雷鋒網(wǎng)編者按：本周，關(guān)于“最強(qiáng) Wi-Fi 漏洞影響所有設(shè)備”的新聞賺足了安全圈的眼球，各路安全研究員第一時(shí)間對(duì) WPA2 協(xié)議漏洞產(chǎn)生原因以及如何應(yīng)對(duì)進(jìn)行了研究，本文的研究團(tuán)隊(duì)針對(duì)企業(yè)安全，提出了利用WIPS產(chǎn)品，來(lái)幫助抵御 KRACK 攻擊等無(wú)線安全攻擊威脅。本文為360天馬安全團(tuán)隊(duì) & 360天巡實(shí)驗(yàn)室的投稿，雷鋒網(wǎng)在不改變作者原意的基礎(chǔ)上進(jìn)行了編輯整理。

作者：360天馬安全團(tuán)隊(duì) & 360天巡實(shí)驗(yàn)室

近日，有安全研究員披露 WPA2 協(xié)議層中存在邏輯缺陷，幾乎所有支持 Wi-Fi 的設(shè)備都面臨威脅，其傳輸?shù)臄?shù)據(jù)存在被嗅探、篡改的風(fēng)險(xiǎn)。攻擊者可獲取 Wi-Fi 網(wǎng)絡(luò)中的數(shù)據(jù)信息，如信用卡、郵件、賬號(hào)、照片等，危害巨大。對(duì)于用戶而言，應(yīng)該關(guān)注設(shè)備廠商安全公告，及時(shí)更新修補(bǔ)漏洞。而對(duì)于企業(yè)而言，除了督促員工盡快更新設(shè)備外，還可以利用 WIPS 產(chǎn)品來(lái)幫助抵御 KRACK 攻擊等無(wú)線安全攻擊威脅，保護(hù)企業(yè)內(nèi)部的 WiFI 設(shè)備安全。

本文將以KRACK攻擊為例，介紹 WIPS 產(chǎn)品為何能快速支持 KRACK 攻擊檢測(cè)并進(jìn)行防御，雷鋒網(wǎng)進(jìn)行了編輯整理。

一.什么是WIPS

WIPS（無(wú)線入侵防御系統(tǒng)）是針對(duì)企業(yè)無(wú)線應(yīng)用環(huán)境的安全威脅發(fā)現(xiàn)與防護(hù)系統(tǒng)，通過(guò)將無(wú)線通信技術(shù)、無(wú)線攻防、數(shù)據(jù)分析與挖掘等技術(shù)相結(jié)合，確保企業(yè)的無(wú)線網(wǎng)絡(luò)邊界安全、可控。

較為出名的 WAIDPS，便是一款由 Python 編寫的無(wú)線入侵檢測(cè)工具，基于Linux平臺(tái)，完全開源。它可以探測(cè)包括 WEP/WPA/WPS 在內(nèi)的無(wú)線入侵&攻擊方式，并可以收集周邊WiFi相關(guān)的所有信息。 

1.WIPS（無(wú)線入侵防御系統(tǒng)）基本架構(gòu)

WIPS 通常采用采用 B/S 或者 C/S 架構(gòu)，收發(fā)引擎分布式部署在企業(yè)辦公環(huán)境中，將收集到的熱點(diǎn)信息傳給中控服務(wù)器。管理員通過(guò)通過(guò)管理平臺(tái)查看企業(yè)內(nèi)部熱點(diǎn)信息，對(duì)捕獲到的攻擊行為進(jìn)行告警，并對(duì)惡意、違規(guī)的熱點(diǎn)進(jìn)行阻斷。 

2.基本功能

利用 WIPS 產(chǎn)品可以查看并管理企業(yè)內(nèi)可信熱點(diǎn)、未知熱點(diǎn)；識(shí)別并告警可疑攻擊行為；快速響應(yīng) WiFi攻擊及威脅事件。能夠有效防止惡意熱點(diǎn)、未知及外部熱點(diǎn)、偽造熱點(diǎn)、未授權(quán)移動(dòng)終端等可能帶來(lái)的安全隱患，從而保護(hù)企業(yè)的無(wú)線網(wǎng)絡(luò)安全。

