Добре дошли в задълбоченото изследване на WiFi атаките на злите близнаци. Ако някога сте се чудили как хакерите имитират надеждни безжични мрежи, за да уловят поверителна информация, предстои ви да навлезете в област, в която всичко не е такова, каквото изглежда.
В началото ще разгадаем концепцията за атака Evil Twin, като ще изследваме двойните ѝ приложения в етичното хакерство и злонамерените експлойти. След това преминаваме към създаването на вашата експериментална лаборатория, което изисква специфичен хардуер и настройки.
Практическата част започва с проследяване на основна Evil Twin WiFi атака, като се използва силата на Airgeddon за опростяване на тази многостранна операция. Тази инструкция стъпка по стъпка ще ви гарантира, че ще разберете тънкостите на процедурата.
В заключение ще навлезем в света на усъвършенстваните Evil Twin WiFi атаки. Ще засегнем начините за повишаване на надеждността на вашия Зъл близнак, ще обсъдим интегрирането на тази техника с други стилове на атака и ще подчертаем безбройните заплахи, които могат да възникнат от такива маневри – от подслушване до фармиране.
Представете си, че сте в любимото си кафене, отпивате от латето и сърфирате в интернет през безплатния им Wi-Fi. Това, което не знаете, е, че мрежата, към която сте свързани, изобщо не е официалната мрежа на кафенето. Тя е почти идеален дубликат, създаден от някой с лоши намерения. Свързали сте се към зъл двойник.
Често срещан сценарий за атака от типа Evil Twin се случва на обществени места с безплатен Wi-Fi. На такива места потребителите обикновено не проверяват автентичността на мрежата, което улеснява нападателите да ги измамят.
Зъл близнак е измамна точка за достъп до Wi-Fi (AP), която е огледален образ на легитимна такава. Тя споделя същото име (SSID) и често същия MAC адрес. Този кибермираж може да се използва за етични и неетични цели.
Хакерите с „черна шапка“ използват Evil Twins, за да прихващат чувствителна информация от нищо неподозиращи потребители. Като заблуждават потребителите да се свържат със зъл близнак, те могат да прихванат важни данни като данни за вход и информация за кредитни карти.
Обратно, етичните хакери използват подхода Evil Twin, за да помогнат за укрепване на сигурността на организационната мрежа. Чрез симулиране на атаки от типа „Зъл близнак“ те идентифицират и поправят мрежови уязвимости, преди те да бъдат използвани по злонамерен начин.
Ето опростена разбивка на начина, по който се развива една атака Evil Twin:
С разбирането на процеса, който стои зад атаката Evil Twin, предприемате важна стъпка към подобряване на разбирането си за заплахите за мрежовата сигурност. С развитието на технологиите се развиват и тактиките и техниките на тези, които искат да се възползват от тях. Сега нека видим това в действие.
ОТКАЗ ОТ ОТГОВОРНОСТ
Искаме да сме напълно наясно по този въпрос. Въпреки че може да изглежда достатъчно невинно да извършите сканиране на безжичната мрежа на съседа си, на сървър, на който се хоства уебсайт, или на други мрежи, не го правете. Необходимо ви е разрешението на собственика на мрежата, за да извършвате каквото и да е хакерство или тестване за проникване в неговите системи.
Това може да не изглежда като голяма работа, но хакването или дори сканирането на система без разрешение може да доведе до изключително строги правни санкции, включително затвор, в зависимост от местоположението ви. Такива закони включват:
Закон за компютърните измами и злоупотреби (САЩ)
Членове 184, 342.1, 380 и 430 от Наказателния кодекс на Канада (Канада)
Закон за компютърните злоупотреби от 1990 г. (Англия)
Членове 202а и 202б от Наказателния кодекс на Германия (Германия)
Закон за информационните технологии, чл. 43 и 66 (Индия)
Закон за забрана на неоторизирания достъп до компютри (Япония)
За да се възползвате максимално от тази статия и да настроите успешно Evil Twin, ще трябва да подготвите някои основни хардуерни устройства и да конфигурирате операционната си система. Препоръчваме Kali Linux и ще я използваме тук. Ако използвате друга операционна система, просто обърнете внимание на подканите в Airgeddon по-късно, тъй като може да нямате предварително инсталирани всички библиотеки (Airgeddon ще ви насочи). Ето кратък преглед на това, което ще ви е необходимо, и как да го настроите:
Работата с безжична мрежа изисква безжична карта с две специални възможности:
За съжаление, повечето вградени мрежови карти не са оборудвани с тези функции. Външна мрежова карта обаче ще свърши работа. За нашите тестове използвахме Wi-Fi адаптера MK7AC от Hak5 с Kali Linux 2023.2.
