首页 > 人物/事迹, 智能设备, 移动安全 > 也来黑记者:布鲁克林高地外无眠的夜晚(三)

也来黑记者:布鲁克林高地外无眠的夜晚(三)

2014年5月14日 发表评论 阅读评论 3,630次浏览    

原文:http://blog.spiderlabs.com/2013/12/hacking-a-reporter-sleepless-nights-outside-a-brooklyn-brownstone-part-3-of-3.html 

翻译:徐文博

该篇是三篇系列中的最后一篇(你可在这阅读第一篇第二篇),该系列深入的介绍了我们对记者Adam Penenberg的黑客情况,Adam也在10月份的潘多省日报上有篇文章对此描述。 前面两部分详细讲述了Josh Grunzweig, Matt Jakuboski和Daniel Chechik所做的用于攻击的恶意软件相关内容。 在这最后的文章里,Garret Picchioni,也就是我了(在前面的文章里,被投票认定来写最后的文章),将更多的讨论下现场和无线攻击部分的细节。

我和Matthew Jakubowski(Jaku), 都专注于蜘蛛实验室的网络渗透测试。当被问及是否有兴趣参与此活动时,我们毫不犹豫的就答应了。

无线攻击

这是此次活动中比较有挑战的部分,与传统的渗透测试有很大区别。通常我们为公司进行无线渗透测试时,都是预先给定了一系列的网络名称(SSIDs)的,所以我们不会浪费时间用于识别目标网络,也不会意外入侵到别人的网络。我们现在所面对的则略有不同:要能定位出Adam家的无线网络名称,同时又不能错误的入侵他人网络。

到达Adam家附近后,我们就做了一个快速的Wi-Fi扫描,发现问题要远比我们预想的复杂得多。 因为,在布鲁克林高地住着许多人,也就有了很多的无线网络。 用我们的无线设备对该Adam家附近进行的初次扫描中,就发现了超过1200个的无线节点。 鉴于没有像“Adam Peneberg’s House”这样明显的网络名称,我们不得不用些常规或者非常规的方法来识别确认他的网络。

由于要尽可能的隐蔽(Adam并不知道我们就在这),我们就租了一辆吉普车,停在离他家50码的地方,就在那开始了工作。这让我们避开了不必要的关注,同时也可以使用我们的高级无线设备(虽然看起来越来越普通了)。扫描时,我们发现许多网络名称包含了可能业主的姓和名。这就方便了我们划定范围。我们开始检查比对这些网络节点的名称,以确定它们的地理位置。有了这些信息,我就能根据无线信号的强度以及它们与Adam家的大致距离,绘制了一个网格。据此我就可以粗略的估计下Adam家的无线信号到底应该是怎样的强度范围。这进一步缩减了可能节点的范围,但仍有上百个。

考虑到无线电波的工作方式,仍然存在这么多可能节点的原因包括以下几点:

  1. Adam家所在的建筑和相邻的建筑都有住户

  2. 无线电波透过他的窗户,穿越街道让我们发现

  3. 而我们是在他建筑的后面扫描网络的

我们对可能网络的再次排除,发生在几天以后,这多亏了Charlotte的普拉提(Pilates)工作室。通过入侵无线网络,我们发现该区域的网络服务提供商(ISP)将无线路由/调制解调器和它的用户信息绑定,使用一串随机的字母做为默认的SSID。根据之前由我们的同事Wendel Henrique发给Adam的社工邮件, 我们知道他家的ISP是本地的另外一家提供的,所以这又帮我们排除了一部分可能的无线节点。

现在我们需要确定最后可能的节点了,这需要两项技术。考虑到我们是在他家建筑的后面捕捉无线网络信号,我就带着我的iPhone和一个接到我手提电脑低功率的无线天线,在距Adam家最远的街上晃悠。 这为我提供了一个仅限于这一块的无线网络列表,让我们将其从Adam家可能的无线节点中排除了。

然后,晚上时间我们开始在Adam的门旁的花盆后面安置了一个第一代的Eee电脑(Eee PC), 尝试扫描属于他家(或者很近)的无线网络。 然而,我们遇到了Eee电脑的稳定性问题。 首先,它的电池续航时间太差劲了,其次,它的无线驱动很不靠谱,导致Airodump扫描的结果掺杂不齐。 幸好,Jaku和我当初决定将所有可能的相关设备都带到纽约来。 我们宁可身边有不需要的东西以备不时之需,也不愿意在需要时却找不到(拉瓜迪亚的机场管理人员可是对我的50磅的背包翻得不亦乐乎啊)。那晚之前基本没睡觉,又搞了18个小时后,我们新提升的分析员Rich Alfaro(因为潜在的学习机会,我们带着一起来的)提醒我和Jaku,在宾馆房间堆积如山的技术设备中还有一个树莓派呢。