 

分布式部署在企業(yè)辦公環(huán)境中的收發(fā)引擎將會(huì)回收整個(gè)區(qū)域內(nèi)所有 802.11 原始數(shù)據(jù)并進(jìn)行分析識(shí)別，如：

● 熱點(diǎn)、客戶端識(shí)別

■ 回收熱點(diǎn)、客戶端BSSID、ESSID、PWR、OUI & Loc等信息。

■ 判斷并標(biāo)記惡意熱點(diǎn)、未授權(quán)熱點(diǎn)、錯(cuò)誤配置熱點(diǎn)（弱密碼、有漏洞的加密協(xié)議）。

■ 發(fā)現(xiàn)客戶端未授權(quán)連接。

■ ..

● 攻擊行為識(shí)別

■ 檢測(cè)MDK3去認(rèn)證攻擊

■ 檢測(cè)偽造合法熱點(diǎn)攻擊

■ 檢測(cè)偽造MAC地址攻擊

■ 檢測(cè)Aircrack-NG無(wú)線破解攻擊

■ ..

3.無(wú)線攻擊識(shí)別規(guī)則

由于后文對(duì) KRACK 攻擊的檢測(cè)方法涉及檢測(cè)偽造熱點(diǎn)，此處便以此為例進(jìn)行說(shuō)明。

偽造熱點(diǎn)攻擊（Evil-Twin）是眾多無(wú)線攻擊方法中，成本較低、效果較好的一種，因此及時(shí)地發(fā)現(xiàn)并阻斷釣魚熱點(diǎn)是非常必要的。常見的偽造熱點(diǎn)攻擊檢測(cè)方法有：熱點(diǎn)常規(guī)信息檢測(cè)、登錄憑證驗(yàn)證檢測(cè)、時(shí)鐘偏差檢測(cè)等方式。

● 常規(guī)信息檢測(cè)

利用目標(biāo) AP 的 Beacon、Interval、SSID、Channel 及其他無(wú)線信息進(jìn)行比較得出判斷。

● 憑證驗(yàn)證檢測(cè)

利用 AP 登記保存的憑證信息向目標(biāo)設(shè)備發(fā)起連接，若成功再用錯(cuò)誤密碼嘗試連接，若提示錯(cuò)誤則證明是合法熱點(diǎn)。

● 時(shí)鐘偏差檢測(cè)等方式

通過(guò)計(jì)算兩個(gè)相鄰信標(biāo)幀之間的 timestamp 間隔差異，即時(shí)鐘偏差，與預(yù)先設(shè)定的閾值進(jìn)行比較來(lái)檢測(cè)偽 AP。如果 AP 的時(shí)鐘偏差值與特征庫(kù)中儲(chǔ)存的偏差值不一樣，則可認(rèn)定這個(gè) AP 為一個(gè)無(wú)線釣魚 AP。 

▲如上圖就是一個(gè) Python 利用 Scapy 模塊以實(shí)現(xiàn)通過(guò)時(shí)鐘偏差檢測(cè)識(shí)別釣魚熱點(diǎn)的示例

二.KRACK攻擊原理分析

本次的 WPA2“密鑰重裝攻擊”，基本原理為：利用 WPA 協(xié)議層中的邏輯缺陷，多次重傳握手過(guò)程中的消息3從而導(dǎo)致重放隨機(jī)數(shù)和重播計(jì)數(shù)器，為攻擊者提供了利用條件。

在協(xié)議標(biāo)準(zhǔn)中還存在一條危險(xiǎn)的注釋“一旦安裝后，就可從內(nèi)存中清除加密密鑰”，若按此注釋進(jìn)行實(shí)現(xiàn)，在密鑰重裝攻擊時(shí)會(huì)從內(nèi)存中取回已經(jīng)被0覆蓋的 key 值，從而導(dǎo)致客戶端安裝了值全為零的秘鑰。而使用了含漏洞 wpa_supplicant 版本的 Linux 及 Android 設(shè)備便因此遭受嚴(yán)重威脅。

