AirJD 焦点
AirJD

没有录音文件
00:00/00:00
加收藏

看不见的无线安全(伪基站与手机Wifi钓鱼攻击解析) by 杨哲

发布者 security
发布于 1464137526079  浏览 10465 关键词 网络安全, 移动开发 
分享到

第1页

百鬼夜行の 杨 哲 (Longas)

看不见的无线安全 ZerOne无线安全研究



第2页

ZerOne无线安全研究组织

杨 哲 (Longas)

• 成立于2006年,均为无线安全研究员/爱好者 • 成员来自安全公司、游戏公司、高校、公安及政府 • 历程与成果

– 建立中国最大的Anywlan网站“无线安全”讨论区

– 发起国内无线WPA加密分布式破解项目

– 发布AntiMatter反物质云无线破解平台 – 开创“Wi-Hack”无线安全系列课程

– CNVD 国家漏洞库/ WooYun贡献者 – 出版无线安全系列书籍



第3页

LTE-HDD NFCLTE-FLDTDE-FLDT车DE-联FD网D Infrared 医疗 铁路 LTE-FDDSECR物SEPTEE卫联TDAS星车网PL联教通EE网NE信育DTN能行能OIN源业源T干EW扰RiDr有eINGlDeINIsEBTG源sAOLTITLOSAEGCR干LWNREFi扰ErGTeYIWSlDEMeSsS-sBRL民O无教G线航电育GYSE车MCS有行LINO-源RTC联EKRR业教NF无IED网T线育卫电TI干星M交物行有I扰EN通源F通联业YOR信FREI车MD网ISInAn联GTff电YrI网rOTNPaaENArrOS力eSeLd交GdIEN行干S有NT通卫TM源ETA业扰R星R-FLIRND车E通ENNT信联物TO干有G网联扰SI源NM网TY电-R交IENREFRST力通IENDR卫行EKNNT星EO业RTWI通ENnSLFf信ECrOINaDTUrEGCReRLFEOdACCCKEE



GPS Vo-LTE医疗



WireleBssLOG



LANGUAGE



HackRF AGPS能源

ZSigBDee R IOT OpenBWSC 移iF动互iSPEED



NFC

LTE-FDD



INFORMATION

有源RFID



GSM-R



联网运营商

Infrared

医O疗penBTSRFID GSMIOT SPEED 卫星通信NO



轨道交通

TELEVISION

Wireless



干扰

EDUCATION

APPLICATION

车联网



BLUETOOTH 无线电LTE-HDDSECRETHackRFDIGITAL



能源

NO



NFC



IOT



无线电



教育行业 民航 Wireless LTE-HDDLTE-FDDDEVINETLSEOPRInPENfrMEaErDITeNEdNT电能ET交R力源N通E行T 卫业S卫P星星E通B通干EL信DO扰信GLNTSEOGO-ISNMHC能TOE-RIDRNAp物E源DDTLeIG联nSITEBPAC网RLTHGE有STROPEYNS源SEOESUR交RFNCIFDE通C



无线电



PHONE



APPLICATION 轨道交通



TALENT ADVERT 干扰



CLOCK 物联网BLOG IOT



铁路



无线电 GSM-R 教育行业 INTERNET



GPS 卫星通信



车联网INTERNET 干扰 干扰 物联网NO

CLOCK INFORMATION



车联网

KNOWLEDGE



教育行业 INTERNET



第4页

• 2G/3G/4G安全 • 伪基站分析 • 短信群发/钓鱼

谈谈伪基站



第5页

针对2G/3G/4G通信的高级MITM实现

• 拦截IMSI、TMSI • 伪造短信验证码 • 信令劫持 • 伪造基站 • MAS服务MITM攻击



无线攻击者



钓鱼攻击



短信校验 伪造站点 码监听 /数据



第6页

2015~2016:运营商3G/4G业务模拟攻击



第7页

伪基站小时代

• OpenBTS • USRP • RAD-1



第8页

解剖“伪基站”



第9页

解剖“伪基站”



第10页

典型手机短信钓鱼示例



第11页

• 短信群发 • 短信验证 • 伪造短信 • 短信监听 • GSM气数已尽?

再见短信?



