图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破

无线网络钓鱼是一个受到广泛关注但难以治愈的热门安全话题。在本文中,我将从攻击者的角度揭示无线网络钓鱼攻击的技术原理,包括 DNS 劫持、DNS 劫持和 JS 缓存中毒等有趣的利用。接下来,我们将探讨公司如何帮助员工应对无线网络钓鱼攻击。是否足以防范企业中的网络钓鱼热点?如何进行有效的无线安全意识培训?VPN 可以用来抵御所有攻击吗?员工在不受信任的无线网络中远程工作是无法回避的安全挑战,而零信任产品带来了更多解决方案。

1. 无线钓鱼背景

2019年,在前公司时,与湖南卫视《新闻与真相》栏目组合作制作了公共无线热点安全节目。让我们先通过短片直观的体验一下公共无线热点的危害。

点击观看新闻视频

从无线网络接入的角度来看,其安全性完全取决于无线网络建设者的身份。受各种客观因素的限制,很多数据在无线网络上以明文形式传输,如一般网页、图片等;有很多网站或者邮件系统,即使手机用户登录,账号和密码也是被执行的。明文传输或简单的加密传输。

1.1 Wi-Fi 羊墙

长期以来,无线网络的安全风险并未为公众所知。2015年央视3.15晚会“钓鱼热点”环节的演示,在国内还是第一次有比较大的群体对此有直观的认识。

晚会现场,观众加入主办方指定的Wi-Fi网络后,大屏上会显示用户在手机上使用的软件、用户通过朋友圈浏览的照片等信息。不仅如此,大屏幕上还显示了很多用户的邮件信息。

图片[1]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

尤其值得一提的是如何让外网访问内网服务器,主持人在采访一名显示邮箱密码的现场观众时,现场观众明确表示,他到达现场后并未登录自己的邮箱。原因是用户使用的电子邮件软件在手机连接无线网络后会自动更新数据,而在更新过程中,电子邮件账号和密码以明文形式传输。这个现场实验告诉我们,攻击者通过钓鱼热点窃取用户的个人信息,而用户往往完全不知情。

这个demo的灵感其实来自黑客大会上的The Wall of Sheep。绵羊墙将收集到的账号和隐藏密码投射到屏幕上,告诉人们:“你随时都有可能被监视”。也是为了让参加大会的人难堪——来参加黑客大会的人不是他们自己。当心。

图片[2]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

1.2个真实案例

l 用户在钓鱼热点网购导致密码泄露,被盗2000元。

图片[3]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

l 咖啡店无线网络植入恶意代码,利用用户设备挖掘门罗币。

图片[4]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

l 腾讯内网部分员工反映在地铁站被自动连接到假公司热点“”,被强制浏览“反宣传文字”。

2.无线钓鱼底层原理解析

在本节中,我们将构建一个无线钓鱼热点来演示这种攻击方法的危害性、隐蔽性和低成本。读者将了解构建复杂的无线钓鱼网络所涉及的所有实现原理,包括如何使用无线网卡创建热点、如何吸引更多用户连接到热点、如何嗅探网络中的敏感信息以及如何使用钓鱼页面获取用户敏感信息。信息以及如何配置强制用户访问网络钓鱼界面。

需要注意的是,本节的实验要求无线网卡支持AP模式建立热点,如 、 等。

2.1创建无线热点

是AP和认证服务器的守护进程,实现IEEE 802.11相关的访问管理,支持IEEE 802.1X、WPA、WPA2、EAP、OPEN等认证方式. 首先,创建配置文件open.conf:

#open.conf =wlan0 ssid= = =1 =g

其中,代表无线网卡接口名称,ssid代表热点名称,代表频道,用于指定无线模式,g代表IEEE 802.11g。读者可根据实际情况进行相应修改。

除了创建接入点本身,还需要配置 DHCP 和 DNS 等基本服务。它是一个轻量级的工具,可以同时提供DNS和DHCP服务功能,并且易于配置。默认的配置文件是/etc/.conf,里面有很多注释说明各种功能和配置方法。默认开启DNS功能,加载系统/etc/.conf文件内容作为上游DNS信息。只需在配置文件中设置特定的 DHCP 地址池范围和要服务的网络接口。代码显示如下:

