Airgeddon как средство аудита беспроводных сетей
В данной статье автором приводится одно частное средство аудита беспроводных сетей под названием Airgeddon. Это универсальная и интерактивная меню-оболочка сторонних инструментов для аудита беспроводных сетей, используемая для пентестинга, проведения атак на WPS/WPA, атак типа DoS и Злой Двойник, а также может использоваться для оффлайн расшифровки паролей из WPA/WPA2 Handshake. Данный скрипт имеет полностью русский интерфейс, совместимость со многими дистрибутивами Linux, простую навигацию, автоматическое определение Http прокси для обновлений и контроль за выходом, задачами очистки и временными файлами. Одним из способов обеспечения сетевой безопасности является программное обеспечение Airgeddon. На данный момент нет ни одного отечественного ПО, обладающего подобными свойствами. Это говорит о том, что необходимо использовать возможности данной программы в профессиональной деятельности госучреждений и органов СМИ как наиболее уязвимых. Программа имеет открытый код на сайте GitHub, тем самым правоохранительные органы смогут с легкостью проверить исходные файлы и внедрить данную меню-оболочку как средство для работы с беспроводными сетями.
Ключевые слова: airgeddon, Злой Двойник, DoS, спуфинг, сниффинг, брутфорс, пентестинг, Handshake, MitM.
В настоящее время в России усилилось негативное воздействие от атак киберпреступников. По статистике киберугроз, на 2022 год приходится 45% случаев, связанных с утечкой конфиденциальной информации. Из них 55% -скомпрометированные данные, а 25% - финансовые потери.
Для сравнения: в IV квартале 2021 года доля атак составляла 13%. На данный момент эта цифра увеличилась до 22% от общего количества. Наиболее атакуемыми структурами внутри государства являются СМИ и госучреждения [1]. Распространение шпионского ПО также детерминирует необходимость усиления защиты персональных устройств от проникновения, в том числе и увеличения борьбы с киберпреступлениями. Функциональным назначением программы является проверка уязвимостей беспроводных сетей.
WPA (Wi-Fi Protected Access)- стандарт безопасности для устройств с беспроводным подключением к сети. Существует несколько протоколов защиты беспроводных сетей – это WPA2 и WPA3. WPA2 является обновленной версией WPA с внедренной технологией RSN (Robust Security Network), обеспечивающей динамический обмен информацией между двумя устройствами при выполнении аутентификации. WPA3, в свою очередь, имеет индивидуальное шифрование, протокол SAE (Simultaneous Authentication of Equals), а также усиленную защиту от атак методом подбора пароля [2].
WPS (Wi-Fi Protected Setup)- технология полуавтоматического развертывания беспроводной сети. Целью протокола является упрощение настройки сети. С его помощью пользователь может не затрудняться по поводу включения шифрования либо внедрения WPA-ключа.
Handshake (Рукопожатие)- процесс обмена ключами между клиентом и точкой доступа, который происходит в несколько стадий.
Когда клиент подключается к сети Wi-Fi с использованием WPA2 (802.11i), используя стандартную аутентификацию по паролю, он использует пароль в качестве предварительно общего ключа (PSK). На практике PSK передается через функцию получения ключа (KDF) на основе SHA1, после создает попарный главный ключ (PMK), который используется для получения дополнительных ключей для связи. PMK – это долгосрочный ключ, используемый для настройки всех соединений между клиентами (например телефонами, ноутбуками) и точкой доступа (маршрутизатором). Когда происходит аутентификация, маршрутизатор превращает пароль (PSK) в ключ (PMK) который используется в процессе подтверждения связи. Первая часть квитирования используется для создания попарного временного ключа (PTK) который используется для аутентификации, шифрования сетевого трафика и проверки подлинности сообщений.
PMKID- это уникальный идентификатор ключа, используемый AP для отслеживания PMK (Pairwise Master Key) применяемого клиентом.
Спуфинг- Тип кибератаки, предусматривающей маскировку под устройство и использование в виде средства проникновения в сеть путем фальсификации данных.
