以色列研究人员破解了特拉维夫市3500多个WiFi网络

以色列研究人员破解了特拉维夫市3500多个WiFi网络

用一个简单的技巧大规模破解 WiFi

我如何破解特拉维夫 70% 的 Wifi 网络(来自 5,000 个收集的 WiFi 样本)。

在过去的七年里,我住在特拉维夫,我换过四次公寓。每次我都遇到同样的情况:互联网公司需要几天时间才能连接公寓,这让我在尝试使用手机热点在电视上观看滞后的 Netflix 时断开连接并感到沮丧。我对这种情况的解决方案是使用“Hello. 我是新邻居”与邻居交谈,同时试图在紧急情况下获取他们的手机号码 – 并询问我是否可以使用他们的 WiFi,直到有线电视公司连接我。我想我们都同意没有互联网很容易属于紧急情况!通常,他们的手机号码也是他们的 WiFi 密码!

我假设居住在以色列(以及全球)的大多数人都拥有不安全的 WiFi 密码,这些密码很容易被好奇的邻居或恶意行为者破解甚至猜到。

结合我过去的经验、我将在短时间内解释的相对较新的 WiFi 攻击、Cyber​​Ark 实验室中的新怪物破解设备(8 x QUADRO RTX 8000 48GB GPU)以及 WiFi 无处不在的事实,因为连接比以往任何时候都更重要我去研究,无论我的假设是对的还是幸运的。

随着疫情大流行导致持续转移到远程工作,保护家庭网络变得势在必行,如果不这样做,就会给企业带来风险。家庭网络很少有与企业网络相同的控制。安全程序的强度取决于其最薄弱的环节。

以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 1- Cyber​​Ark Labs 新的破解设备

为了验证这个假设,我带着 WiFi 嗅探设备在特拉维夫的街道上漫步,收集了 5,000 个 WiFi 网络哈希作为我的研究小组。在研究结束时,我能够相对轻松地破解超过70%的嗅探 WiFi 网络密码。特拉维夫大都市区有超过 390 万人口——你可以想象如果我们不停止对 5,000 个 WiFi 网络的研究,这个数字会是多少。虽然这项研究是在特拉维夫进行的,但容易受到这种攻击的路由器——来自世界上许多最大的供应商——被世界各地的家庭和企业使用。

在这篇博客中,我将演示如何轻松(您不需要破解设备)和很少的设备即可破解不安全的 WiFi 密码,从而破解 WiFi 网络。最后,我们将展示破解哈希的统计数据并解释如何破解保护您的网络免受此类攻击。因此,了解并了解破解方法以形成足够的防御至关重要。

让我们深入了解

Jens “atom” SteubeHashcat 的首席开发人员)的研究之前,当黑客想要破解 WiFi 密码时,他们需要捕获客户端和路由器之间仅发生的实时四次握手在建立连接的过程中。简而言之,攻击者需要在用户或设备连接到 WiFi 网络时监控网络。因此,黑客需要位于接入点(路由器)和客户端之间的物理位置,希望用户输入正确的密码,并正确嗅探握手的所有四个数据包。如果黑客不想等到受害者建立连接(这可能需要几个小时,谁在工作时连接到他们的家庭网络?),攻击者可以取消对已连接用户的身份验证,迫使受害者有一个新的四次握手。

另一个攻击向量是建立一个具有相同 SSID(网络名称)的恶意孪生网络,希望受害者尝试登录假网络。当然,它的一个主要缺点是它非常嘈杂(意味着它很容易被追踪)并且很容易被注意到。

简单来说,如果对手想要破解/破解 WiFi 密码,他们需要在正确的时间(用户登录时)出现在正确的位置(用户和路由器之间)并且很幸运(用户输入了正确的密码)并且所有四个数据包都被正确嗅探)。

