Компания
377,40
рейтинг
3 марта 2015 в 15:52

Разработка → Как взламывают корпоративный Wi-Fi: новые возможности

Статей о взломе Wi-Fi в Интернете достаточно много, но большинство из них касаются режима работы WEP/WPA(2)-Personal, в котором необходимо перехватить процедуру «рукопожатия» клиента и Wi-Fi-точки. Во многих корпоративных Wi-Fi-сетях используется режим безопасности WPA2-Enterprise, с аутентификацией по логину и паролю — как наименее затратный способ. При этом аутентификация осуществляется с помощью RADIUS-сервера.

image

ОС клиента устанавливает соединение с RADIUS-сервером, используя шифрование при помощи TLS, а проверка подлинности в основном происходит при помощи протокола MS-CHAPv2.

Для тестирования на проникновение в такой сети мы можем создать поддельную Wi-Fi-точку с RADIUS-сервером — и получить логин, запрос и ответ, которые использует MS-CHAPv2. Этого достаточно для дальнейшего брутфорса пароля.

Нам необходимы Kali Linux и карточка, поддерживающая работу в режиме Access Point, что можно проверить при помощи команды iw list, нас интересует строка:

* #{ AP, mesh point } <= 8,

Еще год назад нужно было проделать множество манипуляций для того, чтобы подделать такую точку доступа с возможностью получения учетных данных. Необходимо было пропатчить, собрать и правильно настроить определенные версии hostapd и FreeRADIUS. В августе 2014 года появился набор инструментов Mana Toolkit, позволяющий автоматизировать множество векторов атак на беспроводные клиенты.

Поскольку использовать ноутбук не всегда удобно, будем использовать более компактный вариант — телефон. Кроме того, можно использовать Raspberry Pi + FruityWifi. WiFi Pineapple, к сожалению, не поддерживает Mana.

image

Запускаем Kali

image

Подключаем Wi-Fi-карточку через USB-OTG-кабель. Запускаем приложение NetHunter.

image

Первое, что необходимо сделать, — определить интерфейс подключенной Wi-Fi-карточки. Для этого в меню выбираем Kali Launcher и запускаем Wifite.

image

В нашем случае это интерфейс wlan1.

В меню выбираем MANA Evil Access Point.

image

Настраиваем точку:

  • интерфейс, определенный на предыдущем шаге (interface),
  • SSID взламываемой Wi-Fi-сети (ssid)
  • использование протокола аутентификации 802.1x(ieee8021x=1),
  • опции wpa(wpa) (0 = без WPA/WPA2; 1 = WPA; 2 = IEEE 802.11i/RSN (WPA2); 3 = WPA и WPA2),
  • список принимаемых алгоритмов управления ключами (wpa_key_mgmt=WPA-EAP),
  • набор принимаемых алгоритмов шифрования (wpa_pairwise),

Отключаем karma (enable_karma=0), указываем буфер, в который будут направляться полученные логины и хеши (ennode).

image

В нашем распоряжении комплект из пяти скриптов, которые запускают, помимо точки доступа, дополнительные утилиты для осуществления MITM-атак. Нас интересует скрипт mana-noupstream-eap, который предназначен для точек с аутентификацией 802.1x.

image

По умолчанию скрипт пытается «сбрутить» полученный хеш, подключить клиент и провести MITM-атаку. Поскольку взлом хешей на телефоне — не самая лучшая идея, комментируем ненужные строки, добавляем команду, которая будет записывать перехваченные данные в файл на флешке, — и запускаем Mana.

image

Как только Wi-Fi-клиент окажется достаточно близко к нашей точке доступа, он попробует аутентифицироваться на ней. Хорошее место для засады — у входа в офис или бизнес-центр, время — начало или конец рабочего дня, когда потенциальные жертвы минуют проходную.

Останавливаем Mana и проверяем, что же мы поймали.

image

Формат полученных данных: Protocol | Login | Challenge | Response

Теперь можно в спокойной обстановке на нормальном компьютере взламывать полученные хеши.