#/etc/.conf dhcp-range=172.5.5.100, 172.5.5.250, 12h =wlan0 at在运行创建热点之前,需要先使用几条命令解除系统对网卡AP功能的限制,并配置好网卡的IP地址、掩码等信息,最后启动程序。命令如下: nmcli radio wifi off wlan wlan0 172.5.5.1/24 open.conf

图片[5]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

2.2 吸引用户连接

将热点名称设置为Free WiFi之类的字眼,可以吸引很多上网的用户主动连接。此外,攻击者还有其他方法可以让手机等设备自动连接热点,比如建立用户之前连接过的热点名称(如CMCC等),这也是一种不加密的方法。当无线设备搜索到同名同加密类型的历史连接热点(以下简称已保存网络列表)时,会自动尝试连接。那么,有没有办法获取无线设备保存的网络列表信息呢?

为了加快连接速度,无线设备在进行主动扫描时会广播之前连接的无线热点的名称。一旦攻击者截获这个广播,他自然可以知道用户连接了哪些热点,然后伪造所有的无线热点名称来欺骗设备自动连接。

2004 年,两名安全研究人员 Dino dai Zovi 和 Shane 发布了 Karma 工具。Karma 能够收集客户端在主动扫描时泄露的已保存网络列表,并伪造该名称的无密码热点,吸引客户端自动连接。

图片[6]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

如上图所示,客户端针对两个不同的热点名称(Home 和 Work)发出 Probe 请求,Karma 回复包含两个热点名称的请求。这实际上违反了 802.11 标准协议,无论客户端请求任何 SSID,Karma 都会回复它是客户端请求的热点,以便客户端发起连接。

图片[7]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

知名无线安全审计设备——WiFi(俗称“大菠萝”)内置Karma攻击功能,由无线安全审计公司Hak5研发销售,自2008年发布到第七代。

Hak5 的创始人在一次会议上发表了安全演讲。在现场,他开始了演示,屏幕上显示了一长串设备,包括黑莓、笔记本电脑和笔记本电脑。这些设备以为它们已连接到酒店或星巴克的 Wi-Fi 热点,但实际上它们都被 WiFi 欺骗以连接到它创建的网络钓鱼网络。

图片[8]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

然而,今天,Karma 攻击并不是很有用。因为每个手机厂商都明白Probe会泄露保存的网络列表信息,可能导致终端被钓鱼攻击,所以较新版本的手机系统改变了主动扫描的实现方式:主要使用Probe不带SSID 信息。更换泄露信息的Probe,两者的对比如下图所示。

我们可以采取一些简单的策略来吸引用户进行连接:

图片[9]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

l 选择提供免费Wi-Fi、电源和座位的咖啡厅 l 将热点名称更改为与店内免费热点名称相同 l 同时发起拒绝服务攻击,使周围客户断开连接并触发重新连接

这会将周围的无线客户端吸引到我们的钓鱼热点。

2.3 嗅探敏感信息

当我们的设备可以通过无线或有线方式连接到互联网时,为了让用户设备上的软件有更多的网络交互,获取更多的信息,可以将钓鱼网络流量转发到有上网权限的网卡上,因此钓鱼网络也可以连接到外部网络。您可以按照以下步骤操作。首先开启IP路由转发功能:

-w net.ipv4.=1

然后,您需要设置规则,将来自钓鱼网络的数据包通过 NAT( ,网络地址转换)处理并转发到外部网络出口。

-t nat - -o eth0 -j

当用户连接网络时,由于所有的网络请求都会通过我们的网卡进行转发,所以您可以使用 , 等工具直接观察通过无线网卡的所有流量。

图片[10]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

是一款简单实用的图片抓拍工具,可以轻松抓拍网络流量中的图片。利用

-i wlan0

命令运行程序,用户正在浏览的网页中的图片会实时显示在弹窗中。

图片[11]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

2.4 配置恶意DNS服务

很多时候,我们会面临没有外网的情况,因为用户设备上的软件无法与其服务器交互,大大降低了敏感信息被泄露的几率。除了被动嗅探流量中的信息外,钓鱼网站还可以部署在本地,诱骗用户填写敏感信息。