所有这一切都随着 atom 的开创性研究而改变 ,该研究暴露了一个针对RSN IE(稳健安全网络信息元素)的新漏洞,以检索可用于破解目标网络密码的PMKID哈希(稍后将解释)。PMKID 是一个哈希值,用于 AP 之间的漫游功能。然而,PMKID 的合法使用与本博客的范围无关。坦率地说,在个人/私人使用(WPA2-personal)的路由器上启用它几乎没有意义,因为通常不需要在个人网络中漫游。

以色列研究人员破解了特拉维夫市3500多个WiFi网络

Atom 的技术是无客户端的,这使得实时捕获用户登录信息和用户连接到网络的需求完全过时。此外,它只需要攻击者捕获单个帧并消除干扰破解过程的错误密码和格式错误的帧。
简单地说,我们不需要等待人们连接到他们的路由器来使这次攻击成功。我们就在路由器/网络附近,获取PMKID哈希值并试图破解它。

要破解一个PMKID,我们首先需要了解它是如何生成的。

PMKID哈希是如何生成的以及它包含哪些元素

以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 2- 计算 PMKID 哈希和 PMK 的流程

哈希计算乍一看似乎令人生畏,但让我们深入研究一下。

我们需要生成一个由SSID(网络名称)和Passphrase驱动的PMK;然后我们根据我们生成的PMKAP MAC地址和客户端 MAC地址生成一个PMKID那么让我们看看在哪里可以找到这些:

PMK 计算如下:

以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 3- PMK 计算
  • Passphrase– WiFi 密码 – 因此,我们真正要寻找的部分。
  • SSID – 网络名称。它可在路由器信标处免费获得(图 3)。
  • 4096 – PBKDF2 迭代次数
以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 4 – 来自信标的 SSID

一个后PMK产生,我们可以生成一个PMKID。
PMKID的计算如下:

以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 5 – PMKID 计算
  • PMK – 我们正在搜索的内容,在上面生成。在 WPA2 个人中,PMKPSK(将在下一段解释)
  • “ PMK Name ” – 所有 PKMID 的静态字符串。
  • MAC_AP – 接入点的 MAC 地址 – 该地址可以在路由器发送的任何帧中找到(图 4)。
  • MAC_STA – 可以在客户端计算机发送的任何帧中找到客户端的 Mac 地址(图 4)。此外,它可以在ifconfig\ip a命令的输出中找到。
以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 6 – PMKID、AP 的 MAC、客户端的 MAC

裂化的PMKID散列最终只是产生/计算的PMKSSID和不同的密码短语,然后计算PMKIDPMK和我们所获得的其它信息。一旦我们生成了一个与从 AP 检索到的PMKID相等的PMKID(图 3),哈希值就会被破解;该密码短语是用来生成正确的PMK的PMKID从产生是正确的无线网络的密码。

现在我们知道PMKID 是如何生成的,我们可以继续研究的嗅探和破解阶段

嗅探 PMKID

要收集 WiFi PMKID哈希值,需要具有监控模式功能的无线网络接口。监控模式允许捕获数据包,而无需与接入点关联

我花了50 美元买了一张 AWUS036ACH ALFA网卡(还有更便宜的选择),它支持监控模式和数据包注入,并在特拉维夫市中心附近嗅探 WiFi。

以色列研究人员破解了特拉维夫市3500多个WiFi网络

在我们开始嗅探之前,我们需要准备我们的环境:

我使用了带有 AWUS036ACH ALFA 的 ubuntu 机器。

以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 7 – AWUS036ACH ALFA 网卡

我们建立了包Hcxdumptool -一个伟大的工具通过ZerBea从WLAN设备捕获的数据包。

git clone https://github.com/ZerBea/hcxdumptool.git
sudo apt-get install libcurl4-OpenSSL-dev libssl-dev pkg-config
make

之后,我们需要安装具有监控模式功能的驱动程序。每个芯片组都有其驱动程序:

git clone -b v5.6.4.2 https://github.com/aircrack-ng/rtl8812au.git
make && make install

