KARMA简介:
2004年,Dino Dai Zovi和ShaneMacaulay (K2)提出了一个革命性的工具,称为KARMA。该工具旨在引诱客户端进入攻击者的接入点和受到操纵的网络环境中。在此工具之前,如果你想引诱客户端访问一个恶意的接入点,您只需将SSID设置成某些比较有诱惑力的名称,并希望用户手动连接到你的网络。Dino和Shane意识到这种方法是非常低效的,因为客户端在ProbeRequest(探测请求)数据包中广播他们想连接的SSID。所有你需要做的就是动态设置基于这些探测的SSID,你将满足客户寻找要加入网络的最大标准。他们实施的这种攻击称为KARMA。
复杂的问题是在模拟网络上使用加密和认证。由于KARMA引诱客户端进入攻击者所建立的恶意AP环境,因此它需要满足客户的要求。这些要求已经随着时间的推移而改变,因为操作系统供应商意识到了安全漏洞,并向自己的客户介绍。
Dino和Shane指出,在Windows XPSP2和以前的系统下,如何处理无线网络的一个致命的缺陷∶操作系统将接受一个带KARMA的网络模拟,而不管客户端的加密和身份验证设置。举例来说,如果WindowsXPSP2系统有一个需要WPA2/CCMP加密和PEAP验证的SSID为"corpnet"”,那么攻击者可以通过创建一个带SSID“corpnet"的开放网络来模拟系统。只要攻击者使用的SSID和客户端上配置的SSID相匹配,WindowsXP SP2系统就会当做一个合法的网络愉快地接受KARMA的广告。
这种行为在Windows XP SP3、Windows Vista和Windows 7上有所改变。在Windows XPSP3和更高版本中,客户端需要为它要漫游网络设置加密和身份验证,来匹配本地配置的选项。这种新行为与OSX的设备相匹配,为了使加密网络有效地击败KARMA攻击,加密网络里的密钥是未知的。不过,如果一个开放网络在它们的首选网络列表中(考虑你曾经连接到attwifi、PANERA或免费公共WiFi上的组织中的用户数量),那么WindowsXP SP3和更高版本以及OSX客户端仍然容易受到KARMA的攻击。KARMA将模拟此网络,并愉快地接受你的客户端,他们认为这个网络是突然可以利用的。
复杂的地方存在于XP客户端和第三方无线堆栈的行为。在WindowsXP系统上,如果驱动器制造商希望添加额外的功能到无线堆栈里,那么他们不得不更换自己的无线零配置( Wireless ZeroConfiguration , WZC )WindowsXP的本地无线堆栈,这样产生了许多来自Cisco、Inte1、Atheros、Broadcom、Linksys、Belkin的更多的第三方无线堆栈。通过强制执行所希望的首选网络入口加密设置,WindowsXP SP3和更高版本的系统击败了KARMA攻击,但是每个第三方堆栈的行为都是慎重的,留下许多尽管使用了补丁和最新的WindowsXP系统但还是易受到攻击的设备。
XP机顶盒和随机的SSID
长时间盯住802.11数据包,你会最终看到一个客户端发出一个看似随意的SSID的探测请求。当用户的首选网络都不在范围内时,WindowsXP SP2和以前的版本将网卡置于Parked模式。Windows:XP这样做的原因很可能因为不是为了降低网卡的功率和定期重新初始化它来执行后台扫描,而是把SSID设置成不太可能在该地区的事物只是更容易些。
当然,当这些“休眠""网络中的某一个实施探测时,使用KARMA做出回复是容易的,但这会使Windows XPSP2的机顶盒身处很大的风险中,更有趣的是,如果KARMA成功地诱骗了一个“休眠""状态的Windows XPSP2机顶盒,则操作系统即使没有成功连接,也会显示出接口状态。这时你不仅欺骗了本来就毫不怀疑的客户,而且如果该客户端愿意不嫌麻烦地检查网络状态,它会呈现出掉线的状态。唯一使这些“休眠""的客户端还算不那么不堪一击的是,在进入休眠模式之前,这些处于“休眠"模式的SSID加密算法的设置,都是从所探测的网络中继承过来的。如果客户端在进入到“休眠"模式之前正在访问"“SecureCorpNet网站”,那么你需要知道加密设置(包括密钥)才能继续更多的操作。当休眠之后,如果客户端正在探测"*FreePublic Wifi网络"或""linksys网站”,你可能根本就不需要考虑加密算法的设置。
KARMA的最初实现包括一个madwifi驱动程序的补丁。不幸的是,此补丁程序难以维护,因为在Linux无线驱动程序中不断大量地粗制滥造。后来madwifi补丁程序被废弃,因为hirte(一个Aircrack-ng开发人员)以airbase-ng的形式实施了一个更好的解决方案。然后,将KARMA打包的恶意服务器连接到Metasploit。这个airbase-ng和Metasploit客户端攻击工具的结合就是通常所说的Karmetasploit。