1.KRACK攻擊利用方式（攻擊視頻分析）

①首先測(cè)試設(shè)備連接真實(shí)的 testnetwork 網(wǎng)絡(luò)↓↓↓

②開啟 WireShark 監(jiān)聽并在稍后被設(shè)為釣魚熱點(diǎn)的網(wǎng)卡↓↓↓

③攻擊演示：

真實(shí)熱點(diǎn) Real AP： 

SSID：testnetwork

Mac：bc:ae:c5:88:8c:20

Channel：6

被攻擊客戶端 Target：

SSID: 90:18:7c:6e:6b:20

偽造同名同 MAC 熱點(diǎn)（Rouge AP）：

SSID： testnetwork

Mac：bc:ae:c5:88:8c:20

Channel：1（信道不同）

▲注入CSA beacon pairs 將客戶端信道變?yōu)?，也就是迫使客戶端Target與Rouge AP通信。偽AP向目標(biāo)Target發(fā)送Disassociate數(shù)據(jù)包，使其解除關(guān)聯(lián)。

④利用網(wǎng)卡建立目標(biāo) AP 的偽造熱點(diǎn)，迫使客戶端連接到偽造熱點(diǎn)上。此時(shí)設(shè)備經(jīng)歷重連，WiFI 狀態(tài)為正在認(rèn)證。

當(dāng)目標(biāo) targe 與真實(shí) AP 完成認(rèn)證過(guò)程，準(zhǔn)備發(fā)起連接時(shí)，注入CSA beacon pairs，使信道切換到 Channel 1 實(shí)施中間人攻擊，同時(shí)客戶端狀態(tài)保持在 State 2，接下來(lái)開始發(fā)送四次握手中的 Message 3，實(shí)施密鑰重新安裝（Key Reinstallation Attack）攻擊。 

⑤此時(shí)密鑰重裝攻擊已經(jīng)執(zhí)行成功，客戶端已連接上偽造熱點(diǎn)： 

⑥在此偽造熱點(diǎn)中，被攻擊端所有流量皆可被嗅探、篡改；演示視頻中使用經(jīng)典的 MITM 工具 sslstrip 對(duì) HTTPS 進(jìn)行降級(jí)，便可獲取用戶傳輸?shù)拿魑馁~號(hào)信息。

⑦用戶提交的賬號(hào)信息便可被獲?。?/span>

2.檢測(cè)KRACK的幾種途徑

之前有講到 KRACK 的攻擊原理，根據(jù)現(xiàn)有 KRACK 的 Demo 來(lái)看，攻擊者的主要利用方式為：在被攻擊客戶端與正常AP建立連接時(shí)，攻擊代碼（POC）“克隆”了被攻擊客戶端所連接的AP，建立了一個(gè)相同 BSSID、ESSID，但 Channel 不同的熱點(diǎn)；通過(guò)發(fā)送 Disassociate Frame 迫使被攻擊客戶端解除關(guān)聯(lián)，此時(shí)設(shè)備經(jīng)歷重連；準(zhǔn)備重新與正常AP發(fā)起連接時(shí)，注入CSA beacon pairs(Channel Switch Announcement)，使信道切換到惡意AP所在信道，實(shí)施中間人攻擊；同時(shí)客戶端狀態(tài)保持在State 2（通過(guò)對(duì)訪問(wèn)點(diǎn)進(jìn)行身份驗(yàn)證的身份驗(yàn)證狀態(tài)），接下來(lái)開始發(fā)送四次握手中的Message 3，實(shí)施密鑰重新安裝（Key Reinstallation Attack）攻擊，即可與偽AP建立正常連接通信。

 

根據(jù)以上攻擊流程，我們分析便得出 KRACK 現(xiàn)有的攻擊方式特征，并能據(jù)此添加對(duì) KRACK 攻擊進(jìn)行檢測(cè)：

 