建议关闭可能干扰Hcxdumptool执行的服务:

sudo systemctl stop wpa_supplicant
sudo service NetworkManager stop

然后是时候开始嗅探了。hcxdumptool是一个强大的工具,可以用于各种攻击,不仅仅是PMKID;因此,我们禁用任何不针对 PMKID 的攻击。

sudo ../../tools/hcxdumptool/hcxdumptool -i wlx00c0caac2745 -o Wi-Fi_PMKID.pcapng --disable_deauthentication --disable_client_attacks --enable_status=3
  • -i我的阿尔法 网卡,你可以执行ifconfig\ip a来找到你的接口名称。
  • -o执行的输出pcapng。

现在戴上连帽衫,因为您将获得容易受到攻击的每个网络的 PMKID。

以色列研究人员破解了特拉维夫市3500多个WiFi网络
图 8 – 穿着连帽衫的我

当我达到5000个收集网络时,我决定退出;以色列的夏天对我来说太热了,所以我转向了有趣的部分——开裂。

破解时间到了!

我们破解过程的第一步是安装hashcat,这是世界上最快、最先进的密码恢复工具。由于嗅探结果是pcapng的形式我们需要将它们转换为 hashfile 格式以适应hashcat。为了这个目标,我使用了hcxtools套件中的另一个工具。

hcxpcapngtool -o Wi-Fi_pmkid_hash_22000_file.txt Wi-Fi_PMKID.pcapng

每行采用以下结构的哈希文件

签名*类型* PMKID/MIC* MACAP * MACSTA * ESSID * * *

下面是一个哈希线的例子:

WPA*01* c6d5c97b9aa88cbe182429275a83efdb * 302478bee0ee * acde48a84862 * 54686557494649 ***
  • 签名 = “WPA”
  • TYPE = 01 表示 PMKID , 02 表示 EAPOL,其他要遵循
  • PMKID /MIC = PMKID 如果 TYPE==01 MIC 如果 TYPE==02
  • MACAP = AP的MAC
  • MACSTA = 站的 MAC
  • ESSID = ESSID
  • 未用于 PMKID 攻击:
    • 一时 = 一时
    • EAPOL = EAPOL(SNONCE 在这里)
    • MESSAGEPAIR = 位掩码

下一步是通过执行hashcat开始破解程序:

Hashcat 的能力包括几种破解方式,其中最常见的是字典+规则和掩码攻击。这些方法在形成密码短语的方式上有所不同。

我们选择从所谓的“面具攻击”开始,因为许多生活在以色列的人有使用他们的手机号码作为 WiFi 密码的可怕习惯。您可以将掩码攻击视为正则表达式:

  • ?d – 数字
  • ?l – 小写字符
  • ?u – 大写字符
  • ?s – 特殊符号为? !$ ……

密码的掩码:202!$ummeR 将变成 ?d?d?d?s?s?l?l?l?l?u

这是我的 Hashcat 命令,它在以色列尝试了所有可能的手机号码组合 [以色列手机前缀是05 ]

sudo hashcat -a 3 -w4 -m 22000 /home/tuser/hashes/Wi-Fi_pmkid_hash_22000_file.txt 05?d?d?d?d?d?d?d?d -o /home/tuser/hashes/pmkid_cracked.txt

在第一次执行掩码攻击期间,我们破解了2,200 个密码。让我们计算一下以色列手机号码的选项数:
10 位数字,以 05 开头。因此,我们需要猜测剩余的 8 位数字。

每个数字有 10 个选项 (0-9),因此有 10**8 种可能的组合。一亿似乎是很多组合,但我们的怪物钻机以 6819.8 kH/s 的速度计算,即每秒 6,819,000 个哈希值。
一个破裂钻机不需要为我的笔记本电脑可以得到194.4的kH /秒,换算成每秒194,000哈希值。这相当于有足够的计算能力来循环破解密码所需的可能性。因此,我的笔记本电脑大约需要 9 分钟才能破解具有手机号码特征的单个 WiFi 密码。(10**8)/194,000 = ~516(秒)/60 = ~9 分钟。

由于哈希函数和迭代次数不同,哈希类型的破解速度也不同。例如,与 MD5 或 NTLM 相比,PMKID 非常慢。尽管如此,如果攻击者专注于特定网络,并且密码不够复杂,则破解 PMKID 哈希是可行的。