Сниффер- программное обеспечение, позволяющее захватывать, модернизировать и прослушивать входящих и сетевой трафик. Оно следит за активностью пользователя в интернет пространстве. Посещение сайтов, загрузка и выгрузка файлов[3].
Сниффинг- метод захвата, модернизации и прослушивания сетевых пакетов. Крупную опасность представляет получение конфиденциальной информации пользователя: пароли, логины. В последствие чего эти данные могут быть использованы в корыстных целях.
Злой Двойник- спуфинг-атака, посредством которой создается поддельная точка доступа беспроводной сети, имитирующая подлинную беспроводную сеть, используя SSID как у неё.
Человек посередине (Man in the Middle, MitM)- один из видов кибератаки, при работе которой идет ретрансляция трафика от одного устройства к другому с возможностью его модификации.
DoS-атака (Отказ в обслуживании) – вид направленной атаки из одной точки. Используется для выведения вычислительных систем до отказа, чтобы пользователь не смог получить доступ к системным ресурсам или серверам.
DDoS-атака- разновидность DoS атаки, которая идет от множества точек точек доступа. Направлена данная атака на нарушение работоспособности сервисов посредством отправки избыточных запросов в целях заполнения целевой машины для перегрузки системы.
Брутфорс (Brute force)- метод подбора ключа доступа, работающий на переборе установленных комбинаций символов, пока не будет найдена нужная вариация ключа.
Атака по словарю- атака по заранее заданной базе данных, включающей в себя набор символов разной длины и регистра.
ПенТестинг (Penetration Testing)- Метод оценки защищенности информационной системы от проникновения посредством использования конкретных уязвимостей. При оценке используются следующие методы: Анализ на наличие уязвимостей, которые могут спровоцировать некорректную работу системы.
Приступая к перечислению зависимостей и инструментов, используемых в скрипте Airgeddon, следует отметить, что для полной реализации потенциала программы нужны все ниже перечисленные средства. Скрипт проверяет их наличие при запуске.
Стоит перейти к базовым инструментам:
Ifconfig- команда, которая использовалась для настройки сети в Linux.
Iw- утилита командной строки, используемая для сканирования, прослушивания и т.п.
Iwconfig- устаревшая версия более новой утилиты Iw.
Airmon-ng- скрипт, который позволяет перехватывать сетевые пакеты посредством смены режима сетевого интерфейса в режим монитора без аутентификации в точке доступа.
Aircrack-ng- набор программ для работы с беспроводными сетями, который позволяют анализировать трафик, проводить аудит ключей шифрования, а также совершать пентест.
Iwconfig- устаревшая версия более новой утилиты.
Awk- язык программирования, основанный на построчном разборе и обработки входного потока по заданным шаблонам.
Airodump-ng- утилита, используемая для захвата пакетов, а также их хранения для дальнейшего анализа.
Xterm- эмулятор терминала для среды X Window System.
Опциональные инструменты для работы вторичных функций:
Wpaclean- используется для очистки рукопожатий от лишней информации.
Crunch- генератор словарей методом перестановки и комбинации.
Aireplay-ng- утилита для создания поддельного трафика в беспроводной сети. Подмен, инъекция зараженных пакетов.
Mdk4- утилита для деаутентификации клиента от точки доступа, посредством DoS-атаки.
Hashcat- инструмент для восстановления паролей, использующий метод подбора паролей брут-форсом.
EtterCAP- программное обеспечение для совершения атак MitM(Man-in-the-Middle). Метод ретрансляции между точкой доступа и клиентом, в котором идет прослушивание трафика.
BetterCAP- улучшенная версия программы EtterCAP. Более удобная для использования, часть опций отображается в списке, покажет, включены ли они.
EtterLOG- скрипт для анализа логов, созданных в EtterCAP/BetterCAP.
Hostapd-wpe- Утилита, реализующая атаки выдачи себя за аутентификатора и сервера аутентификации для получения данных клиента.
SSlstip- прокси-сервер, организовывающий способ обхода HTTPS для перехвата HTTP трафика, посредством подмены HTTPS на HTTP двойник
DNSspoof- атака посредством DNS спуфинга.
Wash- утилита для идентификации точек доступа с включенным WPS.
