Ghost Tunnel：适用于隔离网络的WiFi隐蔽传输通道

priess1314

一、前言
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式，可在用户无感知情况下对目标进行控制及信息回传（不创建或依赖于任何有线、无线网络，甚至不需要外插任何硬件模块）。
在4月的HITB阿姆斯特丹站上，我们（PegasusTeam）分享了一个关于隔离网攻击的议题——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备释放后，可在用户无感知情况下对目标进行控制及信息回传。相比于现有的其他类似研究（如WHID，一种通过 Wi-Fi 进行控制的 HID 设备），Ghost Tunnel不创建或依赖于任何有线、无线网络，甚至不需要外插任何硬件模块。
到底有多棒，先把demo放出来镇文。
二、背景
为了便于读者理解Ghost Tunnel的使用场景，在本节中将会介绍“远控木马上线方式”、“网络隔离”、“HID攻击”等相关知识，部分内容引用自其他文章，在小节末将给出原文以便于大家扩展阅读。
2.1 远控木马上线方式
说起远控木马，大家可能会想到一大堆耳熟能详的名称，如灰鸽子、冰河、Byshell、PCshare、Gh0st等等，在此我们以上线方式的角度对远控木马进行一个简单分类。
主动连接型
被控端开启特定端口，主控端通过该主机IP及端口连接到被控端，如3389远程桌面、VNC远程桌面等。
反弹连接型
由于主动连接的方式不适用于攻击目标处在内网的环境，许多木马采用反弹型进行上线。与主动连接的方式相反，由主控端监听特定端口，被控端执行木马后反连回主控端。由于该种方式的适用性更广，大部分的木马都采用该方式上线，如利用FTP上线、DNS域名解析上线等。


通过第三方域名型
出于隐蔽性或者反追踪的目的，有些新型的木马采用第三方网站来进行上线。比如通过知名博客类网站的文章内容及评论区，利用QQ空间、微博、推特的推送内容，甚至笔者还见过利用QQ个性签名来作为上线地址。八仙过海各显神通，利用知名网站的好处是可以绕过某些防火墙的白名单限制。