有了树莓派,我们就能在上面运行ARM编译版本的KaLi,里面有我们最喜欢的无线网卡和相应的驱动程序。我们开始搞一个设备,放在一个小袋内,然后搁在Adam家的花盆里。最终我们完成了一件艺术品啊,当然也不是没有问题(长期不睡觉对此特别有帮助^_^)。我们将两块无线网卡连到树莓派上, 一个用于扫描无线网络, 一个用于捕捉WPA的握手连接(设备向路由发送的用于认证的无线网络密码的加密对话)。理论上,我们可以在同一张网卡上来做这两件事。但由于扫描时,频繁的切换频道,我们不想错过WPA握手连接或者只捕捉到其中一部分。 我们也把iPhone连到了树莓派上,这样它能将数据传送到我们的虚拟服务器上,允许我们无需到Adam的家门旁就能操作设备。

我的iPhone上也装了个很棒的app应用,用于定位丢失或被偷的iPhone(这让苹果自身的Find my iPhone看起来是个很业余的东西),以防有人发现我的包,偷走我们的设备。整套装置由一个外置的电池供电,大概可以供16到18小时的使用。

First iteration of the wireless device

图1:最初的无线设备

Wireless device inside bag being used against Adam’s network with a high gain Yagi Antenna

图2:包里的无线设备,有高增益的八木天线,正用于扫描Adam的网络

然后,我们将整套装置放到袋里,搁置在花盆后面,在日落前取回。其中最大的问题就是iPhone的连接, 特别不可靠,老是掉线,浪费了大量时间。 这让我们成了睁眼瞎,如果要与其交互,还得我们手动的切换设备频道,通过蓝牙的串口连接,直接进行命令行的操作。有一晚,我正躲藏在Adam家门旁的角落里使用蓝牙时,Adam回家来了,这可把我吓坏了。

设备运行一晚后,我们最终有了20个可能的无线网络。无线流量劫持的一个优点就是可以看到都有哪些设备连到了或者关联到了无线节点上。上网搜寻,翻阅Adam的文章之后,我们知道他只使用苹果的产品。从最终的20个名单中,我们找到了两个网络节点,它们都有相当数量的苹果产品与其关联。虽然我们无法详细阐述为什么没有直接的关于Adam家网络的信息,但我们还是确定其中一个很有可能就是。这一点,也很巧合的被证实了,在Charlotte的手提电脑第一次返回连接时。使用OSX的命令行,我们确定了她正连接的无线网络,以及之前连接的网络。

此时,我们又租了一辆吉普车,以便对Adam家的无线网络进行基本的攻击。因为一些高度警惕的邻居(奇怪的是,没人报警抓我们),我们得将设备(也包括我自己)隐藏在后备箱里,只将一直在用的天线露出来了。 这一天的很大一部分时间,我都在车的后备箱里工作(却也很舒服),攻击Adam家的无线网络,试图获取到WPA握手连接。 通常,这是个一劳永逸的事。我们本可以打开树莓派,离开,数小时后回来收拾战利品即可。但我们发现过多的使用了树莓派,已经消耗了大量的电量。成了瞎眼设备,我们只能手动的处理了。

Attacking Adam’s wireless network

图3:正在攻击Adam家的无线网络

后来很不幸的证实,这是在浪费时间,因为在我们工作的时候,Adam的设备都没有连到无线网络上,在供电电池消耗完之前也没有连接。 所以,那晚我们又回来了,在他家门旁开搞。发现有设备连接了,我们开始捕捉WPA握手连接。要捕捉到WPA握手连接,当然需要有设备与无线网络关联。 如果所有的设备都已经连接了,我们就有了麻烦。 所以, 我们对关联的设备进行了去认证攻击。为此,我们仅对特定的设备发送伪造的报文,让它断开与无线网络的连接。一旦它们尝试再次连接时,我们就获取到WPA握手连接了。将其发送到蜘蛛实验室的密码破解服务器上,差不多15分钟就搞定了。有了密码,我们就取得了对无线网络的完全控制。

我想向更多的人致谢,他们对此次行动给予了帮助: Josh GrunzweigDaniel Chechik, Wendel Henrique, Jonathan Werrett, and Keith Lee 。Wendel, Jonathan, 和Keith都做了大量的针对Adam的攻击。

(全文完)

版权声明:自由转载-非商用-非衍生-保持署名 | Creative Commons BY-NC-ND 3.0
  1. 本文目前尚无任何评论.