# Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments - Joey Chen {%hackmd @HITCON/r1z4zylVv %} > 從這開始 > ### 本次介紹案例 主要攻擊對象 : 菲律賓軍方單位 長期性、多階段性的行動，訓練非常精良 使用可移除是裝置進行攻擊 Pirate Panda 駭客組織，主要攻擊的對象為亞洲軍方、政府單位相關情資 (菲律賓、台灣... etc) 一開始先攻擊國家相關銀行，探測是否與政府相關單位有所連接， 攻擊軍事相關醫院 (通常可能資安意識比較弱)，進一步滲透至軍方。 Decoy.exe 裡面包含兩隻程式，一隻是與 C&C 伺服器溝通，另一支則是檢測是否有外接 USB 裝置，若有則複製一份病毒至該USB。 ### 介紹實體隔離網路 完全沒有對外連線的內部網路 一定有一個機制是由外網傳至內網，如指紋USB，或是中繼隔離的機器(掃毒檢疫機)，然後才能進已隔離網路內。 或是有其他的機制或環境，一定會有破口： USB ferry (擺渡攻擊) 由對岸開始的開始的攻擊手法。 有多隻程式負責不同的功能，而且不斷更新。 PH 下載器 UF COPY檔案 TROJ_YAHOYAH => 炮灰之王(Anorher variant of PaoHuiking) 基本上來說就是下載器。 Tropic Trooper USBferry PDB strings PDB Strings 針對相關的內容去複製出來，很容易被偵測，所以多了很多的版本 UsbFerry v2、v3… Attack Chain 釣魚信寄給軍醫 >> USB 插進檢疫機 >> 然後再進隔離的網路 >> 然後走另一條路或原 USB，想辦法把機敏資訊偷出來。 程式一直不斷地在更新 PH5.0 ~ 2014 => 都是從釣魚文件進來，而且由於目標是軍醫，所以釣魚文件很偏向軍方相關的文件，製作的很精美。 USBFerry ver-20131217 scenario >> 蠕蟲感染 > 影印店中毒 解說&SOP：https://www.dcard.tw/f/funny/p/224156908 Monitor Installer Downloader Enc Config Cmd SOP沒有被落實，未於檢疫機掃毒就進入實體隔離網路 惡意程式被豬隊友陷害，被其他BOTNET程式感染，導致被防毒軟體偵測。 擺渡除了USB以外，其他可移除裝置亦可 傳輸方式不只有 USB 一種，還有使用 CD-ROM 與 3.5 吋磁片，惡意程式都可以透過這些媒介攻擊。 SOP規定要FORMAT裝置，為了偷懶有製作常用檔案夾(recovery folder)，但該資料夾也被放置惡意程式。 惡意程式行為 特別去 Ping 一些網址，確認自己是否在實體隔離網路內 COPY C槽底下所有的DOC檔案 機器資訊打包(C槽、D槽、電腦名稱…) 從其他台電腦網路存取惡意程式直接安裝 檢查檔案是否有新版本，並且打包回去 ### 後門 Steganography 方法，惡意程式會被 Inject 到 Svchost。 IDShell 將 result 加密於圖片內回傳 後門工具 Remote control listener redurect IP tool .shell listener 確認上傳圖片 及執行，變成DLL，然後 INJECT 到正常程式中，然後把執行的正常程式砍掉 有用到相關公開工具：wineggdrop 結論： 實體隔離也是有百密一疏，你進入的路就是駭客的路 有機會可以回傳，也能下載(如回傳圖片) 可能感受到駭客開發很多模組及目標環境進行不同的策略(APT無誤) ###### tags: `HITCON2020`,`HITCON`