雷鋒網(wǎng)編者按：8月16日，第三屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)（CSS 2017）在北京國(guó)家會(huì)議中心召開(kāi)。作為九大分會(huì)場(chǎng)之一的騰訊安全探索論壇（TSec）以“安全新探索”為主題，云集了國(guó)際知名廠商及頂尖高校的資深安全專家，探討全球信息安全領(lǐng)域前沿技術(shù)、研究成果及未來(lái)趨勢(shì)。

騰訊安全玄武實(shí)驗(yàn)室的劉惠明、郭大興帶來(lái)了一種惡意代碼傳播的新路徑——Wombie Attack。據(jù)雷鋒網(wǎng)了解，Wombie Attack 技術(shù)通過(guò)被感染者在地理位置上的移動(dòng)來(lái)實(shí)現(xiàn)攻擊擴(kuò)散，類(lèi)似僵尸題材電影的情節(jié)——被僵尸咬了的人也變成僵尸，會(huì)再去咬其他人，該威脅技術(shù)不但可以實(shí)現(xiàn)傳染式攻擊，而且攻擊過(guò)程不依賴互聯(lián)網(wǎng)，所以甚至無(wú)法從網(wǎng)絡(luò)層面檢測(cè)攻擊。

以下為雷鋒網(wǎng)整理實(shí)錄：

郭大興：我是來(lái)自騰訊玄武實(shí)驗(yàn)室的郭大興，今天和我的同事劉惠明一起演示一個(gè)在極棒上演示的項(xiàng)目。

從 1997 年 802.11 協(xié)議出來(lái)，到現(xiàn)在已經(jīng)接近 20 年。最近我們查了 wifi 聯(lián)盟在 2016 年發(fā)表的聲明，到了 2016 年初，wifi 設(shè)備量已經(jīng)有 120 億?，F(xiàn)在已經(jīng)進(jìn)入到物聯(lián)網(wǎng)時(shí)代，會(huì)有越來(lái)越多的設(shè)備帶有 wifi功能。

在常見(jiàn)的 wifi 場(chǎng)景下，芯片經(jīng)常處于 STA 模式或者 AP 模式。當(dāng)設(shè)備想連接無(wú)線路由器的時(shí)候，會(huì)有主動(dòng)掃描和被動(dòng)掃描兩種方式。在配置無(wú)限路由器的時(shí)候，會(huì)配置一個(gè) ID，它會(huì)定期的對(duì)外進(jìn)行廣播，發(fā)一個(gè)數(shù)據(jù)包，告訴外面無(wú)線設(shè)備它的存在。在接收到數(shù)據(jù)包的時(shí)候，就會(huì)知道它已經(jīng)進(jìn)入到 IP 信號(hào)覆蓋的范圍內(nèi)。另外一種是它會(huì)主動(dòng)發(fā) Probe Request，探索 ID 的存在。

2005 年，針對(duì) wifi 設(shè)備主動(dòng)連接、主動(dòng)掃描 AP 的方式出現(xiàn)了 karma 攻擊，最著名的是 wifi Pinapple攻擊，可以做到對(duì) wifi 基站進(jìn)行欺騙，劫持它的流量，進(jìn)行中間人攻擊。劫持流量之后，會(huì)提供很多插件，對(duì)它后續(xù)的攻擊進(jìn)行分析。

手機(jī)芯片既可以工作于 STA 模式，也可以工作于 AT 模式。你每天用手機(jī)在家里上網(wǎng)，也可以使用公司的無(wú)線網(wǎng)絡(luò)，還會(huì)出現(xiàn)在其他的無(wú)線網(wǎng)絡(luò)環(huán)境里，訪問(wèn)大量的 IP 。karma 攻擊經(jīng)過(guò)這么多年，是不是手機(jī)對(duì)它已經(jīng)免疫了？如果手機(jī)遭受 karma 攻擊，會(huì)給我們帶來(lái)什么樣的影響？

經(jīng)過(guò)分析，我們發(fā)現(xiàn)安卓手機(jī)不會(huì)再對(duì)外發(fā)送 Directed Probe，但是會(huì)主動(dòng)發(fā)送 Broadcast Probe。我們可以采用 XIB 的質(zhì)點(diǎn)，對(duì)它進(jìn)行攻擊。手機(jī)連 wifi 網(wǎng)絡(luò)的時(shí)候，通常是通過(guò)一個(gè)列表，列表上面顯示附近有哪些 IP，點(diǎn)擊進(jìn)行加入。