第12页

短信群发的几种形式

• 短信猫 SMS Modem – SIM Card – RS232、USB

• 企信通 – 由于限制严格,多数已转向电信小灵通发送SMS

• 移动MAS – 收发短信,WAPPush – Java+Tomcat+Hibernate+MySQL – OA增值功能

• Other Ways • 黑色产业链设备



第13页

短信验证的悲哀

• 短信验证场景

–网银登录手机校验码 –公共场所WiFi访问密码 –企业内部802.1X认证环境访问密码 –在线交易校验码 –邮箱密码丢失验证码 –临时验证码



第14页

手机验证码/交易过程面临的安全威胁

单一化手机验证流程机制,已在国内绝大部分银行、 银联、运营商、商业论坛、邮箱服务提供商等广泛使 用

现有安全策略: 1、重新发送时间限制:2分钟内不能点击“重新发 送” 2、基于手机号码自身的身份验证 3、个别方案中会使用二次短信验证

单一化手机短信验证存在严重安全隐患

1、中间过程不可控 2、用户对短信来源无感知,即容易被伪造 3、绝大多数情况下仅依赖于一次验证码



第16页

咖啡厅的WiFi验证SMS

• AT&T、T-Mobile与星巴克合作 • 中移动:CMCC-Starbucks

–以前依靠单纯的WPA-PSK密码 –现在通过手机发送无线密码SMS

• 安全威胁: –一周内以注册用户身份使用WiFi –对指定对象伪造攻击的可能 –用户对短信的盲目信赖感



第17页

机场的WiFi环境验证SMS

• 国内机场 – SSID:“Airport WiFi Free” – 伪造AP的天堂

• 安全威胁: – 以他人身份使用WiFi – 此类短信多数以1065、 1069之类开头的号码发送 – 使用特定短信工具可轻松 实现欺骗攻击



第18页

工业控制领域の无线安全

• 业务/物流/应急服务跟踪系统

–自动发送内部故障处理工单SMS –物资调度及通告SMS

• 业务系统GSM自动告警模块

–自动发送未加密告警短信



第19页

多重手机验证流程机制并不能从根本上解 决安全威胁 思路1:在流程中增加额外需填写信息

思路2:通过不同通道验证码加强验证

思路3:更换验证方式



第20页

犯罪实施的低成本化、机动化与多样化

• 低成本化

–68元SIM卡 + 200元GSM手机 –用完即换

• 机动化

–随身多张SIM卡 –GSM手机用完即扔 –黑卡

• 多样化

–多卡多待 –一卡多号,最多可达12个号码 –SIM卡复制应用更广



第21页

GSM真的气数已尽?

• 从双卡双待到全网通

– GSM / CDMA – GSM / WCDMA – GSM / TD-SCDMA – GSM / TD-LTE – …… – 必有一卡支持GSM

• 个人持有手机号码 – 双号 – 3个以上



第22页

SMS,隐私暴露的必然



• 银行交易信息

–工资到账 –转账记录 –银行卡开户行 –银行卡后4位

• 差旅信息

–航班信息 –酒店预订信息 –签证信息



• 在线提示信息



–证券交易



–期货交易



–网校注册



Only



–邮箱注册



3 Months

• 其它提示



–未接来电提醒



–流量提示信息



–学校通知信息



第23页

来自中移动的数据

• 截至2016年3月,中国移动用户总数为8.34亿户

• 其中,2G、3G、4G用户分别占到50.5%、26.3%、

23.2%。

• 粗略计算,国内至少约有3亿户仍在使用GSM。换句话说

,国内至少还有3亿户面临威胁GSM空口数据威胁。

• 参考中移动的网络融合速度、新用户增长速度、资费 套餐设计及市场粗略判断,大幅度解决此安全隐患,

至少还需要3~4年。



第24页

一个简单的思路

• 针对双卡槽智能手机的特定病毒 (Android)

– 自动识别两个卡槽中SIM卡类型 – 可根据多种方式远程激活(微信、

短信等)

– 主要功能: 强制切换GSM的SIM卡为默认主卡 或者

免激活非GSM的SIM卡



第25页

• GPS 卫星定位 • CPS 基站定位 • WPS WiFi定位 • 监听模块定位

• SS7 信令定位 • 第三方APP



手机定位



第26页

GPS卫星定位

• 可根据设备内置的GPS模块锁定当前位置 • 第三方APP读取GPS数据



第27页

CPS基站定位

• 可根据空口信令中包含的LAI信息来显示基站信息 – MCC,移动设备国家代码 – MNC,移动设备网络代码(运营商) – LAC, – CID,CELL ID – LAT,WGS84纬度 – LNG,WGS84经度



