百鬼夜行の 杨 哲 (Longas)

看不见的无线安全 ZerOne无线安全研究

ZerOne无线安全研究组织

杨 哲 (Longas)

• 成立于2006年，均为无线安全研究员/爱好者 • 成员来自安全公司、游戏公司、高校、公安及政府 • 历程与成果

– 建立中国最大的Anywlan网站“无线安全”讨论区

– 发起国内无线WPA加密分布式破解项目

– 发布AntiMatter反物质云无线破解平台 – 开创“Wi-Hack”无线安全系列课程

– CNVD 国家漏洞库/ WooYun贡献者 – 出版无线安全系列书籍

LTE-HDD NFCLTE-FLDTDE-FLDT车DE-联FD网D Infrared 医疗 铁路 LTE-FDDSECR物SEPTEE卫联TDAS星车网PL联教通EE网NE信育DTN能行能OIN源业源T干EW扰RiDr有eINGlDeINIsEBTG源sAOLTITLOSAEGCR干LWNREFi扰ErGTeYIWSlDEMeSsS-sBRL民O无教G线航电育GYSE车MCS有行LINO-源RTC联EKRR业教NF无IED网T线育卫电TI干星M交物行有I扰EN通源F通联业YOR信FREI车MD网ISInAn联GTff电YrI网rOTNPaaENArrOS力eSeLd交GdIEN行干S有NT通卫TM源ETA业扰R星R-FLIRND车E通ENNT信联物TO干有G网联扰SI源NM网TY电-R交IENREFRST力通IENDR卫行EKNNT星EO业RTWI通ENnSLFf信ECrOINaDTUrEGCReRLFEOdACCCKEE



GPS Vo-LTE医疗



WireleBssLOG



LANGUAGE



HackRF AGPS能源

ZSigBDee R IOT OpenBWSC 移iF动互iSPEED



NFC

LTE-FDD



INFORMATION

有源RFID



GSM-R



联网运营商

Infrared

医O疗penBTSRFID GSMIOT SPEED 卫星通信NO



轨道交通

TELEVISION

Wireless



干扰

EDUCATION

APPLICATION

车联网



BLUETOOTH 无线电LTE-HDDSECRETHackRFDIGITAL



能源

NO



NFC



IOT



无线电



教育行业 民航 Wireless LTE-HDDLTE-FDDDEVINETLSEOPRInPENfrMEaErDITeNEdNT电能ET交R力源N通E行T 卫业S卫P星星E通B通干EL信DO扰信GLNTSEOGO-ISNMHC能TOE-RIDRNAp物E源DDTLeIG联nSITEBPAC网RLTHGE有STROPEYNS源SEOESUR交RFNCIFDE通C



无线电



PHONE



APPLICATION 轨道交通



TALENT ADVERT 干扰



CLOCK 物联网BLOG IOT



铁路



无线电 GSM-R 教育行业 INTERNET



GPS 卫星通信



车联网INTERNET 干扰 干扰 物联网NO

CLOCK INFORMATION



车联网

KNOWLEDGE



教育行业 INTERNET

• 2G/3G/4G安全 • 伪基站分析 • 短信群发/钓鱼

谈谈伪基站

针对2G/3G/4G通信的高级MITM实现

• 拦截IMSI、TMSI • 伪造短信验证码 • 信令劫持 • 伪造基站 • MAS服务MITM攻击



无线攻击者



钓鱼攻击



短信校验 伪造站点 码监听 /数据

2015~2016：运营商3G/4G业务模拟攻击

伪基站小时代

• OpenBTS • USRP • RAD-1

解剖“伪基站”

解剖“伪基站”

