Добре дошли в задълбоченото изследване на WiFi атаките на злите близнаци. Ако някога сте се чудили как хакерите имитират надеждни безжични мрежи, за да уловят поверителна информация, предстои ви да навлезете в област, в която всичко не е такова, каквото изглежда.

В началото ще разгадаем концепцията за атака Evil Twin, като ще изследваме двойните ѝ приложения в етичното хакерство и злонамерените експлойти. След това преминаваме към създаването на вашата експериментална лаборатория, което изисква специфичен хардуер и настройки.

Практическата част започва с проследяване на основна Evil Twin WiFi атака, като се използва силата на Airgeddon за опростяване на тази многостранна операция. Тази инструкция стъпка по стъпка ще ви гарантира, че ще разберете тънкостите на процедурата.

В заключение ще навлезем в света на усъвършенстваните Evil Twin WiFi атаки. Ще засегнем начините за повишаване на надеждността на вашия Зъл близнак, ще обсъдим интегрирането на тази техника с други стилове на атака и ще подчертаем безбройните заплахи, които могат да възникнат от такива маневри – от подслушване до фармиране.

Какво представлява злият близнак?

Представете си, че сте в любимото си кафене, отпивате от латето и сърфирате в интернет през безплатния им Wi-Fi. Това, което не знаете, е, че мрежата, към която сте свързани, изобщо не е официалната мрежа на кафенето. Тя е почти идеален дубликат, създаден от някой с лоши намерения. Свързали сте се към зъл двойник.

Често срещан сценарий за атака от типа Evil Twin се случва на обществени места с безплатен Wi-Fi. На такива места потребителите обикновено не проверяват автентичността на мрежата, което улеснява нападателите да ги измамят.

 

Зъл близнак е измамна точка за достъп до Wi-Fi (AP), която е огледален образ на легитимна такава. Тя споделя същото име (SSID) и често същия MAC адрес. Този кибермираж може да се използва за етични и неетични цели.

Хакерите с  „черна шапка“ използват Evil Twins, за да прихващат чувствителна информация от нищо неподозиращи потребители. Като заблуждават потребителите да се свържат със зъл близнак, те могат да прихванат важни данни като данни за вход и информация за кредитни карти.

Обратно, етичните хакери използват подхода Evil Twin, за да помогнат за укрепване на сигурността на организационната мрежа. Чрез симулиране на атаки от типа „Зъл близнак“ те идентифицират и поправят мрежови уязвимости, преди те да бъдат използвани по злонамерен начин.

Ето опростена разбивка на начина, по който се развива една атака Evil Twin:

How Evil Twin Attacks Work

 

С разбирането на процеса, който стои зад атаката Evil Twin, предприемате важна стъпка към подобряване на разбирането си за заплахите за мрежовата сигурност. С развитието на технологиите се развиват и тактиките и техниките на тези, които искат да се възползват от тях. Сега нека видим това в действие.

ОТКАЗ ОТ ОТГОВОРНОСТ

Искаме да сме напълно наясно по този въпрос. Въпреки че може да изглежда достатъчно невинно да извършите сканиране на безжичната мрежа на съседа си, на сървър, на който се хоства уебсайт, или на други мрежи, не го правете. Необходимо ви е разрешението на собственика на мрежата, за да извършвате каквото и да е хакерство или тестване за проникване в неговите системи.

Това може да не изглежда като голяма работа, но хакването или дори сканирането на система без разрешение може да доведе до изключително строги правни санкции, включително затвор, в зависимост от местоположението ви. Такива закони включват:

Закон за компютърните измами и злоупотреби (САЩ)

Членове 184, 342.1, 380 и 430 от Наказателния кодекс на Канада (Канада)

Закон за компютърните злоупотреби от 1990 г. (Англия)

Членове 202а и 202б от Наказателния кодекс на Германия (Германия)

Закон за информационните технологии, чл. 43 и 66 (Индия)

Закон за забрана на неоторизирания достъп до компютри (Япония)

 

Преди да започнем

За да се възползвате максимално от тази статия и да настроите успешно Evil Twin, ще трябва да подготвите някои основни хардуерни устройства и да конфигурирате операционната си система. Препоръчваме Kali Linux и ще я използваме тук. Ако използвате друга операционна система, просто обърнете внимание на подканите в Airgeddon по-късно, тъй като може да нямате предварително инсталирани всички библиотеки (Airgeddon ще ви насочи). Ето кратък преглед на това, което ще ви е необходимо, и как да го настроите:

Подходящ хардуер

Работата с безжична мрежа изисква безжична карта с две специални възможности:

  • Режим „Монитор“, известен също като промискуитетен режим.
  • Възможност за инжектиране на пакети.

