擊來植入惡意程序，用其他方式植入也是可行的。

Ghost Tunnel 的實(shí)現(xiàn)方式具有以下幾個(gè)優(yōu)勢(shì)。

HID 設(shè)備只用于植入攻擊代碼，當(dāng)植入完成后就可以移除了（HID 攻擊外的其他植入形式也是可以的）。沒有正常的網(wǎng)絡(luò)連接，可以繞過防火墻。不會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)通信及連接狀態(tài)造成影響。跨平臺(tái)支持。該攻擊可用于任何擁有Wi-Fi 模塊的設(shè)備，已在Windows 7、Windows 10、Mac OS X上進(jìn)行測(cè)試?？稍趲资變?nèi)工作，配合信號(hào)橋接設(shè)備后，理論上可做到無限遠(yuǎn)。

(1) 原理

在正常的 Wi-Fi 通信中，一個(gè)站點(diǎn)必須經(jīng)歷 Beacon、Probe、Authentication 及 Association 等過程后才能建立與接入點(diǎn)的連接，其整個(gè)流程如圖 2-120 所示。

Ghost Tunnel 并沒有使用正常的 Wi-Fi 連接，而只用到了其中前三步，如圖 2-121 所示。

為什么用這 3 個(gè)幀呢？在 802.11 的狀態(tài)機(jī)中，取決于認(rèn)證和關(guān)聯(lián)所處的狀態(tài)一共分為 3 個(gè)階段，如圖 2-122 所示。

在階段 1（State 1）時(shí)，客戶端處于 unauthenticated 和 unassociated 狀態(tài)。而該階段可以使用的 802.11 幀有如圖 2-123 列舉的幾種，其中就包括了 Probe Request 幀、Probe Response 幀和 Beacon 幀。

總而言之，Ghost Tunnel 通過 Probe 幀和 Beacon 幀進(jìn)行通信，并不建立完整的 Wi-Fi 連接。第一攻擊者創(chuàng)建一個(gè)具有特殊 SSID 的 AP，攻擊者和受害設(shè)備都使用它作為通信的標(biāo)識(shí)符（而不是常規(guī)Wi-Fi 通信中的 MAC）。此時(shí)，攻擊者通過解析受害者設(shè)備所發(fā)出的 Probe Request 幀得到數(shù)據(jù)，受害者設(shè)備上的惡意程序?qū)⒔馕龉粽甙l(fā)出的 Beacon 幀及 Probe Response 幀來執(zhí)行命令并返回?cái)?shù)據(jù)，如圖 2-124 所示。這便是 Ghost Tunnel Wi-Fi 隱蔽傳輸通道的秘密。

(2) 實(shí)現(xiàn)

前面提到，控制端與被控端采用 Beacon 幀和 Probe Request 幀進(jìn)行通信，通信數(shù)據(jù)嵌入到 Information Elements 的 SSID 或 Vendor Specific 元素中，使用 1 字節(jié)的標(biāo)識(shí)符進(jìn)行數(shù)據(jù)識(shí)別，如圖 2-125 和圖 2-126所示。

在控制端，使用了 Aircrack-ng 項(xiàng)目中的 osdep 模塊，并利用一塊具有“**模式”和“包注入” 功能的**網(wǎng)卡進(jìn)行數(shù)據(jù)收發(fā)。相關(guān)底層原理可參考圖 2-127。

在 Windows 被控端，通過 Windows Native WiFi API 來**作 Windows 設(shè)備的**網(wǎng)卡進(jìn)行數(shù)據(jù)收發(fā)。關(guān)于 Windows 的 802.11 軟件架構(gòu)可參考圖 2-128。

(3) 代碼架構(gòu)設(shè)計(jì)

