搜索
查看: 2155|回复: 0

Ghost Tunnel:适用于隔离网络的WiFi隐蔽传输通道

[复制链接]

134

主题

213

帖子

471

积分

中级会员

中国黑客

Rank: 3Rank: 3

积分
471
QQ
发表于 2018-8-3 08:59:42 | 显示全部楼层 |阅读模式


一、前言
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式,可在用户无感知情况下对目标进行控制及信息回传(不创建或依赖于任何有线、无线网络,甚至不需要外插任何硬件模块)。
在4月的HITB阿姆斯特丹站上,我们(PegasusTeam)分享了一个关于隔离网攻击的议题——”Ghost Tunnel :Covert Data Exfiltration Channel to Circumvent Air Gapping”。
Ghost Tunnel是一种可适用于隔离环境下的后门传输方式。一旦payload在目标设备释放后,可在用户无感知情况下对目标进行控制及信息回传。相比于现有的其他类似研究(如WHID,一种通过 Wi-Fi 进行控制的 HID 设备),Ghost Tunnel不创建或依赖于任何有线、无线网络,甚至不需要外插任何硬件模块。
到底有多棒,先把demo放出来镇文。
二、背景
为了便于读者理解Ghost Tunnel的使用场景,在本节中将会介绍“远控木马上线方式”、“网络隔离”、“HID攻击”等相关知识,部分内容引用自其他文章,在小节末将给出原文以便于大家扩展阅读。
2.1 远控木马上线方式
说起远控木马,大家可能会想到一大堆耳熟能详的名称,如灰鸽子、冰河、Byshell、PCshare、Gh0st等等,在此我们以上线方式的角度对远控木马进行一个简单分类。
主动连接型
被控端开启特定端口,主控端通过该主机IP及端口连接到被控端,如3389远程桌面、VNC远程桌面等。
反弹连接型
由于主动连接的方式不适用于攻击目标处在内网的环境,许多木马采用反弹型进行上线。与主动连接的方式相反,由主控端监听特定端口,被控端执行木马后反连回主控端。由于该种方式的适用性更广,大部分的木马都采用该方式上线,如利用FTP上线、DNS域名解析上线等。


通过第三方域名型
出于隐蔽性或者反追踪的目的,有些新型的木马采用第三方网站来进行上线。比如通过知名博客类网站的文章内容及评论区,利用QQ空间、微博、推特的推送内容,甚至笔者还见过利用QQ个性签名来作为上线地址。八仙过海各显神通,利用知名网站的好处是可以绕过某些防火墙的白名单限制。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
谁有敬业福啊!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

温馨提示
1:发帖请遵守《中华人民共和国网络安全法》,发帖内容不得维护国家的、集体的、个人的利益。
2:请勿发布恶意攻击他人的技术文章、工具、和使用教程,发现后删帖处理。
3:本站的目的在于让更多的人了解网络安全,避免受到他人的恶意攻击。
4:本站中的部分文章,可能会出现一些“技术类手段”,但这仅仅为学习演示所用,而非恶意传播技术。
5:本站中的部分文章,可能转载自互联网。如有侵权行为,联系我们删除即可。
6:学习仅是充实头脑,切勿恶意攻击个人、企业等。所造成的法律后果一切由自己承担,本站及其站长概不负责。
我知道了
快速回复 返回顶部 返回列表