За съжаление, повечето вградени мрежови карти не са оборудвани с тези функции. Външна мрежова карта обаче ще свърши работа. За нашите тестове използвахме Wi-Fi адаптера MK7AC от Hak5 с Kali Linux 2023.2.

Адаптери за WiFi

За много други инструменти всеки WiFi адаптер с монитор и инжектиране ще работи за злия близнак (фалшив AP), докато допълнителни инструменти работят с по-преднамерен пленен портал, за да изпълнят този тип атака.

Въпреки това начинът, по който Airgeddon се справя с бързото, ad hoc разгръщане както на фалшивия AP, така и на портала в плен, изисква допълнителни функции. По-конкретно, той разчита на виртуален интерфейс (VIF) за ефективно разделяне на вашия WiFi адаптер на две логически устройства, подобно на дял от твърдия диск.

Тази виртуализация се поддържа само от ограничен брой WiFi адаптери, като например някои от чипсетите на MediaTek и Ralink. Преди да продължите със стъпките за настройка по-долу, проверете дали разполагате с приемлив чип. Ние използвахме Wi-Fi адаптера MK7AC с чипсет MediaTek MT7612U, тъй като той поддържа VIF.

Можете да заобиколите това, като използвате два WiFi адаптера заедно, като поне единият може да работи в режим на наблюдение за фалшивата точка за достъп.

Настройка на Kali Linux

Ако Kali Linux е нов за вас, разгледайте нашето ръководство за инсталиране на Kali Linux във VirtualBox. След като сте готови с Kali Linux, следвайте тези стъпки, за да свържете безжичния си адаптер:

  • Изключете вашия VirtualBox.
  • Включете външния си USB мрежов адаптер.
  • Отидете в мениджъра на VirtualBox, изберете вашата инстанция на Kali, щракнете върху иконата на списъка и изберете „Подробности“.

Select details

  1. Кликнете върху „USB“, за да получите достъп до настройките на USB, и натиснете зеления знак плюс вдясно.

Access USB settings

  1. Добавете новия си мрежов адаптер. Не се притеснявайте, ако не е посочен производителят; достатъчен е чипсетът. Щракнете върху „OK“.

Add your new network adapter

 

  1. Върнете се в прозореца на мениджъра, щракнете върху „Мрежа“ и махнете отметката от „Включване на мрежовия адаптер“ във всичките четири раздела. Щракнете върху „OK“.

Uncheck 'Enable Network Adapter'

Това е всичко! Вашият Kali Linux вече е готов за работа. След това ще създадем нашата тренировъчна лаборатория. Започваме да работим!

Създаване на нашата тренировъчна лаборатория

Преди да започнем, от решаващо значение е да създадем сигурна и изолирана тренировъчна лаборатория. Ето един опростен подход стъпка по стъпка:

  • Отделете стар рутер само за тази лаборатория, изключен от интернет или други устройства, за да предотвратите потенциални уязвимости.
  • Използвайте едно-единствено безжично устройство, например смартфон, за тестване с този маршрутизатор.
  • За да настроите маршрутизатора, свържете го физически към компютър и осъществете достъп до администраторските му контроли чрез IP адрес, например 192.168.0.1.
  • Ако маршрутизаторът ви е фабрично настроен, той трябва да ви подкани за настройка на мрежата.
  • Изберете подходящо име на мрежата – в нашия случай ще изберем „Silence_of_the_LANs“.
  • Изберете парола от препоръчания списък; за нас тя е „w0rkplac3rul3s“.
  • Уверете се, че сте задали режима на сигурност на WPA2-Personal (Личен).

