ITS Tagebuch – W2T2 – Isolated Client Hack

Wireshark Screenshot

Der Client sucht mittels ProbeRequest nach Netzwerken, mit denen er bereits verbunden war

Im letzten Artikel haben wir bereits eine Technik kennen gelernt, wie sich ein Client mit einem fremden WLAN Netz verbinden kann.
Heute werden wir einen Client ohne bestehende Verbindung zu einem WLAN Netz dazu bringen, sich mit uns zu verbinden. Dieser Angriff wird durch Netzwerkanfragen möglich, welche das Opfer sendet um zu sehen, welche Netzwerke verfügbar sind.

Hierdurch kann wieder eine Verbindung auf IP-Level hergestellt werden.

Vorgehensweise

Das Szenario der HotSpot Attacke hat ein bestehendes Drahtlosnetzwerk vorausgesetzt – bei einem Isolated Client liegt keine Verbindung zu einem WLAN vor.
Der Client sendet Anfragen aus um zu ermitteln, welche Netzwerke verfügbar sind – sogenannte Probe Requests. Diese können als Broadcast stattfinden – hierbei werden alle umliegenden APs gebeten,
ihre Verfügbarkeit bekannt zu geben (keine bestimmte SSID angegeben),
der Client kann aber auch einzelne SSIDs abfragen.
Die AccessPoints senden als Antwort eine Probe Response, hierdurch erfährt der Client, dass ein Netzwerk in Reichweite ist.
War das Opfer schon einmal zu einem WLAN verbunden, werden üblicherweise einige Daten darüber auf dem Gerät gespeichert – SSID, Verschlüsselung und Passwort.
Anhand der gespeicherten SSIDs kann der Client nun Probe Requests senden um zu sehen, ob das Netzwerk – mit dem er schon einmal verbunden war – in Reichweite ist.

Die Probe Requests gehören zur Gruppe der 802.11 Management Frames, diese sind zur Verwaltung vorgesehen und werden unverschlüsselt gesendet.
Daher können wir genau mitlesen, welche Station nach welcher SSID fragt.
Wir können nun wieder einen Soft-AP starten, mit dem sich der Client verbinden soll, und einfach die angeforderte SSID verwenden. Wir beschränken uns wieder auf unverschlüsselte Netzwerke.

Isolated Client Attacke

Zunächst das Standard-Prozedere: WLAN Karte in den MonitorMode versetzen und die Umgebung scannen (sollte inzwischen beherrscht werden).
Das Tool airodump-ng zeigt praktischerweise gleich die Probe Requests der Clients an:

BSSID STATION PWR Rate Lost Frames Probe

(not associated) 04:46:65:21:24:F3 -12 0 - 1 0 36 Wire-LAN,Connectify-uberhyperspeed,Kaiser,WLAN,TacticalCode

Im Beispiel sucht mein Handy nach Netzwerken, mit denen ich schon verbunden war. Darunter auch TacticalCode – von diesem Netzwerk wissen wir, dass keine Verschlüsselung vorliegt (Open Authentication).
Der nächste Schritt ist, den AccessPoint zu starten, damit sich das Opfer verbindet. Hierzu nutzen wir wieder airbase-ng:


root@bt:~# airbase-ng --essid TacticalCode mon0
18:58:03 Created tap interface at0
18:58:03 Trying to set MTU on at0 to 1500
18:58:03 Access Point with BSSID 00:C0:CA:58:43:50 started.
18:58:07 Client 04:46:65:21:24:F3 associated (unencrypted) to ESSID: "TacticalCode"

Durch airbase-ng erzeugte Probe Responses

airbase-ng sendet automatisch passende Probe Responses damit der Client denkt, das Zielnetzwerk wäre verfügbar

Der AccessPoint wird gestartet, sobald der Client einen ProbeRequest nach TacticalCode sendet, antwortet airbase-ng mit der passenden Probe Response (sowohl bei Broadcast Anfragen als auch bei spezifischen Probe Requests).
Idealerweise hat der Client den ProbeRequest in der Absicht gesandt, um sich mit dem Netzwerk zu verbinden. Ist dies der Fall, sehen wir wie oben, dass die Station mit dem Soft-AP verbunden wurde.
airbase-ng kann auch mit dem -P Parameter gestartet werden, in diesem Modus antwortet airbase-ng auf alle Probe Requests mit der passenden Probe Response, wodurch der Prozess automatisiert werden kann.

Der Rest ist Geschichte. Entweder lässt man DHCP-Anfragen unbeantwortet – der Client nutzt wahrscheinlich eine Auto-Config IP, wir warten auf graditious ARP Pakete, oder wir weisen per DHCP eine IP zu.
Mit der IP-Level Verbindung wird einem Angreifer Tür und Tor für jegliche Angriffe geöffnet, von SSH Zugriffe auf Jailbroken iPhones mit Standard-Root-Passwort bis zu Metasploit Autopwn.

Isolated Client Hack Unterbinden

Schritt nummer 1 ist wie immer: Keine ungesicherten Netzwerke. Glücklicherweise verbinden sich die meisten Clients nicht (mehr) automatisch mit ungesicherten Netzwerken, es wird nur eine Meldung über verfügbare Netzwerke ausgegeben.
Jedoch sollte man- insbesondere bei mobilen Geräten -das WLAN ausschalten, wird es nicht benötigt.
Denn auch bei gesicherten Netzwerken ist man nicht vollkommen sicher,
wie die Caffe Latte Attacke noch zeigen wird.
Am sichersten ist es, auto-connect auf dem Gerät möglichst abzustellen und das WLAN nur einschalten, wenn es wirklich nötig ist.

Im nächsten Artikel kommen wir noch einmal auf WEP Cracking zurück – Dieses mal wird die Caffe Latte im Detail gezeigt.

MfG
Damon Dransfeld

Dieser Eintrag wurde veröffentlicht in ITS Tagebuch, Security
Bookmarken: Permanent-Link Schreibe einen Kommentar oder hinterlasse einen Trackback: Trackback-URL.
Achtung: Wordpress interpretiert bestimmte Zeichenfolgen als Markup und verändert diese. Nutzt für Programmcode lieber Gist oder PasteBin-Services und verlinkt die Code-Schnipsel.

Post a Comment

Ihre E-Mail wird niemals veröffentlicht oder verteilt. Benötigte Felder sind mit * markiert

*
*

Du kannst diese HTML Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>