成功的解决了一单APT入侵

Short Story: 朋友发现这几个月有个黑客可以在他微信不掉线的情况下监听他的对谈记录、伪装成他和他的好友说话、用他的微博账号发微博,连换设备、改密码都没有用。在黑客不断骚扰之下,生活正常秩序完全被打乱。这是一个很典型的APT案例,最后经过调查发现问题的根源在于路由器存在的漏洞。遇到相似问题的朋友可以检查一下自家的路由器是不是有问题,或者换个路由器试试。

0X00 Story
朋友在国外,遇上了很奇怪的事情。他发现有人可以在不登出他本人微信的前提下随意上他微信,别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。
窃听的人很没水准,对他和他的朋友进行了人身威胁
保险起见他换掉了所有的电子设备,包括手机、mac,在系统干净的情况下,微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听。
这种窃听听起来没什么,但是真的发生起来就会很恐怖,比如有这样一个场景:
A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假的A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的
除了微信以外,已知范围内,明显可以被窃听的软件有:微博、人人、whatsapp、viber
对方除了可以监听所有微信、Viber对谈记录以外,还可以进行对话劫持,即伪装成谈话对象与事主进行交谈,严重影响事主日常生活。

0X01 Analyse
猜测a. 事主起初猜测是设备中了病毒或者手机被植入相关后门,于是进行设备更换并注册全新微信账号,但是发现根本不起效果,窃听依旧
猜测b. 事主或其他当事人有精神类疾病。经过医学检查排除了这种可能性。
猜测c. 路由器被入侵或被DNS spoofing,@Lyric亦指出这一事件有高度可能与TCP劫持有关

0X02 Testing
在检查了所有电子设备以后,所有疑点最后集中到了国外某ISP提供的路由器身上。根据之前爆出的漏洞显示,该型号路由器存在公开已知的后门。使用该后门第三方可以获得路由的ROOT权限。PO主本来希望可以通过抓包等手段获取证据,但是苦于无法远程进行操作只能暂时作罢。但是根据该线索,事主与黑客进行了“友好交谈”,最终对方承认APT的持续性源头为入侵路由器进行劫持。假想获得证实,换了路由器以后case solve。

0X03 Lesson
这件事的教训是,现在已经有黑客开始利用起路由器中已知的后门进行有效的攻击,而且这种攻击多数情况下不易被察觉。在这样一种情况下,我建议大家:
1> 不要用网上已经爆出有漏洞的路由器型号
2> 现在黑客关于路由器的攻击手段已经远不局限于CSRF改DNS的攻击手段,如果你看到路由器中的DNS没有被修改,那并不代表你的路由器没有被入侵。
3> 尽可能刷成熟的开源ROM,如DD-WRT,OpenWRT。
4> 品牌上,选择没有预留后门前科的路由器。预留后门/漏洞相关信息这里有一个很好的站点可以快速查看:http://www.routerpwn.com/

One thought on “成功的解决了一单APT入侵”

  1. 您好 由於正在做这方面的研究
    对您的 blog 十分有兴趣
    方便提供较详细的资料吗?

    如:
    漏洞路由型号
    详细攻击方式及exploit(ARP spoofing? DNS spoofing?)
    路由是否有公网IP或是被害人是被寄信APT?

    如不方便公开
    可否於信件中详谈呢 感谢
    trendholan[]gmail.com

Leave a Reply

Your email address will not be published. Required fields are marked *