是时候该抛弃GSM网络了-新型伪基站诈骗法的防范

近日 江宁公安在线 在微博上发布了一条引发激烈舆论的微博( https://weibo.com/1113218211/GsVOZ1hwZ ),文中描述了一种新型的伪基站诈骗法,能够嗅探用户的短信内容。其中写到“此类劫持和嗅探并不仅限于 GSM 手机,包括 LTE,CDMA 类的 4G 手机也可能会受到相应威胁。”以及“一个坏消息是,此技术目前基本上没有办法防范。”

攻击原理:
首先我们得需要了解,在中国大陆境内主要的电信运营商有3家,分别是中国电信,中国联通,中国移动。其中中国电信的2G网络制式为CDMA,其余两家的2G网络制式都为GSM,本文讨论的攻击方式仅针对GSM,所以中国电信的用户可以忽略本文。
GSM网络比较古老,采用了单向鉴权的用户认证方式以及弱加密方式(甚至于无加密)存在比较大的安全问题。在网络上随手一搜即可搜到很多关于GSM嗅探的文章,并且攻击成本十分的低廉。
具体的内容大家有兴趣可以自行搜索,这里我只讲一个大概。
当用户手机以GSM网络连接到信号基站的时候,如果有短信需要发送给基站上的某个用户,基站会把短信以广播的方式通知在使用此基站的所有终端,也就是说如果有任意攻击者连接到基站,就可以收到所有通过此基站传送的短信。
虽然现代手机大多数都会默认使用3G或者4G网络进行通信,但是在遇到信号不好或者其他情况的时候往往手机会为了保障通信自动降级为GSM网络进行通信,所以就产生了很严重的安全问题。

解决方案:
针对部分Android手机用户可以在操作系统中选择拒绝使用GSM网络来预防攻击。
以LineageOS为例,联通用户可以在移动网络设置中选择仅使用WCDMA和LTE网络。
移动用户可以在移动网络设置中选择仅使用TD-SCDMA和LTE网络。

注:部分手机的操作系统可能不提供SIM卡的移动网络设置功能。可以尝试在拨号界面输入*#*#4636#*#会弹出手机测试的界面,找到手机信息菜单,设置首选网络类型(移动用户可以选TD-SCDMA/LTE,联通用户可以选LTE/WCDMA)这样即可屏蔽GSM网络。

Linux下的SSH攻击-国人的狂欢

近期开发了一个SSH蜜罐,用自己的机器跑了一下,抓到一些攻击数据,抛砖引玉,简单的做一些分析与总结。
我们先看到SSH蜜罐记录的log

具体时间部分我涂抹掉了。
从log我们不难看出攻击者使用了弱密码(用户名root密码66666666)登陆到SSH蜜罐中,使用wget下载hxxp://173.254.236.8:54088/scpshell这个脚本文件试图并运行。由于SSH蜜罐配置时使用了iptables阻止向外访问80和443以外的任何端口,故本次下载实际上并未成功。不过log在这里我手动访问了一下页面,如下图所示。

我们看到攻击蜜罐的攻击者的IP是125.77.197.82,百度结果显示IP地址归属地是福建省厦门市电信,攻击者使用的服务器IP是173.254.236.8,IP地址的归属地是美国。这个服务器是一个Windows服务器,因为HFS是Windows下一个简易的HTTP Server。很遗憾的是攻击者并未有足够的安全意识,没有对HFS进行基本的安全配置,固我们可以看到HFS上存放的文件。我们直接打包进行下载。
从scpshell这个脚本文件我们可以看到,脚本试图下载hxxp://173.254.236.8:54088/hydra这个可执行文件,我下载下来上传到VirusTotal上。VirusTotal的检测结果如下所示。
https://www.virustotal.com/en/file/81618745980ab5fe84cc62b18081b17e481ad9fc4a6ab1926594ca468de1f0ba/analysis/
初步判断是个后门文件,并且具备DDOS的功能。由于条件有限未能展开分析这个ELF文件,不过由于攻击者服务器上存在2个Windows下的可执行文件,我选了一个做了大致的分析。
这里我选择了xc.exe,VirusTotal的检测结果如下所示。
https://www.virustotal.com/en/file/d51313e59f6ca4269ecb4b429bcab23a0c86a61a83bca6384e7fce7b6d3313be/analysis/
xc.exe是一个典型的后门,部分安全厂商将此类命名为Zegost。
尝试分析后大致有如下动作
复制自身到Windows目录

注册自身成为Windows服务

收集本机信息与C&C服务器(8888.xsddos.com)进行通信

创建并使用VBS脚本删除安装文件

通过chinaz.com的whois查询,我们看到chinaz.com的历史数据显示注册人为7379797.CC如下图所示。

7379797.CC这个域名的注册商是商务中国,通过查询商务中国的whois,我们可以看到持有人信息。

从域名信息上看,域名使用了DNSPOD作为DNS服务,注册域名的持有人使用了商务中国的服务,这两方面的信息基本说明了攻击者是个国人。当然由于chinaz.com的whois数据也有产生过错误的例子,还不能完全断定,最新的whois数据显示如下

持有人更改了域名的注册信息成了代理,不知道是不是没考虑到chinaz.com查询过的域名存在缓存所以疏忽了,不过基本上还是可以确定是国人干的。

我们在看到掌握的第二个log

从LOG中我们可以看到攻击者试图停止iptables并下载运行hxxp://111.73.45.188:9876/834 这个文件。
查询IP归属地显示,服务器111.73.45.188归属地为江西省上饶市电信。
同样的我们访问服务器地址,同样也是HFS服务器,并且没有做任何安全配置。与之前不同的是,这服务器直接赤裸裸的写着汉化版,看到熟悉的中文界面,不禁内牛满面,还是国人。

除此以外,服务器上还有一个1.txt,其中标记着一个IP地址219.151.63.211,不知道与攻击者有什么样的关联呢?
VirusTotal的扫描结果如下
https://www.virustotal.com/en/file/e3d8514f01b6a019829ffbe7b4dfe991b8b8d9ebd1f0fa658f4ef0880ade99c7/analysis/
由于很明显,我就没有分析,因为从VT的结果上看,还是一个发动DDOS的样本。

还有其他类似的数据我就不一一列出了,从目前SSH蜜罐截获的数据来看几乎所有的入侵事件都和国人或多或少的有所联系,也不知道是蜜罐的地域原因还是真的发起SSH攻击的大多数都是国人。不过可以确定,国人的安全之路任重而道远。