1. 引言

TheWizards APT 團體已成為利用 IPv6 協議弱點危害網路完整性的複雜網路威脅行為者(Threat actor)。他們利用 SLAAC 偽造實現 MITM 攻擊,允許未經授權的網路流量攔截與操縱。本報告綜合 ESET 的研究洞察 [1] ,以評估該團體的方法論、攻擊生命週期與防禦對策。

摘要

本報告探討 TheWizards 團體採用的進階持續性威脅 (APT) 策略,聚焦於他們利用 SLAAC (Stateless Address Autoconfiguration) 偽造來執行中間人 (MITM) 攻擊。透過剖析其攻擊向量的技術架構並分析緩解策略,本研究突顯 IPv6 網路的漏洞並提出增強的安全框架以對抗此類威脅。

IPv6 危機!TheWizards APT 如何用 SLAAC 發動 MITM | 資訊安全新聞

2. SLAAC 偽造的技術架構

2.1 SLAAC 機制概述

SLAAC 是 IPv6 的核心功能,支援無狀態地址設定(Configuration),主機使用路由器廣告 (Router Advertisements, RAs) 產生其 IP 位址。這些 RA 由路由器發送,以通知設備網路參數。然而,RA 訊息缺乏認證機制,造成關鍵漏洞:攻擊者可注入惡意 RA,將流量重新導向至偽造的路由器 [1]

2.2 攻擊流程

TheWizards APT 的攻擊遵循結構化的生命週期:

  1. 偵察 :掃描目標網路以識別活躍主機與路由器。
  2. RA 偽造 :以偽造的 RA 訊息淹沒網路,覆蓋合法路由器訊息。
  3. 流量轉向 :強制受害者設備將流量導向(Route)攻擊者的機器。
  4. 資料操縱 :攔截、修改或竊取敏感資料(例如憑證、Payload)。

圖表 1 展示攻擊的網路拓撲: 

[Legitimate Router] ────┬──── [Victim Host]
                        │
                [Attacker’s Rogue Router]

攻擊者位於受害者與合法路由器之間,作為隱形的代理。

2.3 SLAAC 攻擊的程式碼分析

TheWizards 使用自訂工具如 mitm6 自動化 RA 偽造。以下是展示其方法的簡化 pseudocode 片段: 

  1. from scapy.all import *  
  2. def send_ra_spoof(target_ip, fake_router_mac):  
  3.     # Craft malicious Router Advertisement  
  4.     ra_packet = IPv6(dst=target_ip)/ICMPv6ND_RA()  
  5.     ra_packet[ICMPv6ND_RA].routerlifetime = 1800  
  6.     ra_packet[Ether].src = fake_router_mac  
  7.     send(ra_packet, loop=1, inter=0.1)  
  8. # Example execution  
  9. send_ra_spoof("2001:db8::1", "00:11:22:33:44:55")

此腳本持續廣播偽造的 RA,誘導受害者將攻擊者的機器設為預設路由器 [1]

3. 漏洞與攻擊向量

3.1 IPv6 實作的弱點

  • 缺乏 RA 認證 :IPv6 固有地信任 RA 訊息,易受偽造影響 [1]
  • 預設設定風險 :許多系統優先使用基於 RA 的設定,而非靜態設定,擴大攻擊面。

3.2 TheWizards 的自訂工具

該團體採用模組化惡意軟體框架自動化 MITM 攻擊。他們的 Payload 通常包括:

  • DNS Hijacking Modules :將 DNS 查詢重新導向至攻擊者控制的伺服器。
  • SSL/TLS Stripping Tools :降級加密連線以攔截明文資料。

3.3 持久性與規避

TheWizards 結合 SLAAC 偽造、DNS tunneling 與 Process hollowing 技術,維持持久性並規避偵測 [1]

4. 緩解策略

4.1 網路層防禦

  1. RA Guard :部署具備 RA Guard 功能的交換器,過濾未經授權的 RA 訊息 [1]
  2. 靜態 RA 設定 :在關鍵基礎設施中 Hardcode 路由器廣告。

4.2 協議增強

  • 安全鄰居發現 (Secure Neighbor Discovery, SEND) :實作加密機制(例如 RSA 簽章)以驗證 RA 的真實性 [3]
  • IPv6 監控 :使用工具如 ipv6toolkit 監控 RA 流量的異常。

4.3 端點保護

  • 主機防火牆 :在端點阻擋未經請求的 RA 封包。
  • 行為分析 :偵測異常的 DNS 或 ARP 活動,這些活動可能指向 MITM 攻擊。

5. 結論

TheWizards APT 對 SLAAC 偽造的攻擊突顯 IPv6 部署中的系統性弱點。雖然技術防禦如 RA Guard 和 SEND 提供緩解措施,但主動的網路強化與持續監控仍至關重要。未來研究應聚焦於 AI 驅動的異常偵測,以預先識別偽造的 RA 模式。

參考資料

  1. ESET Research. "TheWizards APT Group: SLAAC Spoofing and Man-in-the-Middle Attacks." WeLiveSecurity ,
  2. Hindawi. "Network Security in IPv6 Environments: Challenges and Solutions." Journal of Computer Networks , 2023
  3. RFC 4861. "Neighbor Discovery for IP version 6 (IPv6)." Internet Engineering Task Force, 2007
Copyright © 2025 版權所有 翊天科技有限公司