一、引言
在电影中经常会看到一群人经过数分钟可以实现匪夷所思的网络攻击,获取到目标权限,达到攻击目的。在很多人的认知中,电影中的内容是虚幻的,离自己的距离还很遥远,但是在极棒的舞台上,经过一群极客的不断努力,虚幻的内容在现实中得以呈现,告诉人们网络攻击就在身边,不容忽视,实现“网络安全靠人民、网络安全为人民”的宗旨。由极棒在2021年组织的《我是极客》就是这样的一个节目,让大众在惊叹之余,也提高自身的安全意识。
众所周知,大部分智能家居设备(摄像头等)都工作于家庭内网,攻击者需要先进入到内网环境中,进入家庭内网的难度一般都很大。在本次项目中,由绿盟科技格物实验室组织的“就是玩”团队以 “特洛伊插线板”项目展示了进入内网的另一种思路——电力线通讯。
“特洛伊插线板”项目中模拟出了一个较为真实的攻击场景,该场景结合了社工攻击、物理攻击和网络攻击等多种攻击模式。把插线板(或者别的伪装设备)当做礼物送给目标是一种常见的社会工程学攻击;通过“电力猫”进入目标内网,是一种物理攻击;在入侵内网的摄像头并获取隐私信息,这是一种网络攻击。项目力求还原出最真实且贴近生活的攻击场景,借此唤醒大众对安全的重视,提高网络安全意识。
二、攻击场景
攻击场景设计如图所示,内网中使用了基于电力线通讯的“电力猫”进行组网,并在内网布置了一台智能摄像头。我们自制了一个攻击设备,并将其伪装成插线板这一常见家用设备,目的是达到伪装性和潜伏性。
实现了攻击流程如下:
1)通过社工等手段将“特洛伊插线板”送给被攻击的目标(快递等方式)。
2)插线板上电后可通过4G控制插线板远程发起攻击。
3)利用“电力猫”安全缺陷入侵到家庭内网。
4)进入家庭内网后,获取摄像头的控制权。
5)控制摄像头转动指定角度,将视频画面回传出来。
自制的设备(“特洛伊”插线板)是整个攻击流程的核心。为了使得攻击者可以从任意地方发起攻击,自制的设备需要具备4G模块;为了入侵“电力猫”和智能摄像头,自制的设备需要具备电力线模块和网络模块;出于异常恢复考虑,网络连接出现问题时(ping不通远程控制端的VPS),自制设备会自动重启进行网络恢复。最后,需要在保证插线板正常工作的情况下(即每个插孔都能正常使用),把所有的模块组合集成到插线板中。
三、“特洛伊插线板”项目执行历程
设计方案
“特洛伊插线板”的内部接口连接如图所示。
插线板物料选型
起初选用了一款插线板,打算挖去其中的220V转5V模块,用更小的220V转5V代替。
后来发现这个插线板还有Type-C接口,虽然电源接口都可用,,但Type-C(18-20V)功能不可用,有瑕疵,故放弃。后续又选用了某抗电涌防浪涌插座,拆开后把其中的电涌保护模块给挖掉。
经过验证,虽然可用的空间没多少了,但仍然保证了插座功率保持不变和所有插孔可用的情况下集成了所有的攻击模块。
网络模块选型
网络模块需要能够和4G模块、内网通讯模块进行通信,还需要能够执行攻击代码,最重要的是体积足够小和运行稳定,通过调研最终考虑选用VoCore2。VoCore2是“一颗硬币大小”的全功能Linux计算机,可运行OpenWrt系统来作为智能路由器,采用了MT7628的CPU,运行频率为580MHZ,128MB的内存和16MB的FLASH,具备USB、以太网、TF卡、音频播放和录音接口,WI-FI天线集成在电路板上。
针对需求,这个尺寸大小还是有些大,于是我们拆解了VoCore2,仅仅使用了其中一块主板,边长仅为26毫米。
除了考虑硬件尺寸外,还需要考虑编译出适配的OpenWrt操作系统和开启对4G网卡的支持。攻击代码由python3写成,python系统占用的空间较大,VoCore2的FLASH空间仅为16MB,因此还需要增加TF的驱动来支持TF卡。