之后,我们使用最常见的字典Rockyou.txt执行标准字典攻击,并破解了 900 多个哈希值。以下是Rockyou.txt内容的一小部分

123456 12345 123456789 password iloveyou princess 1234567 rockyou 12345678 abc123 nicole daniel babygirl monkey lovely jessica 654321 michael ashley

让我们来看看破解哈希的统计数据 

按长度破解密码:

密码长度发生次数
102405
8744
9368
1214
1114
147
137
3,559

如您所见,除了 10 位密码(我们为其定制了掩码)外,随着密码长度的增加,破解密码的数量减少了。这里的教训?密码越长越好。

破解密码的前 4 个掩码:

Mask发生次数意义
Mask发生次数意义
?d?d?d?d?d?d?d?d?d?d234910 位
?d?d?d?d?d?d?d?d5968位
?d?d?d?d?d?d?d?d?d3689位
?l?l?l?l?l?l?l?l3208个小写字母
3,633

我们可以看到破解的密码通常适合只包含数字或仅包含小写字符的掩码。

并非所有路由器都支持漫游功能,因此不容易受到 PMKID 攻击。然而,我们的研究发现,许多世界上最大的供应商制造的路由器都存在漏洞。

正如我之前估计的,嗅探 WiFi 的过程和随后的破解程序在设备、成本和执行方面都是一项非常容易完成的任务。

最重要的是,如果您没有强密码,您的邻居或恶意行为者可能会在几个小时内以大约 50 美元的价格损害您的隐私,甚至更多。

结论

我们总共破解了特拉维夫及其周边的 3,500 多个 WiFi 网络——占我们样本的 70%。

WiFi 网络受损的威胁给个人、小企业主和企业等带来了严重的风险。正如我们所展示的,当攻击者可以相对轻松地破解全球主要城市 70% 以上的 WiFi 网络时,必须更加注意保护自己。

在最基本的层面上,使用您网络的人会占用您的部分带宽,这可能会降低您的互联网体验。然而,更重要的是,一旦攻击者获得对您网络的访问权限,他们就可以发起各种中间人 (MITM) 攻击。这可能会导致攻击者访问您的重要帐户,例如您的银行帐户、电子邮件帐户(现代生活中的一切)并破坏其他敏感凭据。这也进一步为您的物联网设备打开了攻击媒介,如智能家居设备、智能电视、安全系统等。

对于小型企业,风险在于攻击者渗透网络,然后横向移动到高价值应用程序或数据,例如计费系统或收银员。

对于企业而言,攻击者有可能获得对远程用户的 WiFi 的初始访问权,然后跳到用户的计算机并等待 VPN 连接或用户前往办公室并从那里横向移动。

从更广泛的角度来看,由于 NAT,计算机和其他设备通常无法从网络外部访问,但是一旦攻击者进入网络,它就会促进一系列攻击向量。

我应该如何保护自己?

  1. 选择一个复杂的密码。强密码应至少包含 1 个小写字符、1 个大写字符、1 个符号、1 个数字。它应该至少有 10 个字符长。它应该很容易记住而很难预料。http://www.ddosi.org/mm.html
  2. 更改路由器的默认用户名和密码。
  3. 更新您的路由器固件版本。
  4. 禁用弱加密协议(如 WAP 或 WAP1)。
  5. 禁用 WPS。

需要注意的是,对个人 WiFi 和非技术消费者而言,为个人 WiFi 实施多因素身份验证 (MFA) 很困难,而且在很大程度上是不切实际的。MFA 也不太可能在近功能中广泛用于一般消费者用例。

我要向AtomZerBea 表示感谢,感谢他们在这种攻击技术上的出色工作以及他们的总体工作。

我希望你喜欢这个博客,并且你会采取必要的步骤来保护你的 WiFi 网络。提醒一下,我们破解的密码都没有用于未经授权访问这些 WiFi 网络或通过这些网络访问的任何其他信息。

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注