airgeddon loves WiFi

"Никто не любит провода, все любят Wi-Fi".

Пара слов о некоторых атаках на беспородные сети с помощью airgeddon. Ссылка на официальный репозиторий GitHub.

Capture

Capture Handshake

Capture Handshake является самой универсальной атакой на технологию WPA/WPA2, поскольку именно она применяется в подавляющем большинстве беспроводных точек доступа. WPA/WPA2 при подключении клиентов к точке доступа используют протокол безопасности EAPOL, во время которого происходит поэтапный обмен данными между точкой доступом и клиентом, который хочет подключиться. Суть атаки заключается в том, что злоумышленнику необходимо перехватить полностью (или хотя бы часть) передаваемых данных и методом перебора найти подходящий пароль. Проще говоря, сначала нужно захватить рукопожатие (на этапе EAPOL), а затем с помощью брут-форса найти правильный пароль.

Capture PMKID

PMKID - идентификатор парного мастер ключа.

Оказывается, что много современных маршрутизаторов добавляют необязательное поле в конце первого фрейма EAPOL, который включает в себя PMKID. Он формируется из данных, которые известны:

PMKID = HMAC-SHA1-128 ( PMK, «PMK Name» | MAC_AP | MAC_STA )

Поэтому его можно с легкостью использовать для формирования hash.

Эта атака была открыта случайно во время поиска новых способов атаковать будущий стандарт безопасности WPA3. WPA3 атаковать намного труднее из-за современного протокола установления ключей, называемого "Simultaneous Authentication of Equals" (SAE).

Плюсы такой атаки в том что злоумышленнику больше не нужно ждать "пользователей" пока они придут и подключаться к своему WIFI, что бы отключить их и поймать рукопожатие - Handshake. Минусы - такая атака занимает большое количество времени.

Процедура

Процесс перехвата для двух режимов примерно одинаковый:

• Выбор режима
• Далее следуя по ходу программы до выбора точки атаки, злоумышленник выбирает необходимую ему сеть

Если выбран режим Capture Handshake, то также необходимо выбрать и тип деаутентификации. Можно использовать все типы, но в большинстве случаев выбирается Deauth aireplay attack.

Deauth / disassoc amok mdk4 attack

Тип сетевой атаки, который использует утилиту mdk4 для отправки множества дезассоциационных (disassoc) и деаутентификационных (deauth) пакетов клиентам в беспроводной сети. Это может привести к временной потере связи между клиентами и точкой доступа, а в некоторых случаях может привести к полному отключению интернета или невозможности подключиться к сети.

Deauth aireplay attack

Способ атаки на беспроводные сети, который используется для принудительного отключения клиентских устройств от беспроводной точки доступа. В этой атаке злоумышленник отправляет фиктивные отключающие пакеты дезассоциации (Deauthentication) клиентским устройствам, заставляя их переподключаться к доступной точке доступа.

WIDS / WIPS / WDS confusion attack

WIDS (беспроводная система обнаружения вторжений) используется для обнаружения аномалий или вторжений в беспроводные сети. Она мониторит трафик в сети и обнаруживает необычное или подозрительное поведение, такое как несанкционированный доступ, проникновение или вредоносный трафик

WIPS (беспроводная система предотвращения вторжений) расширяет функциональность WIDS, предоставляя возможность принимать меры предотвращения или блокирования вторжений. Он может автоматически реагировать на обнаруженные угрозы, например, отключая или блокируя атакующие устройства.

WDS (беспроводная система распределения) представляет собой метод подключения беспроводных сетей и устройств, чтобы расширить покрытие сети или создать мост между различными сегментами сети

Злоумышленник создает путаницу или нарушает работу систем WIDS, WIPS и WDS. Это может быть сделано путем генерации ложных угроз, подделки пакетов данных или создания окружения, которое приводит к неправильному реагированию или блокировке систем безопасности.

• Далее выбирается timeout (сколько времени на ожидание результатов). По умолчанию 25, однако чаще всего выставляется более длительное время достаточное время для ожидания пакетов например 50.

• После успешной атаки у злоумышленника в наличие появляется *.cap файл с хэшем.
• Далее радужные таблицы или брут

Evil Twin Attack

Это, по сути, атака MITM (человек посередине), т.е. злоумышленник находится между целевым человеком и WiFi модемом. Чтобы выполнить эту атаку, злоумышленник притворяется модемом, раздающим интернет, и применяет атаку Deauth (которая отключает пользователей от wifi модема) к целевому модему. Злоумышленник предоставляем свои услуги wifi клиентам, в то время когда настоящий модем отказывается их обслуживать.

В данной статье будет раассматриваться Evil Twin AP attack with captive portal

Captive portal

Это нечто вроде экрана, который часто появляется при подключении к открытым WiFi сетям. Этот экран, содержащий положения и условия, злоумышленник исспользует в своих интересах, чтобы создать фишинговую страницу.

Стандартные страницы, которые предлагает программа airgeddon, выглядят очень подозрительно, поэтому потенциальные злоумышленники как правило создают собственную страницу.

Кратко о создание captive portal:

1. Переход по ссылке на GitHub
2. Cкачивается bash скрипт custom_portals.sh
3. Этот файл копируется в директорию - /usr/share/airgeddon/plugins/
4. В этой же директории создается папка custom_portals
5. Внутри этой папки и будут лежать созданные страницы - captive portal
6. Каждый captive portal находится в отдельной папке со своими файлами

Процедура

• После выбора режима возможно программа напишет предупреждение

Это говорит о том, что ваш адаптер не поддерживает VIF (Virtual Interface), который необходим для одновременного создания точки доступа и атаки деаутентификации на реальную сеть. Для объединения 2ух интерфейсов ( не поддерживающих VIF), необходимо поставить специальный плагин:

1. Переход по ссылке на GitHub
2. Скачивается bash скрипт multint.sh
3. Скрипт копируется в директорию: /usr/share/airgeddon/plugins/
4. Теперь есть возможность использовать 2 отдельных интерфейса для атаки

• Следующим шагом выбирается точка для атаки
• Далее выбирается тип деаутентификации
• Затем программа спрашивает включить ли DoS pursuit mode

DoS pursuit mode режим следования за атакуемой точкой, когда она переключается на другой канал. При включении режима DoS pursuit mode необходим дополнительный интерфейс.

• После программа спрашивает менять ли MAC адрес при атаке. Дело вкуса.

• Далее, если в наличии файл рукопожатия, то выбирается Y и указывается путь до файла. Если файла рукопожатия нет - выбирается N.

• Следующим шагом выбирается timeout (сколько времени на ожидание результатов).
• После успешной атаки злоумышленник получает *.cap файл с хэшем
• Следующим этапом выбирается Captive Portal

• Затем поступаем вопрос есть ли необходимость включать обнаружение паролей, содержащих *&/?<> ?

Включение обнаружения паролей, содержащих *&/?<> очень опасны, так как инъекции могут быть сделаны на захваченном портале, и злоумышленник может быть сам взломан с помощью какой-либо командной инъекции на странице captive portal.

• Далее выбор языка для Captive Portal, при условие что он написан на разных языках

В итоге будет созданы 6 окон. Каждый из паролей сравнивается с хэш из рукопожатия и фиксируется в файле. При вводе правильного пароля действия программы прекращаются.