内容来源: 2018 年 9 月 18 日,360集团无线安全负责人柴坤哲在“2018第三届SSC安全峰会-白帽子之夜”进行《后无线渗透利用的艺术与未卜先知》的演讲分享。IT 大咖说作为独家视频合作方,经主办方和讲者审阅授权发布。
阅读字数: 2828 | 8分钟阅读
获取嘉宾演讲视频及PPT ,请点击:t.cn/EAdw9Pe。
摘要
现在无线基本上已经非常普遍了,基本上哪里都可以搜索到wifi,因此企业会面临的各种安全问题。我们今天就来聊聊无线安全相关的一些东西。
无线安全隐患无线的不安全性,相信无论是公司还是个人都有所了解。但是很多公司在制定相关防御标准或体系的时候,往往都没有将无线安全作为一个关注点。因为他们虽然知道无线不安全,却不知道其不安全的点到底在哪。
现在无线基本上已经非常普遍了,基本上哪里都可以搜索到wifi。因此企业会面临的各种安全问题,首先无线是信号扩散的,不像传统有线安全一样,只要搞定地插就够了。另一方面是企业的高管,他们的无线账号或手机里包含很多高权限的东西,比如更高的访问权限,手机里有更多数据,这使得公司更容易被攻击。因此我们要保护的不单单是公司的整个防御体系,还有个人设备的无线安全。
上图是国内WiFi加密图示,其中WEEK是弱加密,也就是纯数字的密码。需要提到的是,不管是腾讯免费wifi、360免费wifi还是其他的工具,都有一个特定标准,就是不能上传基于EAP的加密方式,也就是不能针对企业用户。
前面提到的那些WiFi,其实只有0.4%是存在高风险的。所谓高风险是指各大厂商通过wifi发现其中有ARP碎片、DNS碎片或者对内网的攻击方式的哪一类。生活中一旦连接到这些有风险的wifi,我们的资产和数据就会面临被黑的风险。
前面主要讲的是C端方面,现在来看下提供wifi接入的设备厂商的漏洞树状图。图中的标题是IoT Device,所以并不仅指无线解决方案。我们在渗透中遇见最多是H3C的解决方案,可能是因为它便宜吧。
上图的报告记录了移动设备相关的wifi安全情况。以下是从该报告中提取出来的数据。
81% 的CIO表示企业在过去一年发生过与WiFi相关的安全事件
57% 的CIO怀疑过去一年中企业的移动员工被黑,或者导致相关的移动安全问题。
62% 的WiFi相关安全事件发生在咖啡馆中。
94% 的CIO认为BYOD的兴起加剧了移动安全风险。
46% 的受访企业表示其员工在公共WiFi场所每次上网都会使用移动VPN。
案例
这是我们在做渗透测试的拓扑图,黑客可能会先通过无线客户端的方式实施攻击,如果拿下了客户端,就说明已经拿到了登录凭证,并能以此进入内网。另一种是针对企业大楼的无线解决方案入侵,这种相对来说比较简单,因为一般来说只有在搞不定大楼的时候黑客才会去入侵客户端。
由于某些需求,员工往往会尝试通过私接路由器或者利用随身wifi产品的方式来建立无线热点,并且大多没有采用安全的加密模式。对于入侵者来说这就是非常大的安全点,而且扩散出的wifi会具备本机所有的访问权限。
弱口令可以说是一个历史遗留问题,这里给大家讲一个案例。我们渗透的是一个国内的基础设施,它有一个大的内网。这个节点的wifi完全没有加密,整个网络拓扑非常混乱,所有设备都在一个WLAN中。我们接入wifi后扫描到了190多个设备,里面包含视频镜像服务器、文件服务器、员工电脑、打印机等等。作为一位粗暴的选手,我们一开始就直接使用弱密码一顿撞,然后拿到了这个节点的控制权限。
之后我们还想通过入侵核心网络拿到全国所有相关基础设施的控制权限。但一般情况下网段之间是有网络访问控制权限的,在这个网络里也一样,无法通过现有网络直接访问到核心网。
在依次登录节点中的设备后,我们发现其中一台视频镜像服务器有双网卡,另一个网络就是核心网。最终我们利用这台机器作为跳板入侵到了核心网。
还有一个案例是针对国内航空公司信息化部的渗透。无论是无线渗透还是物理渗透都要有一个能搜到他们公司WiFi的地方,一般在连上WiFi之后会弹出网页让你输入用户名和密码登录,这种叫做portal网络,在该网络环境下想要访问内网资源必须进行验证。
Portal认证机和内网的核心机器一定是有互访权限的,也就是说只要搞定了portal就能够实现内网漫游。我们所渗透的网络的portal认证机其中的某一个参数正好可以用于入侵攻击,使得我们轻松拿下了它的访问权限。
很多人都喜欢将portal网络称之为加密方式,但是加密最重要的是数据包加密,而portal网络中数据包全部是明文的,所以个人更认为它是一种准入方式。所有的HTTP、TCP请求都会重定向到portal认证机上。
Portal的问题主要有这几个,一数据没有加密,二无法防御中间人攻击,三portal机器本身的问题会直接导致ACL绕过,最关键的还是MAC地址欺骗。
后无线和未卜先知我们团队并不是每个人都在做无线安全相关研究的,也有做windows、linux相关渗透的同学,这让我们有很多时间用于思维碰撞上,从多个角度看待安全问题,在传统安全和无线安全之间寻找一个交点。
简单说一个相关案例。SMB攻击大概是windows数十年以来的一个缺陷。我们都知道在连接上portal之后会跳出登录网页,如果对这个网页做些手脚会怎么样呢?
比如在页面中插入img图片标签,请求地址是内网共享服务器地址。这时如果使用的是windows电脑,它就会将hash自动发出去一份,而我们可以将这个hash重放到exchange服务器上,然后再利用exchange的漏洞执行恶意文件,比如网页打开的同时跳出计算器之类的。
其实后无线安全是个人的一个安全理念,关键词是结合。比如将移动安全、无线电安全、传统安全等和无线安全结合起来。
2018年6月,Wi-Fi联盟组织正式推出了准WPA3。通过从头设计解决WPA2中的技术缺陷,缓解Krack、De-auth等无线攻击,增强了配置、身份验证和加密上的安全与功能。该标准同样包括Person、Enterprise两种模式,同时还可以应用于物联网领域。
这套标准想要普及可能还需要1、2年时间,在这段时间内我们会针对WPA3进行一些安全研究,也就是标题中说的未卜先知。
以上为今天的分享内容,谢谢大家!
