Ghost Tunnel：适用于隔离网络的WiFi隐蔽传输通道

一、前言
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式，可在用户无感知情况下对目标进行控制及信息回传（不创建或依赖于任何有线、无线网络，甚至不需要外插任何硬件模块）。
在4月的HITB阿姆斯特丹站上，我们（PegasusTeam）分享了一个关于隔离网攻击的议题——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备释放后，可在用户无感知情况下对目标进行控制及信息回传。相比于现有的其他类似研究（如WHID，一种通过 Wi-Fi 进行控制的 HID 设备），Ghost Tunnel不创建或依赖于任何有线、无线网络，甚至不需要外插任何硬件模块。
到底有多棒，先把demo放出来镇文。
二、背景
为了便于读者理解Ghost Tunnel的使用场景，在本节中将会介绍“远控木马上线方式”、“网络隔离”、“HID攻击”等相关知识，部分内容引用自其他文章，在小节末将给出原文以便于大家扩展阅读。
2.1 远控木马上线方式
说起远控木马，大家可能会想到一大堆耳熟能详的名称，如灰鸽子、冰河、Byshell、PCshare、Gh0st等等，在此我们以上线方式的角度对远控木马进行一个简单分类。
主动连接型
被控端开启特定端口，主控端通过该主机IP及端口连接到被控端，如3389远程桌面、VNC远程桌面等。
反弹连接型
由于主动连接的方式不适用于攻击目标处在内网的环境，许多木马采用反弹型进行上线。与主动连接的方式相反，由主控端监听特定端口，被控端执行木马后反连回主控端。由于该种方式的适用性更广，大部分的木马都采用该方式上线，如利用FTP上线、DNS域名解析上线等。

通过第三方域名型
出于隐蔽性或者反追踪的目的，有些新型的木马采用第三方网站来进行上线。比如通过知名博客类网站的文章内容及评论区，利用QQ空间、微博、推特的推送内容，甚至笔者还见过利用QQ个性签名来作为上线地址。八仙过海各显神通，利用知名网站的好处是可以绕过某些防火墙的白名单限制。

>《木马的前世今生：上线方式的发展及新型上线方式的实现》 http://www.freebuf.com/articles/terminal/77412.html
其实，Ghost Tunnel也可以理解为一种木马的上线方式，只是它更针对于攻击目标处在隔离网络中的场景。
2.2 什么是Air Grapping
Wikipedia: “An air gap, air wall or air gapping is a network security measure employed on one or more computers to ensure that a secure computer network is physically isolated from unsecured networks, such as the public Internet or an unsecured local area network.”
简单来说，Air Grapping是一种用于保护特定网络，采用物理隔离的安全措施，通常被用来防止利用网络连接途径造成的入侵及信息泄漏事件。

隔离网闸是常见的一种形态，其原理为：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。其经常被使用在涉密网与非涉密网间。
攻击者无论是想利用操作系统、应用软件、通信协议的漏洞，都需要通过网络触碰目标机器，而网络隔离环境中就将这条路给封住了。不过凡事没有绝对，一些大新闻告诉我们利用恶意USB就是一种具有可操作性的攻击方式，以下就是几个针对隔离网攻击的案例。
震网病毒 Stuxnet Worm

著名的震网病毒便利用了USB的方式将病毒传入隔离网络，随后将病毒传播到网络中的其他设备。在适当的时候给工控机器下发错误指令，导致机器异常直至报废。最终震网病毒导致伊朗的核计划被迫延迟至少两年。
水蝮蛇一号 COTTONMOUTH-I

在斯诺登披露的NSA秘密武器中包含了该工具，其内部包含了一套 ARMv7 芯片和无线收发装置。当它插入目标主机后，植入恶意程序并创建一个无线网桥，配套的设备可通过RF信号与其进行交互，传输命令及数据。同样，它被NSA用于攻击伊朗的秘密机构，从物理隔离的设备中窃取数据长达数年。
2.3 HID攻击
HID是Human Interface Device的缩写，由其名称可以了解HID设备是直接与人交互的设备，例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口，只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上，因为只要控制了用户键盘，基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中，当用户将含有攻击向量的鼠标或键盘，插入电脑时，恶意代码会被加载并执行。