 

След като други устройства могат да открият мрежата ви, можете да започнете настройката на Evil Twin. Тази самостоятелна лабораторна среда е от съществено значение за безопасното и ефективно обучение. Тази настройка представлява преглед на стъпките на високо ниво, така че ако имате нужда от по-задълбочено обяснение, разгледайте нашето ръководство тук.

Как да извършим проста WiFi атака Evil Twin

Когато става въпрос за изпълнение на Evil Twin WiFi атака, има различни налични инструменти. Някои от най-популярните включват Aircrack-ng, Fluxion и Airgeddon. Всички те са предназначени да рационализират и опростят процеса.

За нашата демонстрация днес ще използваме Airgeddon. Той се отличава с изчерпателните си функции и способността да автоматизира голяма част от процеса, включително създаването на фалшив пленен портал, създаването на SQL база данни за улавяне на пароли и създаването на DHCP сървър.

Нашата цел в тази демонстрация е да използваме тази техника за получаване на идентификационни данни за вход. Помнете, че макар това да може да се използва неетично, ние възнамеряваме да ви запознаем с рисковете и методите за защита от такива атаки. Избрахме избора по подразбиране във всяка опция, като просто натиснахме „Enter“.

Демонстрация стъпка по стъпка с помощта на Airgeddon

1. Стартирайте Airgeddon

Ако Airgeddon не е инсталиран на вашата система Kali Linux, можете да го инсталирате, като въведете sudo apt-get install airgeddon в терминала. След като бъде инсталиран, можете да стартирате инструмента, като въведете airgeddon и натиснете enter

Launch Airgeddon

 

2. Избор на интерфейс

При стартиране Airgeddon ще ви подкани да изберете мрежов интерфейс. Вашият външен безжичен адаптер трябва да се появи в този списък. Въведете съответния номер на вашия адаптер и натиснете Enter.

Choose Interface

3. Режим на монитор

Airgeddon ще ви попита дали искате да настроите избрания интерфейс в режим на монитор. Това е необходимо за улавяне на WiFi данни. Въведете съответната опция, за да настроите интерфейса в режим на наблюдение.

Enable Monitor Mode

4. Изберете мрежа за атака

От главното меню изберете опцията „Evil Twin AP attack“. След това Airgeddon ще започне да сканира за налични WiFi мрежи. След като мрежите бъдат изброени, изберете целевата си мрежа, като въведете съответния ѝ номер.

Explore for networks

Discovering nearby networks

Select the target network

 

5. Конфигуриране на точката за достъп или  Evil Twin

 

Airgeddon ще ви насочи към конфигуриране на точката за достъп Evil Twin (AP). Това включва създаване на нова точка за достъп, която е огледален образ на целта, включително SSID и MAC адрес. Airgeddon ще се справи с това автоматично, но ще ви подкани да потвърдите или да въведете конкретни данни.

Evil Twin Captive option

 

6. Атака за деавтентикация

След като злият близнак на AP е създаден, следващата стъпка е да принудите устройството на жертвата да се изключи от легитимния AP и да се свърже с вашия зъл близнак. Airgeddon ще автоматизира този процес, като изпрати пакети за деавтентикация, за да прекъсне връзката на жертвата с легитимното AP.

Select the deauth attack

Continue through the prompts for deauth

Successful handshake and PMKID capture

7. След това Airgeddon ще създаде фалшив портал за достъп

Този портал подканва потребителите, които се свързват с точката за достъп на зъл близнак, да въведат своята парола за WiFi, уж за повторно удостоверяване.

Captive portal in action

8. Заснемане на пълномощията

Веднага щом потребителят въведе пълномощията си в защитения портал, Airgeddon ще ги заснеме и ще ги покаже на вашия терминал.

Captive Portal page

От страна на потребителя той ще преживее деаутацията и веднага ще се свърже отново с AP Evil Twin. Демонстрирана е проста страница на Captive Portal, но може да бъде внедрена и по-сложна.

Credentials stored in Airgeddon

 

Усъвършенствани атаки на зъл близнак на WiFi

Сега, след като сме разбрали основите на атаката Evil Twin WiFi, нека се потопим в някои усъвършенствани тактики, които могат да подобрят този метод. Тези трикове могат да ви помогнат да направите капана си по-убедителен или да разширите възможностите на атаката си, но винаги помнете да ги използвате отговорно и етично.