Reaver- программа для подбора ключей WPS методом подбора и перебора.
Bully- скрипт, используемый для атаки брутфорса WPS.
PixieWPS- инструмент для оффлайн брутфорса WPS пина.
Плавно переходя к программному обеспечению, хотелось бы отметить, что меню является интуитивно понятным в плане навигации и позволит пользователю понять, за что отвечает та или иная функция. Никаких команд вводить не нужно, так как файлы для расшифровки можно перетаскивать прямо в рабочее окно программы (рис. 1).
Помимо простого интерфейса, программа будет выдавать подсказки в некоторых секциях во время работы с ней (рис. 2).
В первую очередь перейдем к самому распространенному виду кибератак из главного меню - DoS атаки. В программе реализованы 6 видов таких атак.
Атака деаутентификации /разъединения amok mdk4 - атака с последующим отключением клиента от точки доступа посредством DoS атаки.
Атака деаутентификации aireplay – вид DoS атаки с подменой трафика. Основана атака на отправке пакетов для деаутентификации клиентов от беспроводной точки доступа. После запуска скрипта происходит отправка пакетов для отключения клиентов от точки доступа, что позволяет получить рукопожатие.
Атака запутывания WIDS / WIPS / WDS - атака отправляет большое количества фрагментированных RTS-фреймов и система перезагружается из-за нестандартной ситуации.
Beacon flood атака- программа отправляет фреймы маяков для создания видимости множества точек доступа. Может вывести из строя сканеры сети и драйверы.
DoS атака деаутентификации- стандартная атака с отключением клиента от точки доступа посредством отправки бесконечного количества пакетов, что приводит к отказу в обслуживании.
Атака «Michael shutdown exploitation»- Атака с возможностью отключения точки доступа. Использует шифрование TKIP и расширение QoS c 1 перехваченными и 2 введенными пакетами данных (рис. 3).
Следующим по списку идет меню инструментов для работы с Handshake/PMKID. Оно предназначено для захвата данных пакетов, а также для очистки/оптимизации кода в файле с рукопожатием (рис. 4).
Третье меню – это меню офлайн расшифровки WPA/WPA2.
Есть два вида расшифровки- Personal (Рис. 5) и Enterprise (Рис. 6). Отличие только в методах и утилитах для расшифровки.
Атаки могут быть реализованы как с помощью центрального процессора (CPU), так и с помощью процессора видеокарты (GPU).
Меню атак Злой Двойник. Для выполнения атаки нужно быть очень близко к целевой точке доступа или иметь очень мощную Wi-Fi антенну. Сигнал должен достигать клиентов с такой же силой, или даже сильнее, чем легитимная точка доступа (рис. 7).
Далее идет меню с видом атак на WPS. Атака по нулевому PIN-коду очень быстрая и мгновенно получает пароль, но уязвимы только некоторые виды точек доступа (рис. 8).
Последним пунктом является меню Enterprise атак. Работает аналогично атаком Злой Двойник, используя библиотеку hostapd-wpe (рис. 9).
Как и любой инструмент для тестирования безопасности, результаты использования Airgeddon зависят от того, как он используется. В правильных руках он может помочь выявить уязвимости в беспроводных сетях, а в неправильных - привести к нарушению законов и нанести вред другим пользователям.
Некоторые из возможных результатов использования Airgeddon могут включать:
- Обнаружение уязвимостей в беспроводных сетях: Airgeddon может использоваться для сканирования беспроводных сетей и поиска уязвимостей, таких как слабые пароли или незащищенные точки доступа. Это может помочь администраторам сетей улучшить безопасность своих сетей.
- Нарушение безопасности сети: Если Airgeddon используется злоумышленником, он может использоваться для нарушения безопасности беспроводной сети. Например, злоумышленник может использовать Airgeddon для перехвата трафика в беспроводной сети или для получения доступа к защищенным данным.
- Нарушение законов: Использование Airgeddon для нарушения безопасности чужой сети является незаконным и может привести к уголовной ответственности. Поэтому, если вы не являетесь администратором сети или не имеете разрешения на тестирование безопасности сети, использование Airgeddon может привести к негативным последствиям.