无线客户端连接网络时,不仅可以获取本地IP地址,还可以通过DHCP服务获取DHCP服务指定的DNS服务地址。当我们能够确定用户的DNS解析结果时,钓鱼攻击可以达到更完美的效果——接口和域名与真实URL一致。在本节中,我们将学习如何操纵用户的 DNS 解析来解析用户对本地任意 URL 的访问。

实验目的:将接口克隆到本地,使无线客户端对指定网页的访问指向克隆的接口。

图片[12]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

(1)打开网页,将代码“另存为”下载到本地。然后需要配置web服务器,以nginx为例,打开配置文件/etc/nginx/sites-/,输入以下内容:

{

80;

根 /var/www/;

索引 index.html

/{

$uri $uri/ /index.html;

}

}

(2)这个配置文件指定本地web服务监听80端口并以/var/www/为根目录,将下载的html代码放在web目录下并重启nginx服务,然后通过访问17浏览器2.5.5.1 查看效果,然后配置DNS服务,打开配置文件/etc/.conf,将解析规则写入=/url格式/ip,表示将指定的URL解析为指定的IP地址,如果url用#填充,则解析所有地址,然后重启服务。

#/etc/.conf =/#/172.5.5.1 nginx

(3)通过手机连接热点,测试访问任意地址(eg),如果配置正确,就会出现如图效果。

图片[13]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

2.5 配置

身份验证通常部署在公共无线网络中。当未经身份验证的用户连接时,用户被强制跳转到指定的界面。

在iOS、Mac OS X等系统中,已经包含了正确的检测。以系统为例,当设备连接到无线网络时,会尝试请求访问..com/,并根据返回的结果判断网络状态。

l 当返回HTTP 204时,表示网络正常;l 如果返回HTTP 302,手机会认为该网络有网络认证,并在手机上弹窗显示,如下图所示。l iOS等系统也采用类似的检测逻辑。

点击提示会直接打开认证界面。显然,热点配置好后,看起来更像是一个“官方”的热点,使用这个功能可以让用户直接访问钓鱼界面。

图片[14]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

我们用来转换流量。它是一个命令行工具,可以执行包过滤、重定向和网络地址转换 (NAT) 等功能。有了这个工具,用户的安全设置规则就可以实现到底层安全框架中,起到防火墙的作用。

通过配置来自无线网络的流量:

-t nat -A -i wlan0 -p tcp --dport 80 -j DNAT --to- 172.5.5.1:80 -t nat -A -i wlan0 - p udp --dport 53 -j DNAT --to- 172.5.5.1:53 -t nat -A -i wlan0 -p tcp --dport 53 -j DNAT --to- 172.5.5.1:53

上述命令中,第1行表示NAT网络对80端口的数据请求被定向到17的80端口2.5.5.1;第 2~3 行表示从 NAT 网络到 53 端口的 TCP 和 UDP 请求都指向 172.5.5.1 的 53 端口。

接下来的任务是在本地启动HTTP服务,并配置网页信息和302跳转到对应的请求。同样以nginx为例,打开/etc/nginx/sites-/文件修改为如下配置:

{

80;

根 /var/www/html;

/{

$uri $uri/ /index.html;

}

~ \.php$ {

/-php.conf;

:/var/run/php/php7.0-fpm.sock;

}

}

上面的配置中,/var/www/html会被指定为web根目录,当访问一个不存在的路径时,会被302重定向到index.html文件。同时,解析PHP 文件也被启用,因为 PHP 程序将用于将用户输入的帐户保存在本地。