电力线适配器模块的选型
此处说的电力线适配器是指能从电力线载波的通讯协议中提取出载波内容,转换成网络协议的设备。简单地说,就是实现网络和电力载波相互转换的设备。
这里选择比较多,可以从淘宝购买,甚至可以直接从废弃的“电力猫”中拆解一个,重点在于体积足够小即可。
去除VoCore2中网络变压器
网络变压器用于信号电平耦合和隔离外部的干扰以及实现阻抗匹配,可以增加传输距离,同时使芯片与外部隔离,增强抗干扰能力。下图展示网络变压器的示意图。
下图展示了VoCore2的网络变压器的原理图,采用的是集成在网络插座中的网络变压器。
为了减小体积,根据网络变压器的原理(只要一边有网络变压器就可以)。本制作中的”电力适配器模块“一端已经有一个网络变压器。可以省去一个网络变压器。
故可以直接把电力线适配器的4根网线焊接在VoCore2对应的引脚上,其中“3 6 1 2”是指按照水晶网线的顺序,这样做可以省去了VoCore2自身的网络变压器。
4G远程控制方案
4G网卡的选用要求体积小、稳定,且天线不能太大,支持OpenWrt和USB,最终选择的4G网卡,将红框部分的USB头去掉,直接焊接对应的USB引线到路由器对应的USB引脚。这样,插线板内部又可以节约一块空间。
天线采用IPEX接口的FPC天线,此种天线就像一张薄纸片,可以减小天线占用的空间。
利用QMI拨号方式接入4G网络,控制USB接口的4G上网卡上网。使用部署在VoCore2上frpc和VPS上frps进行内网穿透。
散热问题的解决
由于VoCore2需要5V直流电源进行供电,因此选用了200V交流转5V直流电源。最大供电电流为1A(VoCore2最大电流为500mA,4G网卡最大电流也为500mA,加一起正好是1A)。为了散热考虑,电源模块放于插座尾部。
由于集成在插线板里面的组件过多,需要使用热熔胶固定电路板和绝缘。但经过多次实验发现使用一段时间后,由于高温热熔胶会化掉,从而失去固定和绝缘的作用。验证了多种散热方案后选用了专用的具有散热和绝缘作用的电子产品专用导热硅胶。
用硅胶在VoCore2电路板和4G网卡表明都涂抹了一层后,散热的问题才处理好,经过测试,在长期工作的情况下,插线板最热的地方也仅44度,在可接受范围内。
异常恢复
使用过程中可能会出现4G网络异常的情况,导致无法连接到VoCore2上,于是我们在插线板内部增加了一种针对SSH端的控制失联的策略: 启用并配置Watchcat,如果90秒ping不通VPS,则设备自动重启。在演示过程中,大家看到设备突然失联后可能觉得会影响到最后的演示结果,但是我们很淡定的等待设备重启,就是这种策略起作用了。
四、展望
目前的“特洛伊插线板”可扩展的地方其实非常多,下面举几个例子说明:
· VoCore2自带麦克风和音箱接口,其USB接口还支持多款摄像头,因此可以做到远程监控(录音,偷拍等)。
· 可支持对附近SSID的扫描,当SSID足够多时候,就具备了定位功能。
· 在Vocore2集成各种无线信号模块(例如SDR),进行远程无线信号的收集和控制。
五、总结
智能设备已经融入每个人的生活,成为人类身体器官的延伸,而万物互联的智能生活带来无限便捷的同时,也随时暗藏着各类不同的安全隐患;在享受智能生活的同时绝不能忽视潜在的安全威胁。
极棒舞台把目光聚焦在智能生活安全领域,旨在通过活动吸引顶尖极客发现智能软硬件存在的安全问题,推动设备厂商及时修复存在的问题,从而进一步增强产品的安全性,使得生活更加安全。作为安全研究人员与厂商,绿盟科技有责任推动设备厂商去修复设备中的安全问题,保护用户的隐私,为美好生活保驾护航。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。