典型手机短信钓鱼示例

• 短信群发 • 短信验证 • 伪造短信 • 短信监听 • GSM气数已尽？

再见短信？

短信群发的几种形式

• 短信猫 SMS Modem – SIM Card – RS232、USB

• 企信通 – 由于限制严格，多数已转向电信小灵通发送SMS

• 移动MAS – 收发短信，WAPPush – Java+Tomcat+Hibernate+MySQL – OA增值功能

• Other Ways • 黑色产业链设备

短信验证的悲哀

• 短信验证场景

–网银登录手机校验码 –公共场所WiFi访问密码 –企业内部802.1X认证环境访问密码 –在线交易校验码 –邮箱密码丢失验证码 –临时验证码

手机验证码/交易过程面临的安全威胁

单一化手机验证流程机制，已在国内绝大部分银行、 银联、运营商、商业论坛、邮箱服务提供商等广泛使 用

现有安全策略： 1、重新发送时间限制：2分钟内不能点击“重新发 送” 2、基于手机号码自身的身份验证 3、个别方案中会使用二次短信验证

单一化手机短信验证存在严重安全隐患

1、中间过程不可控 2、用户对短信来源无感知，即容易被伪造 3、绝大多数情况下仅依赖于一次验证码

咖啡厅的WiFi验证SMS

• AT&T、T-Mobile与星巴克合作 • 中移动：CMCC-Starbucks

–以前依靠单纯的WPA-PSK密码 –现在通过手机发送无线密码SMS

• 安全威胁： –一周内以注册用户身份使用WiFi –对指定对象伪造攻击的可能 –用户对短信的盲目信赖感

机场的WiFi环境验证SMS

• 国内机场 – SSID：“Airport WiFi Free” – 伪造AP的天堂

• 安全威胁： – 以他人身份使用WiFi – 此类短信多数以1065、 1069之类开头的号码发送 – 使用特定短信工具可轻松 实现欺骗攻击

工业控制领域の无线安全

• 业务/物流/应急服务跟踪系统

–自动发送内部故障处理工单SMS –物资调度及通告SMS

• 业务系统GSM自动告警模块

–自动发送未加密告警短信

多重手机验证流程机制并不能从根本上解 决安全威胁 思路1：在流程中增加额外需填写信息

思路2：通过不同通道验证码加强验证

思路3：更换验证方式

犯罪实施的低成本化、机动化与多样化

• 低成本化

–68元SIM卡 + 200元GSM手机 –用完即换

• 机动化

–随身多张SIM卡 –GSM手机用完即扔 –黑卡

• 多样化

–多卡多待 –一卡多号，最多可达12个号码 –SIM卡复制应用更广

GSM真的气数已尽？

• 从双卡双待到全网通

– GSM / CDMA – GSM / WCDMA – GSM / TD-SCDMA – GSM / TD-LTE – …… – 必有一卡支持GSM

• 个人持有手机号码 – 双号 – 3个以上

SMS，隐私暴露的必然



• 银行交易信息

–工资到账 –转账记录 –银行卡开户行 –银行卡后4位

• 差旅信息

–航班信息 –酒店预订信息 –签证信息



• 在线提示信息



–证券交易



–期货交易



–网校注册



Only



–邮箱注册



3 Months

• 其它提示



–未接来电提醒



–流量提示信息



–学校通知信息

来自中移动的数据

• 截至2016年3月，中国移动用户总数为8.34亿户

• 其中，2G、3G、4G用户分别占到50.5%、26.3%、

23.2%。

• 粗略计算，国内至少约有3亿户仍在使用GSM。换句话说

，国内至少还有3亿户面临威胁GSM空口数据威胁。

• 参考中移动的网络融合速度、新用户增长速度、资费 套餐设计及市场粗略判断，大幅度解决此安全隐患，

至少还需要3~4年。

一个简单的思路

• 针对双卡槽智能手机的特定病毒 （Android）

– 自动识别两个卡槽中SIM卡类型 – 可根据多种方式远程激活（微信、

短信等）

– 主要功能： 强制切换GSM的SIM卡为默认主卡 或者

免激活非GSM的SIM卡

• GPS 卫星定位 • CPS 基站定位 • WPS WiFi定位 • 监听模块定位

• SS7 信令定位 • 第三方APP



手机定位

GPS卫星定位

• 可根据设备内置的GPS模块锁定当前位置 • 第三方APP读取GPS数据

CPS基站定位

• 可根据空口信令中包含的LAI信息来显示基站信息 – MCC，移动设备国家代码 – MNC，移动设备网络代码（运营商） – LAC， – CID，CELL ID – LAT，WGS84纬度 – LNG，WGS84经度