配合著在 Black Hat 會(huì)議上的分享，我們將 Ghost Tunnel 的服務(wù)端與 Windows 受控端進(jìn)行了開源（地址為 https://github.com/PegasusLab/GhostTunnel），讀者可自行下載、編譯、安裝并搭建實(shí)驗(yàn)環(huán)境，命令行界面如圖 2-129 所示。

控制端和被控端依照數(shù)據(jù)的流向按照模塊化的方式進(jìn)行設(shè)計(jì)，如圖 2-130 所示。

控制端和被控端的代碼文件及目錄說明如下：

控制端

gt_common.h：負(fù)責(zé)數(shù)據(jù)格式等相關(guān)定義。gt_server 類：負(fù)責(zé)初始化及總體功能控制。gt_console 類：負(fù)責(zé)控制臺(tái)的輸入輸出。edit 目錄：hostapd 項(xiàng)目關(guān)于console 的**作功能。packet 目錄：mdk4 項(xiàng)目關(guān)于802.11 數(shù)據(jù)幀組裝部分的功能。libwifi 目錄：Aircrack-ng 中osdep 數(shù)據(jù)收發(fā)功能，以及Ki**et WiFi 網(wǎng)卡控制功能。

Windows 被控端

wtunnel 類：數(shù)據(jù)收發(fā)功能。data_handler 類：數(shù)據(jù)處理功能。

通信數(shù)據(jù)格式如下：

typedef struct _tunnel_data_header
{
unsigned char flag; // 數(shù)據(jù)標(biāo)志
unsigned char data_type; // 數(shù)據(jù)類型
unsigned char seq; // 發(fā)送數(shù)據(jù)包編號(hào)
unsigned char client_id; // 被控端ID
unsigned char server_id; // 控制端ID
unsigned char length; // 數(shù)據(jù)長度
}tunnel_data_header;

基于傳輸效率的考慮，代碼中并沒有對(duì)數(shù)據(jù)進(jìn)行確認(rèn)及校驗(yàn)，只是對(duì)重復(fù)的數(shù)據(jù)進(jìn)行了過濾。數(shù)據(jù)類型定義如下：

#define TUNNEL_CON 0x10 // 建立連接
#define TUNNEL_SHELL 0x20 // shell 功能
#define TUNNEL_FILE 0x30 // 文件下載功能
#define DATA_IN_VENDOR 0x80 // 發(fā)送數(shù)據(jù)不超過32 字節(jié)，只填充SSID

typedef enum _TUNNEL_DATA_TYPE
{
TUNNEL_CON_CLIENT_REQ = 0x11,
TUNNEL_CON_SERVER_RES,
TUNNEL_CON_HEARTBEAT,
TUNNEL_SHELL_INIT = 0x21,
TUNNEL_SHELL_ACP,
TUNNEL_SHELL_DATA,
TUNNEL_SHELL_QUIT,
TUNNEL_FILE_GET = 0x31,
TUNNEL_FILE_INFO,
TUNNEL_FILE_DATA,
TUNNEL_FILE_END,
TUNNEL_FILE_ERROR,
}TUNNEL_DATA_TYPE;

U** 攻擊平臺(tái)——P4wnP1 項(xiàng)目（https://github.com/mame82/P4wnP1）受到了Ghost Tunnel 啟發(fā)，在新版本種加入了類似的利用方式，如圖2-131 所示。

本文節(jié)選自《黑客大揭秘：近源滲透測(cè)試》

本書主要講解了當(dāng)滲透測(cè)試人員靠近或位于目標(biāo)建筑內(nèi)部，如何利用各類**網(wǎng)絡(luò)、物理接口、智能設(shè)備的安全缺陷進(jìn)行近源滲透測(cè)試。書中第一以Wi-Fi舉例，介紹基于**網(wǎng)絡(luò)的安全攻防技術(shù)及實(shí)例測(cè)試，包含對(duì)家庭、企業(yè)級(jí)**環(huán)境的常見滲透測(cè)試方法，**入侵防御解決方案等。

拓展知識(shí)：