還有一種方式是通過(guò)手動(dòng)添加網(wǎng)絡(luò)的方式來(lái)添加一個(gè) IP。通常情況下，IP 是可以設(shè)置為隱藏模式的，不會(huì)主動(dòng)對(duì)外廣播自己的存在，需要通過(guò)手動(dòng)添加。但是，2011 年，已經(jīng)有人跟安卓團(tuán)隊(duì)報(bào)告通過(guò)手動(dòng)添加網(wǎng)絡(luò)，手機(jī)依然會(huì)遭受攻擊，發(fā)送 Directed Probe，目前通過(guò)手動(dòng)添加網(wǎng)絡(luò)的攻擊問(wèn)題仍然沒(méi)有修復(fù)。

我們發(fā)現(xiàn)國(guó)外知名的第三方 ROM，即使刷到最新的 7.0 版本的安卓系統(tǒng)，它依然會(huì)發(fā)送 Directed Probe，實(shí)現(xiàn) karma 攻擊。

Wombie Attack 主要就是逆向分析固件，并進(jìn)行更改。

這里介紹一下使用博通芯片的手機(jī)，通常使用 BCM43XX 系列。這個(gè)系列的芯片有一個(gè) ROM 和 RAM，STA 和 AT 兩種模式分別使用了不同的固件，都會(huì)被加到 ROM 當(dāng)中，會(huì)有一段微碼程序?？梢钥吹?PSM 和 PSM UCODE Memory，是用來(lái)存儲(chǔ)微碼程序的。PSM 是程序狀態(tài)機(jī)，會(huì)同 UCODE Memory 里面來(lái)取指令。從空中接到數(shù)據(jù)包之后，UCODE 可以對(duì)數(shù)據(jù)包進(jìn)行解碼。解碼以后，發(fā)現(xiàn)符合接收的數(shù)據(jù)包。把固件當(dāng)中的微碼程序?qū)懭氲?UCODE，提取微碼程序，對(duì)它進(jìn)行反饋編。

因?yàn)槲⒋a程序可以監(jiān)控底層，知道什么時(shí)候接收到數(shù)據(jù)包。接收到數(shù)據(jù)包之后，可以對(duì)頭部做一些簡(jiǎn)單的解碼，判斷出你接收的數(shù)據(jù)包是管理類(lèi)的，還是控制類(lèi)的，還是數(shù)據(jù)類(lèi)型的數(shù)據(jù)包。當(dāng)接收到數(shù)據(jù)類(lèi)型的數(shù)據(jù)包的時(shí)候，會(huì)判斷是不是 Probe request。

如果是廣播的，或者是發(fā)給自己的，后面就會(huì)發(fā) Probe Response。根據(jù) IP 的配置，會(huì)把兩個(gè)數(shù)據(jù)包保存在模板內(nèi)存。微碼會(huì)從模板內(nèi)存加載 Probe Response 到 seralizer 中，PSM 通過(guò)特殊的寄存器修改前面的 64 個(gè)字節(jié)，通常情況下只需要對(duì)目的地址進(jìn)行修改。

但是，它提供的數(shù)據(jù)范圍允許我們?cè)L問(wèn)到其中部分的 SSID，我們可以對(duì)微碼程序做一些 pech，我們修改了前面 4 個(gè)字節(jié)的 SSID，讓它發(fā)送出去。在微碼層做 Probe Response 的欺騙，它的長(zhǎng)度是可以變的，最長(zhǎng)是 32 個(gè)字節(jié)。響應(yīng)模板包已經(jīng)生成好了，配制任何意義長(zhǎng)度的 SSID。當(dāng)你匹配不一樣的長(zhǎng)足，它是有一段缺口的。我們的辦法是不在微碼層處理這個(gè)問(wèn)題，收到數(shù)據(jù)包以后，不進(jìn)行檢查，直接上傳到固件層，只需要對(duì)微碼做一個(gè)簡(jiǎn)單的 pech，紅色的就是收到 Probe request，直接調(diào)用 L623 狀態(tài)，把包上傳到固件層。