За много други инструменти всеки WiFi адаптер с монитор и инжектиране ще работи за злия близнак (фалшив AP), докато допълнителни инструменти работят с по-преднамерен пленен портал, за да изпълнят този тип атака.
Въпреки това начинът, по който Airgeddon се справя с бързото, ad hoc разгръщане както на фалшивия AP, така и на портала в плен, изисква допълнителни функции. По-конкретно, той разчита на виртуален интерфейс (VIF) за ефективно разделяне на вашия WiFi адаптер на две логически устройства, подобно на дял от твърдия диск.
Тази виртуализация се поддържа само от ограничен брой WiFi адаптери, като например някои от чипсетите на MediaTek и Ralink. Преди да продължите със стъпките за настройка по-долу, проверете дали разполагате с приемлив чип. Ние използвахме Wi-Fi адаптера MK7AC с чипсет MediaTek MT7612U, тъй като той поддържа VIF.
Можете да заобиколите това, като използвате два WiFi адаптера заедно, като поне единият може да работи в режим на наблюдение за фалшивата точка за достъп.
Ако Kali Linux е нов за вас, разгледайте нашето ръководство за инсталиране на Kali Linux във VirtualBox. След като сте готови с Kali Linux, следвайте тези стъпки, за да свържете безжичния си адаптер:
Това е всичко! Вашият Kali Linux вече е готов за работа. След това ще създадем нашата тренировъчна лаборатория. Започваме да работим!
Преди да започнем, от решаващо значение е да създадем сигурна и изолирана тренировъчна лаборатория. Ето един опростен подход стъпка по стъпка:
След като други устройства могат да открият мрежата ви, можете да започнете настройката на Evil Twin. Тази самостоятелна лабораторна среда е от съществено значение за безопасното и ефективно обучение. Тази настройка представлява преглед на стъпките на високо ниво, така че ако имате нужда от по-задълбочено обяснение, разгледайте нашето ръководство тук.
Когато става въпрос за изпълнение на Evil Twin WiFi атака, има различни налични инструменти. Някои от най-популярните включват Aircrack-ng, Fluxion и Airgeddon. Всички те са предназначени да рационализират и опростят процеса.
За нашата демонстрация днес ще използваме Airgeddon. Той се отличава с изчерпателните си функции и способността да автоматизира голяма част от процеса, включително създаването на фалшив пленен портал, създаването на SQL база данни за улавяне на пароли и създаването на DHCP сървър.
Нашата цел в тази демонстрация е да използваме тази техника за получаване на идентификационни данни за вход. Помнете, че макар това да може да се използва неетично, ние възнамеряваме да ви запознаем с рисковете и методите за защита от такива атаки. Избрахме избора по подразбиране във всяка опция, като просто натиснахме „Enter“.
Ако Airgeddon не е инсталиран на вашата система Kali Linux, можете да го инсталирате, като въведете sudo apt-get install airgeddon в терминала. След като бъде инсталиран, можете да стартирате инструмента, като въведете airgeddon и натиснете enter
При стартиране Airgeddon ще ви подкани да изберете мрежов интерфейс. Вашият външен безжичен адаптер трябва да се появи в този списък. Въведете съответния номер на вашия адаптер и натиснете Enter.
Airgeddon ще ви попита дали искате да настроите избрания интерфейс в режим на монитор. Това е необходимо за улавяне на WiFi данни. Въведете съответната опция, за да настроите интерфейса в режим на наблюдение.
От главното меню изберете опцията „Evil Twin AP attack“. След това Airgeddon ще започне да сканира за налични WiFi мрежи. След като мрежите бъдат изброени, изберете целевата си мрежа, като въведете съответния ѝ номер.
Airgeddon ще ви насочи към конфигуриране на точката за достъп Evil Twin (AP). Това включва създаване на нова точка за достъп, която е огледален образ на целта, включително SSID и MAC адрес. Airgeddon ще се справи с това автоматично, но ще ви подкани да потвърдите или да въведете конкретни данни.