airbase-ng是一个用户级工具,它使用监控模式和注入来寻找客户端发出的ProbeRequest(探测请求)数据包,然后发送Beacons(信标),使它看起来好像是在范围内被探测的AP。一旦客户端与我们的用户级AP发生联系,我们就完全控制了他的通信。此时,每当客户端启动一个Web浏览器、电子邮件客户端或诸如此类,他就会被定向到一个Metasploit上实施的恶意服务器。
在我们以airbase-ng开始之前,我们需要稍微重组我们的网络。在上一节中,我们只是一个客户端,连接到10.0.1.x子网上的网络上。在本节中,我们要改变它。从这点出发,我们要在192.168.1.X子网上创建我们自己的网络与自己的默认网关,如下图所示。
airbase-ng产生的恶意的AP
我们需要做的第一件事情是下载并安装airbase-ng :
提示关于Aircrack-ng和airbase-ng工具的更高版本,务必检查aircrack-ng.org网站。
运行安装后,Aircrack-ng套件(由许多单独的二进制文件组成)将位于/usr/local/bin中。airbase-ng是此套件的一部分。
现在我们需要配置我们的无线接口,然后启动airbase-ng。首先,让我们的无线接口进入监控模式:
现在我们启动airbase-ng来动态创建客户正在寻找的Beacon(信标)数据包。airbase-ng动态响应ProbeRequests(探测请求)(-P)并用60秒(-C60 )为所探测的SSID设置信标。接下来的参数是静态的SSID广播,以及监控模式接口。
提示airbase-ng包含许多额外的功能,检查手册页的命令行选项。
airbase-ng通过创建一个虚拟的LinuxTUN/TAP接口进行工作,默认为at0。这个接口上运行的程序将数据传送到airbase-ng,然后airbase-ng将数据发送到所有相关的客户端。让airbase-ng运行,并在另一个终端配置at0 :
我们现在有一个DHCP服务器正在监听airbase-ng的tap接口。所有我们需要做的是在一个配置里重新运行Metasploit,该配置类似于我们在本章前面进行的设置。这一次,我们只是可以从一个文本文件中加载所有命令,而不是输入它们。这个文件在网站( http://www.hackingexposedwireless.com )上。
提示例子中的DHCP和KARMA配置文件也在这本书的配套网站上。
如果任何无线客户端都在范围之内,那么在我们开始从airbase-ng得到类似以下输出之前,我们不需要等太久。
在此之后不久,我们将看到DHCP服务器分配一个P地址:
然后,当用户尝试随时随地浏览时,Metasploit开始行动,利用相同的fakedns工具,然后是http_capture工具,再后是browser_autopwn工具。
关于使用airbase-ng来处理动态恶意AP产物的很酷的事情是∶一旦它得到一个用户关联,那么通过使用它提供的tap接口(通常at0)我们就可以把该客户端视为已经在本地的以太网连接上。请注意,当在有线接口或airbase-ng创建的接口上运行时,Metasploit内部使用的模块不需要改变,这意味着其他传统的MITM攻击,比如Middler ( http:l/code.google.com/p/middler/)或IPPON,也起作用。
防御动态生成的恶意AP
保护自己不受恶意AP攻击的最简单的方法是决不连接到一个开放的接入点。这样做,你会避免在PreferredNetworks (首选网络)列表里存储一个开放的AP,这意味着运行airbase-ng的人难有时间引诱你连接。不幸的是,对于大多数人来说,这是不现实的。一个简单的应对措施是要始终使用静态的DNS服务器。静态DNS服务器不会阻止一个坚定的黑客(他可以调整网络来匹配你的DNS请求),但它将阻止Metasploitfakedns模块的攻击直到他这么做,这有可能让你侥幸脱险。
由于Windows Vista和Windows7中包含的更精致的客户端探测行为,因此升级到任何一个也有助于减少这种风险。此外,WindowsXP上的第三方无线堆栈比后来的Microsoft堆栈可能对此更易受攻击,因此,如果可能的话,你可能想使用WindowsVista。
以前的客户端攻击利用我所说的全谱协议堆栈操作。虽然这肯定是有效的,但有时你渴望更隐形一点儿。下面的客户端攻击目标是通过绕过许多中间层获得客户端上的执行代码。
本文内容可参考《黑客大曝光之无线网络安全》
扫一扫
120
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