IMSI的意义

• IMSI：国际移动用户识别码

– 15位， MCC+MNC+MSIN

不止是运营商

反跟踪技巧：IMSI会告诉你~

• 常态化个人路线建模

–工作、生活

• 重复率筛选

–手机所在位置区识别号LAI –记下最近1个月出现率最高的全部IMSI，添加到黑名单

列表中 –排除熟人/同路/沿线住址

WPS WiFi定位

• WiFi RSSI指纹库

– 基于WarDriving采集 – BSSID – RSSI，接收的信号强度

指示

• WPS局限性

– 目标手机必须开启WiFi – MAC与手机号码的匹配

问题

监听模块定位

• 基本功能

– 监听功能 – 声控功能 – 支持短信参数设置

• 激活监听模式 • 目标定位

• 特点

– 支持GSM – 待机一周以上 – 外型多样化

SS7

• SS7

– 信令系统#7是由 ITU-T 定义的一组电信协议 ，主要用于为电话公司提供局间信令。

– SS7 中采用的是公共信道信令技术，也就是 带外信令技术，即为信令服务提供独立的分 组交换网络。

– SS7 起源于SS6，SS6开发于20世纪60年代 后期，是第一代公共信道信令。SS7 最早是 为电话呼叫控制应用而设计的。目前SS7 的 功能包含了数据库查询、事物处理、网络操 作和综合业务数据网络（Integrated Services Digital Network,ISDN)等。

第三方APP：个人行动规律建模

• 家庭住址？公司地址？很难么？ • 不，这和社工没关系 • APP会告诉你

云存储类APP的手机定位



1：服务器端远程备份短信联系人等资料。



2：远程锁定/擦除手机所有数据。



APP主要功能



3：支持通话转移功能。



4：发送地图信息点到手机/电脑



5：定位你的手机

• 国内WiFi Hack历史 • 无线主流Crack技术 • 反物质平台

WiFi重灾区

国内WiFi Hacking 历史

• 2006~2007 觉醒时期 • 2008~2009 蹭网卡鼎盛时期 • 2009~2011 “多国杀”时期

– 创造奇迹的RTL8187 – 永无止境的发射功率 – 悲催的蚂蚁战车

– SpoonWEP/SpoonWPA – 黑色产业链的形成 • 2010~2012 GPU时期 – EWSA • 2012~2014 移动破解时期 • 2015~2016 云破解时期+回归

WiFi Attackの趋势



CrackWPA CrackWEP



FakeAP

Air Interface



WiFiPhisher

MITM



Multi-Agent

Jamming



Deauth

Pentest



WAP Jack

WAPTunnel



WIDS/WIPS

MITM



EAP Hijack

Fake Radius



Home SOHO

SOHO Router

Femto



IOT

Home

智能摄像头

智能路由器

智能插座

智能电器



IOT

Industry

工业物联网

车联网

民航WiFi 公交WiFi



隐私化

随身WiFi 车载4G路由

Crack #主流

• Dictionary • WPA PMK Hash • WPS Online / Offline

• Distributed • GPU • Cloud

Cloud based のWiFi Crack Platform

{反物质}无线安全评估云平台



用户



上传 握手包



云平台



指派 任务



运算节点



组合 样本



运算结果返回

40,000,000,000,000 5,000

应用 领域

内部安检 安全评估 无线渗透 边界防护

RP分割线

家庭防窥 隔壁老王 邻家妹纸 小区鲜肉

• SDR • WiFi • ZigBee • Car-Hacking • IOT • SmartDevice • AirLine



More

杨哲

(Longas) ZerOne无线安全研究组织 longaslast@126.com

Thanks !!