След като злият близнак на AP е създаден, следващата стъпка е да принудите устройството на жертвата да се изключи от легитимния AP и да се свърже с вашия зъл близнак. Airgeddon ще автоматизира този процес, като изпрати пакети за деавтентикация, за да прекъсне връзката на жертвата с легитимното AP.
Този портал подканва потребителите, които се свързват с точката за достъп на зъл близнак, да въведат своята парола за WiFi, уж за повторно удостоверяване.
Веднага щом потребителят въведе пълномощията си в защитения портал, Airgeddon ще ги заснеме и ще ги покаже на вашия терминал.
От страна на потребителя той ще преживее деаутацията и веднага ще се свърже отново с AP Evil Twin. Демонстрирана е проста страница на Captive Portal, но може да бъде внедрена и по-сложна.
Сега, след като сме разбрали основите на атаката Evil Twin WiFi, нека се потопим в някои усъвършенствани тактики, които могат да подобрят този метод. Тези трикове могат да ви помогнат да направите капана си по-убедителен или да разширите възможностите на атаката си, но винаги помнете да ги използвате отговорно и етично.
С помощта на MAC адреса на точката за достъп (AP) можете да идентифицирате нейния производител. Това ви позволява да адаптирате своя Evil Twin така, че да имитира истинската AP до детайлите на производителя, което прави атаката ви по-достоверна. Това е форма на подслушване, която помага да настроите измамата си така, че да отговаря на очакванията на целта.
За да направим нещата по-реалистични, можем да имитираме портала за влизане в системата на целта. Това може да означава имитиране на корпоративен екран за влизане в системата и прихващане на идентификационните данни на Active Directory – ясен случай на кражба на цифрова идентичност, която потенциално може да компрометира цялата организация.
Вместо просто да се надяваме на ръчно свързване, защо да не изманипулираме целевото устройство да се свърже автоматично с нашия имитиращ AP? Чрез клониране на MAC адреса и други идентификатори на истинското AP можем да задействаме автоматични връзки, като създадем условия за изтръгване на данни за достъп, когато потребителят въведе данните си за вход.
С помощта на AP Evil Twin можем да уловим и анализираме преминаващия трафик. Интегрирането на инструменти като Bettercap или Wireshark ни позволява да прихващаме пакети с данни и потенциално да подправяме данните и да отвличаме сесии.
Като съчетаем стратегията си с инструменти като Social-Engineer Toolkit (SET) и Browser Exploitation Framework (BeEF), можем да пренасочим трафика към фалшиви страници под наш контрол. Тези атаки за „фармация“ подвеждат потребителите да въведат своите идентификационни данни на фалшива страница за вход, като например заблуждаващ портал на Gmail или Microsoft 365.
Въпреки че инструменти като Airgeddon автоматизират голяма част от работата, овладяването на ръчни тактики с помощта на aircrack-ng или airbase-ng дава повече контрол и разбиране. Тези знания могат да помогнат при по-напреднали сценарии, като например ексфилтриране на данни от мрежата след успешна атака.
Тези усъвършенствани техники подчертават обхвата на заплахите, които може да представлява една WiFi атака на Evil Twin. Потенциалът за злоупотреба е огромен – от подслушване до фармация. Като разбирате тези методи, можете по-добре да се снабдите със знания за защита на вашите мрежи и данни. И не забравяйте, че отговорният хакер е етичен хакер.
Приключвайки, ние се ориентирахме в сложните канали на WiFi атаките на злия близнак – от разбирането на концепцията до изпълнението на основна операция и изследването на безбройните сложности на напредналите маневри. Подобно на необятно море, киберсигурността е постоянно променяща се и често може да се почувства непосилна, но не забравяйте, че всяко голямо пътешествие започва с една крачка, а днес направихте значителна крачка в разширяването на знанията си.
Въоръжени с тази информация, вие сте по-наясно със заплахите, които ни дебнат в нашия хиперсвързан свят, и сте по-добре подготвени да се борите с тях. Сега от вас зависи да се възползвате от тази основа и да я надградите, като преминете от разбиране към приложение, от теория към практика.
И така, какво следва по пътя ви към киберсигурността? Горещо ви препоръчвам да се потопите в един от следните курсове, всеки от които е създаден, за да ви осигури цялостно разбиране на мрежовата сигурност, като същевременно усъвършенства практическите ви умения. Не забравяйте, че най-добрата защита е доброто нападение. Бъдете любопитни, бъдете бдителни и продължавайте да повишавате квалификацията си!
Автор: Андрю ДеВито, StationX
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.