Wombie Attack—恶意代码传播的新路径

本篇文章3769字，读完约9分钟

《雷锋》的编辑。8月16日，第三届中国互联网安全领导人峰会在北京国家会议中心举行。腾讯安全探索论坛(tsec)是9个分会场之一，主题为“新安全探索”(New Security Exploration)，汇集了来自国际著名制造商和顶尖大学的高级安全专家，讨论全球信息安全领域的前沿技术、研究成果和未来趋势。

腾讯安全宣武实验室的刘慧明和郭大兴带来了一种新的恶意代码传播途径——恶意攻击。据雷锋说。(公开号码:雷锋。wombie攻击技术通过感染者的地理移动传播攻击。这类似于僵尸电影的情节——被僵尸咬了的人会变成僵尸，然后再咬别人。这种威胁技术不仅可以实现传染性攻击，而且在攻击过程中不依赖互联网，因此不可能从网络层面检测到攻击。

下面是雷锋的记录。com:

郭大兴:我是腾讯宣武实验室的郭大兴。今天，我将和我的同事刘慧明一起展示一个在大型展览上展示的项目。

自1997年802.11协议以来，已经过去了将近20年。最近，我们查看了2016年wifi联盟发布的声明，到2016年初，wifi设备的数量已经达到120亿。现在已经进入物联网时代，越来越多的设备将具备无线上网功能。

在常见的wifi场景中，芯片通常处于sta模式或ap模式。当设备想要连接到无线路由器时，有两种方式:主动扫描和被动扫描。在配置无线路由器时，将为其配置一个id，该id将定期向外部广播并发送数据包，以告知外部无线设备它的存在。当收到数据包时，将知道它已经进入ip信号覆盖的范围。另一个是它会主动发送一个探测请求来探索id的存在。

2005年，karma攻击以wifi设备主动连接和扫描ap的方式出现，其中最著名的是wifi pinapple攻击，它可以欺骗wifi基站，劫持其流量，进行中间人攻击。劫持流量后，将提供许多插件来分析其后续攻击。

手机芯片可以在sta模式或at模式下工作。你每天在家使用手机上网，也可以使用公司的无线网络。您还将出现在其他无线网络环境中，并访问大量入侵防御系统。经过这么多年的因果报应，手机对它免疫吗？如果手机受到因果报应的攻击，会给我们带来什么影响？

经过分析，我们发现安卓手机将不再发送定向探测，而是会主动发送广播探测。我们可以用锡伯粒子攻击它。当手机连接到wifi网络时，通常是通过一个列表，显示哪些IP在附近，然后点击加入。

另一种方法是通过手动添加网络来添加ip。一般来说，ip可以设置为隐藏模式，它不会主动广播其存在，因此需要手动添加。然而，在2011年，有人向安卓团队报告说，通过手动添加网络，手机仍会受到攻击，并发出了定向探测。目前，人工添加网络的攻击问题还没有得到解决。

我们发现，国外知名的第三方rom即使被刷入最新的安卓系统7.0版，仍然会发出定向探测来实现因果报应攻击。

Wombie攻击主要是反向分析固件并进行修改。

本文介绍了使用Broadcom芯片的手机，通常使用bcm43xx系列。这个系列的芯片有一个只读存储器和一个随机存取存储器。sta和at模式使用不同的固件，这些固件将被添加到rom中，并且将有一个微码程序。您可以看到psm和psm ucode内存用于存储微码程序。Psm是一个程序状态机，它将在ucode内存中获取指令。在收到来自空的数据包后，ucode可以对数据包进行解码。解码后，发现它与接收的数据包相匹配。将固件中的微码程序写入ucode，提取微码程序并反馈。

因为微码程序可以监控底层并知道数据包何时被接收。收到数据包后，您可以对报头进行一些简单的解码，以确定您收到的数据包是管理数据包、控制数据包还是数据类型数据包。当接收到数据类型包时，将判断它是否是探测请求。

如果它被广播或发送给自己，将在稍后发送探测响应。根据ip配置，两个数据包将保存在模板内存中。微码将把探测响应从模板存储器加载到seralizer中，psm通过特殊寄存器修改前64个字节，通常只需要修改目的地址。

然而，它提供的数据范围允许我们访问一些SSIDs。我们可以对微码程序进行一些修改，并修改前4个字节的SSIDs来发送它们。微码层对探测响应的欺骗，其长度可以改变，最长为32字节。已生成响应模板包，并准备了任何有意义长度的ssid。当你匹配不同的长度时，就会有一个间隙。我们的方法不是在微码层处理这个问题。收到数据包后，不经检查直接上传到固件层。我们只需要在微码上做一个简单的pech。红色的是直接调用l623状态并将数据包上传到固件层。