- Улучшение безопасности: Если Airgeddon используется администратором сети или специалистом по безопасности, он может помочь улучшить безопасность беспроводной сети. Например, Airgeddon может использоваться для проверки наличия уязвимостей в сети и для устранения этих уязвимостей.
В целом, результаты использования Airgeddon зависят от того, как он используется. Если он используется правильно, он может помочь улучшить безопасность беспроводных сетей. Однако если он используется неправильно, он может привести к нарушению законов и нанести вред другим пользователям.
Эксперты в области кибербезопасности прогнозируют, что киберугрозы будут продолжать расти в 2022 и 2023 годах. Это связано с тем, что все больше людей используют онлайн-сервисы и хранят свои данные в облаке, что делает их более уязвимыми для кибератак.
Ожидается, что киберпреступники будут использовать все более сложные методы атак, такие как социальная инженерия и фишинг, чтобы получить доступ к персональным данным. Кроме того, ожидается увеличение числа кибератак на крупные организации и правительственные учреждения.
По итогам событий 2022 года индустрия кибербезопасности подошла к необходимости переосознания основных принципов построения защиты и реагирования на угрозы в масштабах бизнеса, отраслей и страны, и в 2023 году кибербезопасность как индустрию ожидает период активной пересборки с большей ориентированностью на практику результативной защиты. В ближайшие годы рынок ИБ в России окончательно станет рынком отечественных производителей и будет расти в разы, еще больше возрастет востребованность технологий, позволяющих предотвращать хакерские атаки до того, как компаниям будет нанесен непоправимый ущерб. В частности, трендом следующего года можно считать рост интереса к платформам Bug Bounty у компаний различных сфер бизнеса (включая государственные), практическим киберучениям и средствам защиты с максимальным уровнем автоматизации в части выявления хакерских атак и противодействия им. Также на промежутке 1—2 лет стоит ожидать появления на рынке новых прогрессивных средств защиты в нишах, традиционно занимаемых до сих пор зарубежными игроками. Так, в первую очередь мы увидим обновления линеек решений в классе NGFW, защиты контейнерных сред и облаков. [4]
Для защиты от киберугроз в будущем необходимо будет продолжать следить за обновлениями программного обеспечения и использовать надежные пароли и двухфакторную аутентификацию. Также важно будет обучать себя и своих близких основам кибербезопасности и регулярно резервировать свои данные. Кроме того, организации и правительства будут вынуждены улучшать свои меры безопасности и защиту от киберугроз.
Подводя итог вышесказанному, следует отметить, что на сегодняшний день количество киберугроз только растет, поэтому нужно заниматься обеспечением безопасности внутренних сетей посредством аудита теми или иными утилитами. Утилита Airgeddon прекрасно подходит для ПенТестинга беспроводных сетей, а Metasploit помогает найти уязвимости внутри системы. Учитывая особенности преступлений, можно прийти к выводу, что кибератаки способствуют дестабилизации государственных структур и предприятий. Для повышения качества защиты от воздействия со стороны на беспроводные сети требуется изучать документацию тех или иных инструментов для защиты внутренних сетей и как можно чаще заниматься аудитом во избежание утечек или фактов мошенничества.
1. Актуальные киберугрозы: I квартал 2022 года. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022-q1/ (дата обращения: 14.10.2022);
2. WPA. URL: https://ru.wikipedia.org/wiki/WPA (дата обращения: 14.10.2022);
3. Что такое сниффер и как не лишиться данных после покупок в интернете. URL: https://trends.rbc.ru/trends/industry/60f6c2af9a7947fc32ae0a91 (дата обращения: 16.10.2022);
4. Кибербезопасность в 2022-2023. Тренды и прогнозы. URL: https://www.ptsecurity.com/ru-ru/research/analytics/ogo-kakaya-ib/
Научная статья была опубликована в сборнике статей по итогам Международной научно-практической конференции "ТЕОРИИ, ШКОЛЫ И КОНЦЕПЦИИ УСТОЙЧИВОГО РАЗВИТИЯ НАУКИ В СОВРЕМЕННЫХ УСЛОВИЯХ", 104 стр. 3 мая 2023 г.