[1] [2] [3]  下一页

一、前言
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式，可在用户无感知情况下对目标进行控制及信息回传（不创建或依赖于任何有线、无线网络，甚至不需要外插任何硬件模块）。
在4月的HITB阿姆斯特丹站上，我们（PegasusTeam）分享了一个关于隔离网攻击的议题——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备释放后，可在用户无感知情况下对目标进行控制及信息回传。相比于现有的其他类似研究（如WHID，一种通过 Wi-Fi 进行控制的 HID 设备），Ghost Tunnel不创建或依赖于任何有线、无线网络，甚至不需要外插任何硬件模块。
到底有多棒，先把demo放出来镇文。
二、背景
为了便于读者理解Ghost Tunnel的使用场景，在本节中将会介绍“远控木马上线方式”、“网络隔离”、“HID攻击”等相关知识，部分内容引用自其他文章，在小节末将给出原文以便于大家扩展阅读。 本文来自无奈人生安全网
2.1 远控木马上线方式
说起远控木马，大家可能会想到一大堆耳熟能详的名称，如灰鸽子、冰河、Byshell、PCshare、Gh0st等等，在此我们以上线方式的角度对远控木马进行一个简单分类。
主动连接型
被控端开启特定端口，主控端通过该主机IP及端口连接到被控端，如3389远程桌面、VNC远程桌面等。
反弹连接型
由于主动连接的方式不适用于攻击目标处在内网的环境，许多木马采用反弹型进行上线。与主动连接的方式相反，由主控端监听特定端口，被控端执行木马后反连回主控端。由于该种方式的适用性更广，大部分的木马都采用该方式上线，如利用FTP上线、DNS域名解析上线等。

通过第三方域名型
出于隐蔽性或者反追踪的目的，有些新型的木马采用第三方网站来进行上线。比如通过知名博客类网站的文章内容及评论区，利用QQ空间、微博、推特的推送内容，甚至笔者还见过利用QQ个性签名来作为上线地址。八仙过海各显神通，利用知名网站的好处是可以绕过某些防火墙的白名单限制。
copyright 无奈人生
>《木马的前世今生：上线方式的发展及新型上线方式的实现》 http://www.freebuf.com/articles/terminal/77412.html
其实，Ghost Tunnel也可以理解为一种木马的上线方式，只是它更针对于攻击目标处在隔离网络中的场景。
2.2 什么是Air Grapping
Wikipedia: “An air gap, air wall or air gapping is a network security measure employed on one or more computers to ensure that a secure computer network is physically isolated from unsecured networks, such as the public Internet or an unsecured local area network.”
简单来说，Air Grapping是一种用于保护特定网络，采用物理隔离的安全措施，通常被用来防止利用网络连接途径造成的入侵及信息泄漏事件。

隔离网闸是常见的一种形态，其原理为：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。其经常被使用在涉密网与非涉密网间。

copyright 无奈人生

攻击者无论是想利用操作系统、应用软件、通信协议的漏洞，都需要通过网络触碰目标机器，而网络隔离环境中就将这条路给封住了。不过凡事没有绝对，一些大新闻告诉我们利用恶意USB就是一种具有可操作性的攻击方式，以下就是几个针对隔离网攻击的案例。
震网病毒 Stuxnet Worm

著名的震网病毒便利用了USB的方式将病毒传入隔离网络，随后将病毒传播到网络中的其他设备。在适当的时候给工控机器下发错误指令，导致机器异常直至报废。最终震网病毒导致伊朗的核计划被迫延迟至少两年。
水蝮蛇一号 COTTONMOUTH-I

在斯诺登披露的NSA秘密武器中包含了该工具，其内部包含了一套 ARMv7 芯片和无线收发装置。当它插入目标主机后，植入恶意程序并创建一个无线网桥，配套的设备可通过RF信号与其进行交互，传输命令及数据。同样，它被NSA用于攻击伊朗的秘密机构，从物理隔离的设备中窃取数据长达数年。
2.3 HID攻击
HID是Human Interface Device的缩写，由其名称可以了解HID设备是直接与人交互的设备，例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口，只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上，因为只要控制了用户键盘，基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中，当用户将含有攻击向量的鼠标或键盘，插入电脑时，恶意代码会被加载并执行。
无奈人生安全网

[1] [2] [3]  下一页

。 (责任编辑：admin)