使用从 下载的 Gmail 钓鱼模板,将提交帐户信息的表单指向 post.php。

#post.php

图片[15]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

最后重启nginx和php服务,使配置生效,命令如下:

nginx php7.0-fpm

使用手机连接热点,系统会立即提示您需要身份验证。打开提示后,出现默认钓鱼界面。您可以尝试在登录框中输入任意帐户密码,然后单击登录按钮提交。

图片[16]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

在Web根目录下可以查看记录用户输入信息的log.txt文件,如下图所示。

图片[17]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

2.6 其他用例

l 在很多比赛中,很多通过浏览器发起的攻击都是利用Wi-Fi的特性触发浏览器漏洞。

图片[18]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

l 在2018年日本会议上,作者和前同事提出了一个主题“RCE with )”,介绍了一种利用无线网络强制门户的特点和系统中的一系列漏洞来实现远程代码效果的组合攻击方法执行 。l JS缓存中毒

由于钓鱼热点中DNS服务器可被劫持,且企业内网存在大量非https网站,攻击者可以有针对性地将恶意JS文件缓存在受害者的浏览器中。员工访问内网时,可以缓存恶意JS文件。该文件将被唤醒执行。

3. 企业无线钓鱼防护的困境与突破

3.1 普通用户的应对策略

前面的内容从攻击者的角度详细讨论了钓鱼热点的构建方法和可能造成的危害。相信读者已经意识到这是一种低成本、高回报的攻击方式。那么作为普通用户,如何避免被钓鱼热点攻击呢?可以遵循以下简单规则来保护个人数据:

(1)对公共Wi-Fi网络持不信任态度,尽量不要连接没有密码保护的无线网络。

(2)使用公共热点时,尽量避免输入社交网络、邮件服务、网上银行等登录信息,避免使用网上银行、支付宝等包含敏感信息的应用。

(3) 不使用时关闭 Wi-Fi 以避免自动连接的风险。

(4) 尽可能使用虚拟专用网络 (VPN) 连接,这将允许用户数据通过受保护的隧道传输。

3.2 企业无线钓鱼防护的困境

普通用户的应对策略取决于自身的安全意识。事实上,对于企业级用户来说,很难要求每个员工都具备良好的无线安全意识,并且在日常使用中能够做到。当然,企业也采取了其他保护措施,尽可能地缓解无线安全威胁,但效果并不理想。以下三个主题是常见的:

l 如何进行有效的无线安全意识培训?l 部署WIPS产品阻断恶意热点能否解决所有问题?l VPN能否抵御所有攻击?

(1)无线安全意识培训

笔者曾在原公司安保团队中为全公司员工策划了一次无线钓鱼活动。通过精心设计的“羊毛采摘活动”、精美的彩印宣传单、钓鱼网页等材料,半小时内引导80名员工连接。输入网络钓鱼热点并获取他们的域帐户。下图为前任老板对无线钓鱼演练的点评,以期督促全体员工更加关注无线安全。

图片[19]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

事实上,活动实施前一个月是内部的“无线安全月”,通过公司内部大量的文字和宣传册,以及参与方式,向员工传授了无线安全的重要性和关注度。获得奖品的活动。事情。然而,实践表明,再多的安全广播和新闻稿都可能不值得一条模糊的信息。对于参与网络钓鱼活动并被招募的员工,他可能会记住他的余生不连接Wi-Fi并验证来源。

(2)WIPS 阻止热点

部分单独部署的企业AP产品或WIPS(无线入侵防御系统)产品具有热点阻断功能,通过MAC地址黑白名单策略触发对疑似热点的自动阻断。但是,在实际操作中还会存在以下问题。:

l 攻击者可能会伪造白名单热点的MAC地址。l 名称不同的钓鱼热点难以发现和监管。l 防御范围只能在建筑物内实施。

因此,封锁热点的功能并不能解决所有钓鱼热点问题。

(3) VPN

在 Wi-Fi 场景中,根据 VPN 状态可以分为三个阶段:

1. 认证前。

2. 认证后,VPN 连接前。

3. VPN 连接后。

大多数VPN产品只能在第三阶段提供流量加密和部分保护功能,而在第二节中,我们学习了在VPN开启之前攻击无线客户端的各种方法,所以我们要依靠能力单独的VPN。防御所有无线攻击是不切实际的。

3.企业无线钓鱼防护的3个突破

在2020年疫情的背景下,全球企业被迫加速实施员工移动办公和远程办公,再次带动了行业对网络边缘安全的关注。

我在介绍中提到,“员工在不受信任的无线网络中远程办公是不可避免的安全挑战”。在与内网分离的远程办公网络条件下,无法采取网络级入侵检测等防护措施。可以实现的是终端上的安全能力,而传统的VPN产品和终端安全软件产品在提供安全控制、身份管理、访问访问等方面处于能力分离、分离的状态。这是一个迫切的需要。将这些能力结合起来的一个有效方式是根据具体场景相互配合,为决策提供信息支持。

在我加入腾讯,实际使用过内部iOA零信任产品后,发现在零信任入网的框架下,员工终端设备需要具备终端检测、防护等安全模块。,都需要用户认证,设备安全状态,软件应用安全状态检查和授权,全链路加密。流程中的验证本质上是一系列的合规检查,逻辑上可以分为四类:可信身份、可信终端、可信应用、可信链路,如下图所示。

图片[20]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

对于我们在公共场所的远程办公场景,新接入的设备需要统一安装Agent,通过远程分发策略提供统一标准化的需求。其中,对无线钓鱼攻击的检测与防护可视为安全访问的合规性。条件,如下图所示。

图片[21]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

因此,当我们回顾上面提到的各种无线钓鱼攻击方式时,我们可以发现,以零信任理念构建的终端安全产品可以阻止员工连接钓鱼热点,或者即使他们连接了钓鱼热点,可以被攻击。保护:

假企业热点无线钓鱼攻击——我们拥有企业内部真实无线热点的数据,所以当用户设备主动或被动连接到开放网络时,零信任端点安全产品可以结合企业的MAC地址等无线特性连接热点 执行 WiFi 接入点认证如何让外网访问内网服务器,拒绝访问请求,并在认证失败时警告用户无线网络钓鱼攻击。DNS 劫持 - 当设备通过 DHCP 服务获取 IP 地址时,它也会获取该网络指定的 DNS 地址。零信任终端安全产品可以检查设备的DNS状态是否合规,可以采取强制指定DNS服务地址的策略,或者检测DNS服务对互联网关键域名或公司相关域名的解析是否正常。认证失败时拒绝访问请求,帮助用户修复DNS异常状态。安全强化 - 实施依赖于定期 DNS 劫持。如果一开始就纠正了DNS,用户可能无法跳转到认证页面完成认证。因此,有必要检测并实施相应的加固。用户完成网络认证后,DNS缓存被清理和更正。身份验证网络钓鱼 - 攻击者可能使用身份验证页面在社交上欺骗员工获取他们的敏感信息等。零信任终端安全产品可以加强浏览器的安全性,增加醒目的安全提示,防止员工主动输入企业敏感信息。哈希泄露——零信任终端安全产品可以进行安全加固,防止哈希泄露。局域网攻击的威胁——当员工的设备连接到目标无线网络时,该设备打开的各种服务端口可能会被局域网中的其他设备利用或攻击。零信任终端安全产品也具备传统终端安全软件的防护能力。检测和阻止来自网络的攻击。敏感信息监控威胁——攻击者可以监控网关处的所有明文流量,

通过对上述攻击方式一一分析可以发现,零信任架构下的终端安全产品可以帮助设备在无线网络接入的多个阶段缓解攻击威胁。当向内网服务发起访问请求时,可以在设备上进行多维度的安全合规验证。如果验证失败,则拒绝该请求,并告知用户当前的异常状态,并帮助用户进行相应的清洗。认证通过后,建立全链路加密,保护所有网络流量。

图片[22]-如何让外网访问内网服务器-黑客视角揭示WiFi网络钓鱼,零信任带来保护突破-稻子网

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片