我們選擇的是在調(diào)用 19610E 處理管理類(lèi)函數(shù)的地方做了一些 hook，在這個(gè)地方判斷接收到的包是不是 Probe request。手動(dòng)構(gòu)造的時(shí)候，這個(gè)包里面除了包括 SSID 之外，還包括其它的信息。最簡(jiǎn)單的就是調(diào)取函數(shù)，生成模板，我們也可以直接生成模板，只不過(guò)其它的所有信息都生成好了，我們只需要基于檢查接收到的 Probe 的類(lèi)型，對(duì)應(yīng) SI 的部分。我們只需要把接收到的請(qǐng)求里的 SSID 替換掉請(qǐng)求里的 SSID 就可以了。如果是廣播的，可以從預(yù)先準(zhǔn)備的 SSID 字典里挑選一些出來(lái)，給它發(fā)送回去，改一下 mac 地址，就可以實(shí)現(xiàn)對(duì) Probe request 的欺騙。

除了需要對(duì) Probe request 進(jìn)行修改，在后續(xù)的協(xié)議中 Association Request  Handler 用 NOP 指令替換跳轉(zhuǎn)指令。首先會(huì)檢測(cè)是不是 SSID 類(lèi)型，后面會(huì)判斷長(zhǎng)度跟你配置的 SSID 長(zhǎng)度是不是一樣。如果一樣，會(huì)進(jìn)一步判斷包請(qǐng)求當(dāng)中的 SSID 是不是跟它配置的一樣。我們只需要用簡(jiǎn)單的 NOP 指令替換跳轉(zhuǎn)指令。這樣就可以在手機(jī)上實(shí)現(xiàn)類(lèi)似于 karma 的功能。在 6P 里面，Association Request 不一樣了，每一個(gè)協(xié)議里都有一個(gè) Element，這部分的檢驗(yàn)函數(shù)是在一個(gè) ROM 中實(shí)現(xiàn)的。在具體解碼的時(shí)候，會(huì)根據(jù)接收到協(xié)議的類(lèi)型，動(dòng)態(tài)的生成一個(gè)函數(shù)指針的數(shù)組，把這個(gè)數(shù)組傳遞給解析函數(shù)，解析函數(shù)會(huì)根據(jù)參數(shù)判斷 Elements 調(diào)用對(duì)應(yīng)的函數(shù)指針。在函數(shù)調(diào)用之前，可以把 SSID 的檢驗(yàn)函數(shù)替換給我們自己生成的，這樣就可以解決 6P 的部件對(duì)這個(gè)部分的驗(yàn)證。

固件生成用的是 Nexmon，他們想在手機(jī)上實(shí)現(xiàn) monitor 的模式基于 C 語(yǔ)言修改博通的框架。我們?cè)?Nexu5 和 6P 上實(shí)現(xiàn)了部件的修改，實(shí)現(xiàn)了類(lèi)似 karma 攻擊的效果。

接下來(lái)有請(qǐng)劉惠明給大家介紹。

劉惠明：我的同事已經(jīng)完成了在手機(jī)上建立 karma 攻擊源。下面我介紹通過(guò)這個(gè)攻擊源能實(shí)現(xiàn)什么內(nèi)容。

首先我將介紹 Wombie Attack 整體攻擊流程和實(shí)現(xiàn)的典型步驟。首先，攻擊者利用手機(jī)進(jìn)行 karma 攻擊，截取受攻擊的手機(jī)流量。之后，可以通過(guò)受害者手機(jī)的遠(yuǎn)程代碼執(zhí)行漏洞獲取手機(jī)上的遠(yuǎn)程代碼執(zhí)行權(quán)限。之后再利用 root 漏洞獲取 root 權(quán)限，修改手機(jī)上的固件，搭建另一個(gè)受害者手機(jī)上的 karma 攻擊源。這樣受害者就變成新的攻擊源，可以感染另一臺(tái)手機(jī)。