我们选择在调用19610e处理管理类函数的地方做一些钩子，并在这个地方判断收到的包是否是探测请求。当手动构建时，该包包括除ssid之外的其他信息。最简单的事情是调用函数并生成模板。我们也可以直接生成模板，但是所有其他信息都已经生成了。我们只需要检查收到的探头类型，并与si部分相对应。我们只需要用请求中的ssid替换收到的请求中的ssid。如果它是广播的，你可以从准备好的ssid字典中选择一些，发送回来，并改变mac地址，然后你可以欺骗探测请求。

除了修改探测请求之外，关联请求处理程序还用后续协议中的nop指令替换跳转指令。首先，它将检查它是否是ssid类型，然后它将确定长度是否与您配置的ssid长度相同。如果是，它将进一步确定分组请求中的ssid是否与其配置相同。我们只需要用一个简单的nop指令替换跳转指令。这样，类似因果报应的功能可以在手机上实现。在6p中，关联请求是不同的。每个协议都有一个元素，这部分的检查功能在一个rom中实现。解码时，将根据接收到的协议类型动态生成一个函数指针数组，并将该数组传递给解析函数，解析函数将根据参数判断元素调用的相应函数指针。在函数调用之前，我们可以用自己生成的验证函数来代替ssid的验证函数，从而解决6p组件对这部分的验证。

固件由nexmon生成，他们想在手机上实现监听模式，并基于c语言修改Broadcom的框架。我们修改了nexu5和6p上的组件，取得了类似因果报应攻击的效果。

接下来，请欢迎刘慧明给大家介绍。

刘慧明:我的同事已经在手机上完成了因果报应攻击源的建立。现在我将介绍通过这个攻击源可以实现什么。

首先，我将介绍wombie攻击的总体过程和典型步骤。首先，攻击者使用手机进行因果报应攻击，拦截被攻击的手机流量。之后，受害者手机上的远程代码执行权限可以通过手机的远程代码执行漏洞获得。然后利用根漏洞获得根权限，修改手机上的固件，并在受害者的手机上建立另一个因果报应攻击源。这样，受害者就成了新的攻击源，并可能感染另一部手机。

我们设计的wombie攻击木马结构主要分为三个部分。第一部分是背景概述。hostapd用于移动电话，在后台打开ap的用户完全没有知觉。第二部分是流量劫持模块，它用dnsmasq劫持特定的流量并注入恶意代码。最后，核心开发代码。目标手机上的漏洞被用来获取远程代码执行能力，匹配的手机根被用来进行根操作，然后wombie的部署脚本在后台被静默执行，将受害者的手机变成新的攻击源。

这是我们在长城上的演示，最后我们在手机b上看到了照片。袭击者拿着手机，走近手机a..甲和乙都受到了因果报应的影响。手机A进入攻击者的ssid范围，攻击者劫持手机A的流量，并利用手机A上的漏洞对其进行控制。之后，部署脚本被传输到手机A，手机A成为新的攻击源，这将传播恶意的ssid信号。手机a离手机b很近，它会在主人没有察觉的情况下进一步感染手机b。此时，在我们的演示中，我们直接将手机B作为最终的攻击目标。利用该漏洞后，手机B中的照片被传输到手机a。手机a返回到攻击者附近。此时，攻击者可以从手机a获得手机b的照片..在这一点上，手机甲相当于攻击的怜悯，直接将攻击传播到世界的每一个角落。

我们需要确认攻击时限的可行性。最大的帮助来自安卓生态系统碎片化带来的隐患。根据谷歌7月发布的最新数据，小于或等于4的版本仍占26%，安卓5之前的版本占一半以上。在这一点上，上述漏洞是什么？根据网络数据，99.8%的设备存在远程攻击漏洞。毫不夸张地说，大多数手机都有被攻击的可能。由于大量手机的存在和移动性，大量手机会受到攻击。

在讨论了攻击的可行性之后，我们将分析攻击的影响。它不仅像偷照片一样简单，而且有两个最重要的特征。一是隐藏攻击。根据前面的介绍，这是一种新的传播木马的方式，它完全不依赖于互联网，可以避免在互联网上监控和杀害。可以绕过主流互联网的监控设备。其次，攻击放大器可以将低风险漏洞转化为高风险漏洞，而高风险漏洞更危险。例如，劫持交通。高风险漏洞是劫持权限，正常的网站也会受到攻击。

因果报应攻击仍然威胁着信息世界的安全。再加上移动智能手机的碎片化、更新不及时和移动性强，会造成更危险的情况。这种攻击模式涉及系统安全、无线安全和用户行为引导等多个领域，需要多方合作共同解决未来的威胁。在我们的研究中，我们发现要解决这个问题，需要用户层和驱动层的共同努力。

安全不是绝对的。如果你想更安全，除了制造商的努力，你还需要用户自己的关注。最后，这是一个视频演示，演示的最后是解释。这也是为了让每个人对演示系统有更深的理解。感谢马斌和tk大师的帮助。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。