Персонализиране на производителя (подслушване)

С помощта на MAC адреса на точката за достъп (AP) можете да идентифицирате нейния производител. Това ви позволява да адаптирате своя Evil Twin така, че да имитира истинската AP до детайлите на производителя, което прави атаката ви по-достоверна. Това е форма на подслушване, която помага да настроите измамата си така, че да отговаря на очакванията на целта.

Имитация на портали за вход (кражба на самоличност)

За да направим нещата по-реалистични, можем да имитираме портала за влизане в системата на целта. Това може да означава имитиране на корпоративен екран за влизане в системата и прихващане на идентификационните данни на Active Directory – ясен случай на кражба на цифрова идентичност, която потенциално може да компрометира цялата организация.

Имитация на AP за автоматично свързване (изтръгване на данни)

Вместо просто да се надяваме на ръчно свързване, защо да не изманипулираме целевото устройство да се свърже автоматично с нашия имитиращ AP? Чрез клониране на MAC адреса и други идентификатори на истинското AP можем да задействаме автоматични връзки, като създадем условия за изтръгване на данни за достъп, когато потребителят въведе данните си за вход.

Атака „човек по средата“ (подправяне на данни и отвличане на сесии)

С помощта на AP Evil Twin можем да уловим и анализираме преминаващия трафик. Интегрирането на инструменти като Bettercap или Wireshark ни позволява да прихващаме пакети с данни и потенциално да подправяме данните и да отвличаме сесии.

Интеграция със SET и BeEF (атаки с фармация)

Като съчетаем стратегията си с инструменти като Social-Engineer Toolkit (SET) и Browser Exploitation Framework (BeEF), можем да пренасочим трафика към фалшиви страници под наш контрол. Тези атаки за „фармация“ подвеждат потребителите да въведат своите идентификационни данни на фалшива страница за вход, като например заблуждаващ портал на Gmail или Microsoft 365.

Овладяване на ръчни инструменти (ексфилтрация на данни)

Въпреки че инструменти като Airgeddon автоматизират голяма част от работата, овладяването на ръчни тактики с помощта на aircrack-ng или airbase-ng дава повече контрол и разбиране. Тези знания могат да помогнат при по-напреднали сценарии, като например ексфилтриране на данни от мрежата след успешна атака.

Тези усъвършенствани техники подчертават обхвата на заплахите, които може да представлява една WiFi атака на Evil Twin. Потенциалът за злоупотреба е огромен – от подслушване до фармация. Като разбирате тези методи, можете по-добре да се снабдите със знания за защита на вашите мрежи и данни. И не забравяйте, че отговорният хакер е етичен хакер.

Заключение

Приключвайки, ние се ориентирахме в сложните канали на WiFi атаките на злия близнак – от разбирането на концепцията до изпълнението на основна операция и изследването на безбройните сложности на напредналите маневри. Подобно на необятно море, киберсигурността е постоянно променяща се и често може да се почувства непосилна, но не забравяйте, че всяко голямо пътешествие започва с една крачка, а днес направихте значителна крачка в разширяването на знанията си.

Въоръжени с тази информация, вие сте по-наясно със заплахите, които ни дебнат в нашия хиперсвързан свят, и сте по-добре подготвени да се борите с тях. Сега от вас зависи да се възползвате от тази основа и да я надградите, като преминете от разбиране към приложение, от теория към практика.

И така, какво следва по пътя ви към киберсигурността? Горещо ви препоръчвам да се потопите в един от следните курсове, всеки от които е създаден, за да ви осигури цялостно разбиране на мрежовата сигурност, като същевременно усъвършенства практическите ви умения. Не забравяйте, че най-добрата защита е доброто нападение. Бъдете любопитни, бъдете бдителни и продължавайте да повишавате квалификацията си!

Автор: Андрю ДеВито, StationX

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
Бъдете социални
Още по темата
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

QNAP отстранява 6 уязвимост...

QNAP е отстранила шест уязвимости в...
24/01/2025

Верижно свързани уязвимости...

Кибератакистите използват нов вектор на заплаха,...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!