我們?cè)O(shè)計(jì)的 Wombie Attack 的木馬結(jié)構(gòu)，主要分為三個(gè)部分。第一部分是后臺(tái) AP，在手機(jī)上利用 hostapd，后臺(tái)開(kāi)啟 AP 用戶根本沒(méi)有任何感知。第二部分是流量劫持模塊，用 dnsmasq 劫持特定流量，并注入惡意代碼。最后就是最核心的漏洞利用代碼。利用目標(biāo)手機(jī)上的漏洞獲取遠(yuǎn)程代碼執(zhí)行能力，并使用匹配手機(jī) root 進(jìn)行 root，隨后在后臺(tái)靜默執(zhí)行 Wombie 的部署腳本，將受害者的手機(jī)變成新的攻擊源。

這是我們?cè)跇O棒上的演示，最終獲取的是手機(jī) B 上面的照片。攻擊者拿著一部手機(jī)，靠近手機(jī) A。A 和 B都是受 karma 攻擊影響的。手機(jī) A 進(jìn)入攻擊者的 SSID 范圍，攻擊者向手機(jī) A 劫持流量，并利用手機(jī) A上面的漏洞，將其控制。之后，把部署腳本傳到手機(jī) A，手機(jī) A 就變成新的攻擊源，會(huì)散播惡意的 SSID信號(hào)。手機(jī) A 靠近手機(jī) B，在手機(jī) A 的主人沒(méi)有感知的情況下，它會(huì)進(jìn)一步感染手機(jī) B。這時(shí)，我們的演示中是直接把手機(jī)B作為最終的攻擊目標(biāo)，漏洞利用之后，將手機(jī) B 中的照片傳到手機(jī) A 上。手機(jī) A 返回攻擊者附近。此時(shí)，攻擊者可以從手機(jī) A 上拿到手機(jī)B的照片。此時(shí)，手機(jī) A 相當(dāng)于攻擊的擺布人，直接將攻擊傳到世界的各個(gè)角落。

我們要確認(rèn)攻擊時(shí)限的可行性。其中最大的助力來(lái)源于安卓生態(tài)系統(tǒng)碎片化帶來(lái)的隱患。根據(jù) Google 7 月份發(fā)布的最新數(shù)據(jù)，小于等于 4 的版本仍然占 26%，安卓 5 以前的版本占一大半。此時(shí)，上面的漏洞又是什么情況呢？根據(jù)網(wǎng)絡(luò)數(shù)據(jù)顯示，99.8% 的設(shè)備存在遠(yuǎn)程攻擊漏洞。不夸張的講，絕大部分手機(jī)上都是存在攻擊的可能性的。因?yàn)槭謾C(jī)的大量存在和移動(dòng)性，將會(huì)導(dǎo)致大量的手機(jī)受到攻擊的影響。

在探討攻擊的可行性之后，我們將分析攻擊到底會(huì)造成什么樣的影響。不僅是偷照片那么簡(jiǎn)單，它還有兩個(gè)最重要的特性。一是攻擊的隱藏性。根據(jù)之前的介紹，它是一個(gè)完全不依賴互聯(lián)網(wǎng)傳播的可以逃避網(wǎng)絡(luò)上監(jiān)測(cè)和查殺的木馬傳播的新路徑。可以繞過(guò)主流互聯(lián)網(wǎng)的監(jiān)控設(shè)備。二是一個(gè)攻擊的放大器，可以將低危漏洞轉(zhuǎn)為高危漏洞，高危漏洞更加危險(xiǎn)。比如，劫持流量。高危漏洞就是劫持權(quán)限，上正常的網(wǎng)站也會(huì)遭受攻擊。

karma 攻擊依然威脅著信息世界的安全。結(jié)合移動(dòng)智能手機(jī)的碎片化、更新不及時(shí)、移動(dòng)性強(qiáng)等特性，將會(huì)造成更加危險(xiǎn)的狀況。本攻擊模型涉及到系統(tǒng)安全、無(wú)線安全和用戶行為引導(dǎo)多個(gè)領(lǐng)域，需要多方合作，共同解決未來(lái)的威脅。我們在研究中發(fā)現(xiàn)，要解決問(wèn)題，需要用戶層、驅(qū)動(dòng)層多方共同努力。

安全不是絕對(duì)的，如果想更加安全，除了廠商的努力之外，也需要用戶自身的注意。最終是一個(gè)視頻帶著解說(shuō)的演示，作為演示的結(jié)束。也是為了大家更深入的理解演示系統(tǒng)。感謝馬彬、TK教主的幫助。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。