В этом нам помогут:

— Asleap (используется в оригинальном скрипте),
— John the Ripper (требуется слегка модифицировать полученные хеши: cat HASHES.txt | sed 's/://g' | sed 's/\([^|]*\)|\([^|]*\)|\([^|]*\)|\([^|]*\)/\2:$NETNTLM$\3$\4/' > john-HASHES.txt)

Полученные учетные записи можно использовать для дальнейшего проникновения в корпоративную сеть через Wi-Fi или VPN, а также для получения доступа к корпоративной почте.

Как оказалось, перехватить хеши пользователей можно не всегда. Настольные ОС (Windows, MacOS, Linux), а также пользователи iOS защищены лучше всего. При первичном подключении ОС спрашивает, доверяете ли вы сертификату, который используется RADIUS-сервером в данной Wi-Fi-сети. При подмене легитимной точки доступа ОС спросит про доверие к новому сертификату, который использует RADIUS-сервер. Это произойдет даже при использовании сертификата, выданного доверенным центром сертификации (Thawte, Verisign).

image

При использовании устройств на базе Android сертификат по умолчанию не проверяется, но существует возможность указать корневой сертификат, который может использоваться в данной Wi-Fi-сети.

image

Устройства на основе Windows Phone по умолчанию проверяют сертификат. Также доступны опции проверки сертификата сервера:

  • нет;
  • всегда спрашивать;
  • центр сертификации.

image

Резюмируя все сказанное, эксперты Positive Technologies рекомендуют следующие меры безопасности:

  • пользователям — проверять сертификаты при подключении не только к интернет-банку, но и к корпоративному Wi-Fi;
  • пользователям Android — установить корневой сертификат, который используется в корпоративной сети;
  • администраторам — перейти на использование аутентификации на основе сертификатов (или не удивляться, если перед входом в офис периодически будут появляться люди с телефоном и антенной).

image

Автор: Дмитрий Трифонов, исследовательский центр Positive Technologies
Автор: @ptsecurity
Positive Technologies
рейтинг 377,40

Комментарии (29)

  • 0
    Что за USB карта подключена к Nexus'у?
    • +1
      Вот эта
      • 0
        я так понимаю, там как минимум цианоген?
        • +1
          Нет, ​Kali Linux NetHunter​ устанавливался на рутованный сток (4.4.4)
  • –10
    Эмм. А ценность то данного метода в чем? Ну да… можно создать точку доступа со схожими параметрами. Ну да… проникнуть в сеть… ой… упс… так ведь вафля в норм фирмах ведет только в инет и не пересекается с рабочей сетью. Вероятность того что в сети уже зарегин данный логин… или данный логин ведет не типичную сетевую активность в данный промежуток времени… повышает вероятность наказания ваших почек. Даже если вы проникли в сеть… упс… а корпоративные ресурсы доступны только через впн или так же как смотрят в интернет (то есть с массой всяких хахаряш по безопасности). Причем тут есть проблемка. Логин может изволить меняться раз в сутки по определенному ключу известному пользователю или содержать двухфакторную аутентификацию. Плюс в корпоративных сетях стоит оборудование для мониторинга других сетей с очень подробным логированием где и как появилась новая вафля. Сплошные минусы для ваших почек. Вы так не думаете? =)
    • +3
      Вы описываете сферическую образцовую СБ в вакууме. Наверное, в банковском секторе работаете?
    • +4
      Почему «вафля в норм фирмах ведет только в инет и не пересекается с рабочей сеть»? Кто вам такое сказал?
      • 0
        Потому что секретарше, или продакт лиду, или еще кому-то не нужно иметь сетевой доступ к коробке, скажем, с базой данных. Всегда так, если же наоборот, то это косяк. Всегда соединяются по VPN.
        • +1
          802.1X с разбросом по VLAN, не?
          • 0
            Возможно. А что если коробки на самом деле виртуальные машины в облаке?
            • 0
              В облаках тоже используется сегментация и файрволы позволяют гранулярно настраивать доступ, а к VDI подключаются через брокер, которому нужен только HTTPS.
    • 0
      Хотите сказать что коммерческий директор на своем ноутбуке для получения интернета цепляется к одной сети а потом для получения доступа к внутренним ресурсам подключается к другой или поднимает ВПН? Скорее всего из внутренней сети доступен интернет и внутренние ресурсы (шара, сервера 1С и прочие необходимые вещи). Вектор защиты обычно настраивается на отлов атак извне (из интернета в внутреннюю сеть). Я имею в виду большинство организаций а не редкие секретные или банковские организации.
  • 0
    Устройства на основе Windows Phone вообще не проверяют сертификат.