第28页

IMSI的意义

• IMSI:国际移动用户识别码

– 15位, MCC+MNC+MSIN



第29页

不止是运营商



第30页

反跟踪技巧:IMSI会告诉你~

• 常态化个人路线建模

–工作、生活

• 重复率筛选

–手机所在位置区识别号LAI –记下最近1个月出现率最高的全部IMSI,添加到黑名单

列表中 –排除熟人/同路/沿线住址



第31页

WPS WiFi定位

• WiFi RSSI指纹库

– 基于WarDriving采集 – BSSID – RSSI,接收的信号强度

指示

• WPS局限性

– 目标手机必须开启WiFi – MAC与手机号码的匹配

问题



第32页

监听模块定位

• 基本功能

– 监听功能 – 声控功能 – 支持短信参数设置

• 激活监听模式 • 目标定位

• 特点

– 支持GSM – 待机一周以上 – 外型多样化



第33页

SS7

• SS7

– 信令系统#7是由 ITU-T 定义的一组电信协议 ,主要用于为电话公司提供局间信令。

– SS7 中采用的是公共信道信令技术,也就是 带外信令技术,即为信令服务提供独立的分 组交换网络。

– SS7 起源于SS6,SS6开发于20世纪60年代 后期,是第一代公共信道信令。SS7 最早是 为电话呼叫控制应用而设计的。目前SS7 的 功能包含了数据库查询、事物处理、网络操 作和综合业务数据网络(Integrated Services Digital Network,ISDN)等。



第34页

第三方APP:个人行动规律建模

• 家庭住址?公司地址?很难么? • 不,这和社工没关系 • APP会告诉你



第35页

云存储类APP的手机定位



1:服务器端远程备份短信联系人等资料。



2:远程锁定/擦除手机所有数据。



APP主要功能



3:支持通话转移功能。



4:发送地图信息点到手机/电脑



5:定位你的手机



第36页

• 国内WiFi Hack历史 • 无线主流Crack技术 • 反物质平台

WiFi重灾区



第37页

国内WiFi Hacking 历史

• 2006~2007 觉醒时期 • 2008~2009 蹭网卡鼎盛时期 • 2009~2011 “多国杀”时期

– 创造奇迹的RTL8187 – 永无止境的发射功率 – 悲催的蚂蚁战车

– SpoonWEP/SpoonWPA – 黑色产业链的形成 • 2010~2012 GPU时期 – EWSA • 2012~2014 移动破解时期 • 2015~2016 云破解时期+回归



第38页

WiFi Attackの趋势



CrackWPA CrackWEP



FakeAP

Air Interface



WiFiPhisher

MITM



Multi-Agent

Jamming



Deauth

Pentest



WAP Jack

WAPTunnel



WIDS/WIPS

MITM



EAP Hijack

Fake Radius



Home SOHO

SOHO Router

Femto



IOT

Home

智能摄像头

智能路由器

智能插座

智能电器



IOT

Industry

工业物联网

车联网

民航WiFi 公交WiFi



隐私化

随身WiFi 车载4G路由



第40页

Crack #主流

• Dictionary • WPA PMK Hash • WPS Online / Offline

• Distributed • GPU • Cloud



第41页

Cloud based のWiFi Crack Platform

{反物质}无线安全评估云平台



用户



上传 握手包



云平台



指派 任务



运算节点



组合 样本



运算结果返回

40,000,000,000,000 5,000



第44页

应用 领域

内部安检 安全评估 无线渗透 边界防护

RP分割线

家庭防窥 隔壁老王 邻家妹纸 小区鲜肉



第45页

• SDR • WiFi • ZigBee • Car-Hacking • IOT • SmartDevice • AirLine



More



第47页

杨哲

(Longas) ZerOne无线安全研究组织 longaslast@126.com

Thanks !!



支持文件格式:*.pdf
上传最后阶段需要进行在线转换,可能需要1~2分钟,请耐心等待。