1. 建立同 ESSID、BSSID 但不同Channel 的 Rouge AP；

2. 向客戶端發(fā)送異常 Deauth／Disassociate Frame；

3. 重新發(fā)送四次握手中的 message3 強(qiáng)制重置 nonce，相同IV；

4. Sequence Number 和 Timestamp 亂序；

5. Client 在建立握手的時(shí)候切換 Channel；

三.紅藍(lán)對(duì)抗演示

作為使用 WPA2 協(xié)議設(shè)備的用戶來(lái)說(shuō)，官方的解決方案是等待協(xié)議漏洞的修復(fù)與廠家設(shè)備的升級(jí)。在企業(yè)環(huán)境中，能否將無(wú)線防護(hù)的主動(dòng)權(quán)掌握在自己手中呢。安全專家的建議是企業(yè)應(yīng)合理部署WIPS，但是WIPS能否抵御這種突如其來(lái)的無(wú)線安全威脅呢？

在詳細(xì)分析了黑客的攻擊過(guò)程后，天巡實(shí)驗(yàn)室準(zhǔn)備進(jìn)行一場(chǎng)紅黑對(duì)抗，一組扮演黑客模擬相同的攻擊手段進(jìn)行無(wú)線攻擊；另一組實(shí)驗(yàn)人員扮演企業(yè)管理員進(jìn)行無(wú)線防護(hù)，同時(shí)在實(shí)驗(yàn)環(huán)境內(nèi)部署 WIPS，測(cè)試 WIPS的防御效果。

1. 首先建立 testnetwork 熱點(diǎn)，企業(yè)用戶連接該熱點(diǎn)并通過(guò)認(rèn)證后可訪問(wèn)企業(yè)內(nèi)網(wǎng)資源；通過(guò)WIPS管理員可直觀了解該熱點(diǎn)的設(shè)備屬性和安全屬性，包括熱點(diǎn) ESSID、BSSID、熱點(diǎn)廠商、頻道和加密方式等等。 

2. 然后黑客偽造與 testnetwork 相同名稱及配置的熱點(diǎn)，嘗試欺騙用戶連接；此時(shí)企業(yè)無(wú)線網(wǎng)絡(luò)環(huán)境中同時(shí)出現(xiàn)了兩個(gè)熱點(diǎn)，非專業(yè)人員根本無(wú)法識(shí)別哪個(gè)是企業(yè)自建熱點(diǎn)，哪個(gè)是非法的釣魚熱點(diǎn)?？梢钥吹酱藭r(shí)非法熱點(diǎn)已經(jīng)被 WIPS 識(shí)別出來(lái)并阻斷，當(dāng)前連接終端數(shù)為“無(wú)”。 

3. 與此同時(shí) WIPS 也第一時(shí)間向管理員通報(bào)偽造合法熱點(diǎn)攻擊事件的發(fā)生及處理情況。WIPS 的及時(shí)響應(yīng)為管理員在突發(fā)情況發(fā)生時(shí)爭(zhēng)取了更多的處置時(shí)間。 

4. 黑客為了使其他終端連接非法熱點(diǎn)簡(jiǎn)直無(wú)所不用其極，泛洪終端拒絕服務(wù)攻擊是成本最低也是最見效的方式。該種攻擊方式可斷開所有終端與合法熱點(diǎn)的連接，在其他場(chǎng)景也可以干擾公共網(wǎng)絡(luò)終端與熱點(diǎn)的連接，造成網(wǎng)絡(luò)癱瘓。此時(shí) WIPS 系統(tǒng)能夠發(fā)現(xiàn)此類攻擊，在提供處理建議的同時(shí)，還能定位攻擊發(fā)生的具體位置，管理員可實(shí)地排查是否有可疑人員。

5. 可以說(shuō)黑客的攻擊行蹤已經(jīng)完全暴露在 WIPS 之下，原本看不見摸不著的無(wú)線威脅，透過(guò) WIPS 的映射逐漸變得清晰。還不知道發(fā)生了什么的黑客繼續(xù)他的攻擊，黑客通過(guò)收集和重放重新發(fā)送四次握手中的Message3 強(qiáng)制重置 nonce，從而成功攻擊加密協(xié)議，解密客戶端發(fā)送通信數(shù)據(jù)包，截獲敏感信息。但是此時(shí)WIPS系統(tǒng)已經(jīng)監(jiān)測(cè)到該攻擊，并對(duì)實(shí)施釣魚的熱點(diǎn)進(jìn)行了阻斷，使不知情的“用戶”免于威脅。 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。