    Это не правда. При подключении к сети есть опция проверки сертификата сервера:
    — нет
    — всегда спрашивать
    — центр сертификации
    Как раз вчера настраивал WPA2 Enterprise и дома, и на работе.
    • +1
      В связи с вышесказанным, пользователи Windows Phone (при правильной настройке подключения) защищены так же хорошо как и все остальные. Как вы сами сказали, при наличии проверки сертификата сервера, ваш метод атаки не даст результата.

      А если сертификат не проверяется, то сами себе злобные буратины. Таких не жалко.
    • +1
      Вы правы, вкралась небольшая неточность, обновили топик.
      • 0
        Тогда уже и здесь надо подправить:
        Настольные ОС (Windows, MacOS, Linux), а также пользователи iOS защищены лучше всего.

        Из цитаты следует что среди мобильных ОС iOS лучше всех (в плане безопасности). Но ведь это не так.
        Windows Phone как минимум равен. А с учетом того, что и на Android можно проверять сертификаты, то тут все равны.
        • 0
          Не соглашусь.

          iOS по умолчанию проверяет и не может не проверять сертификат, в отличии от Android и Windows Phone.

          Редкие пользователи устанавливают сертификат и настраивают wifi-подключение в Android. А доступность опции отключения проверки сертификата сервера в Windows Phone тоже не повышает безопасность.

          Но, конечно, если всё грамотно настроить то они будут равны;)
          • –1
            Но, конечно, если всё грамотно настроить то они будут равны;)

            Вот этой фразы я хотел добиться.

            Понятно, что пользователи могут наплевательски относиться к безопасности. Они просто не понимают что это безопасность не для них лично, а для компании. Поэтому настройка должна производиться под контролем администратора. Поэтому правильная/неправильная настройка зависит от того, насколько эту проблему понимает сам администратор.
  • +1
    Простите за возможно нубский вопрос, но я правильно понимаю, что хеши всё равно брутить (как и на обычном wpa/wpa2 после получения хендшейка), пусть и в спокойной обстановке на системе помощнее? Т.е достаточно сложный логин/пароль значительно усложнит взлом? Или скорость перебора паролей ныне на столько высока, что это дело пары дней/недели?
    • 0
      Да, так и есть.

      Несколько раз пентестил вайфай.
      Пока ни разу не удалось сбрутить.
    • +1
      Здесь захватывается не WPA2 хэндшейк, а NETNTLM, который в свою очередь брутится на порядки быстрее чем WPA.
  • 0
    А если идет авторизация не по логину/паролю, а по выданному персональному сертификату + рутовый, то это более безопасно с т.з. взлома?
    • 0
      Да.

      Для безопасной авторизации надо:
      1. клиенту убедиться что он разговаривает с правильным сервером
      2. серверу убедиться что он разговаривает с правильным клиентом

      Проверить подлинность той или иной стороны можно с помощью сертификата.

      В статье описывается вариант, когда пункт 1 отсутствует. Т.е. клиент не проверяет сертификат сервера. В результате отдает секретную информацию (хеши) кому попало. А этот кто попало потом подбирает пароль с таким же хешем и тем самым компрометирует учетную запись.
    • 0
      ​Конечно, аутентификация по сертификатам является одним из самых надёжных способов.
      • 0
        Но наименее удобным, конечно.
        • 0
          Как по мне — наиболее удобным. А какие вы неудобства видите?
          • +1
            необходимость попадания этих сертификатов на все нужные устройства, например?
            • 0
              Сейчас нам расскажут про порталы самообслуживания за кучу $$$, позволяющие устанавливать сертификаты в пару кликов.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка