发个快递即可实施网络入侵 IBM X-Force 发现新型网络风险
2018 年 8 月,IBM 安全事业部宣布成立了 X-Force Red 实验室,其是由四个安全实验室,分别设在美国德克萨斯州奥斯汀、佐治亚州亚特兰大、英国赫斯利以及澳大利亚墨尔本——构成的网络,致力于测试各种设备和系统的安全性,包括消费物联网和工业物联网技术、汽车设备以及自动柜员机 (ATM) 等等。
X-Force Red 使用现成的组件构建了该设备(包括低功耗单板计算机和物联网调制解调器),然后通过他们的远程服务器对其进行控制以发动成功的攻击。这项新技术被 X-Force Red 称之为 “Warshipping”。
“Warshipping” 是一种没有人考虑过的攻击媒介。与 Wardialing 或者 Wardriving 这样的传统方式不同,Warshipping 是一种支持 3G 网络的设备,可以很容易地隐藏在一些看似无害的东西中,例如可以塞进包装盒的底部,或是塞在儿童的泰迪熊及其他看似寻常的礼物中。这种方式对黑客而言起到了完美的伪装效果,同时也避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。
IBM 在最新发布的一篇新帖中指出,企业尤其容易受到 “黑色星期五” 或 “剁手星期一”(在美国,商店通常在星期一列出大折扣的商品,发布在网上以吸引顾客)等电子商务活动的攻击,因为在这些时间点员工会习惯性地往办公室邮寄包裹。
Warshipping:邮寄包裹成为新的威胁矢量
IBM X-Force Red 在未知名的客户端上详细演示了此次攻击,该团队表示:
对于这个项目,我们选择通过侦听我们可以用来侵入受害者系统的数据包来进行被动无线攻击。举个例子,我们听到了一次握手,一个信令表明设备建立了网络连接。其中一个‘战舰’(WarShip) 设备将捕获的哈希传送到我们的服务器,然后我们利用后端进行破解,基本上就是用户的无线密码,然后获得 Wi-Fi 的掌控权。
他们补充道,通过这种 “战舰” (warship) 还可以发送其他主动无线攻击,例如解除身份验证攻击或 “双面恶魔” (evil twin) Wi-Fi 攻击。通过发布一个 “双面恶魔” Wi-Fi 网络,WarShip 设备还能够创建自己的流氓 Wi-Fi 网络,迫使目标设备连接到该网络。自此目标机构的关键信息,例如用户名和密码都会发送给黑客,以便黑客进行后续的网络攻击。
所谓“双面恶魔”(evil twin) 攻击是指攻击者使用相同的 SSID 创建一个欺诈性接入点,因为与受害者常用 SSID 名称一样,并且具有更强的型号,因此可以轻易欺骗受害者与之连接。建立连接后,攻击者可以替换网页,比如亚马逊付费界面替换成攻击者自制的类似界面,给受害人造成经济损失。另外也可以通过连接一定程度上的窃取受害者电脑上的信息。此种攻击难以侦查,攻击者甚至只需要一台笔记本就能创建一个欺诈接入点。双因素身份验证和 VPN 可以帮助抵御双面恶魔热点攻击,但是成本较大,只适用于大型公司。
除此之外,该团队还表示,对于一些聪明的犯罪分子而言,他们能够在需要时将这些设备变成低功耗设备,并在休眠时完全关闭它们。
在传输过程中,设备会定期进行基础的无限扫描,类似于笔记本电脑在寻找 Wi-Fi 热点时所做的事情。它通过 GPS 将其位置坐标发送回命令控制 (C&C) 服务器。
IBM X-Force Red 全球负责人 Charles Henderson 表示:
一旦我们看到 warship 设备到达目标机构的前门、邮件收发室或是包裹装卸码头,我们就能够远程控制系统并运行工具,以被动或主动地尝试攻击目标的无线接入。
Warshipping威胁究竟是什么?
Warshipping 是老式黑客攻击技术的一种演变形式,允许网络犯罪分子远程渗透目标网络。在 20 世纪 80 年代和 90 年代,拨号互联网的时代,网络犯罪分子会利用 wardialing 通过系统地调用一个数字块以获取未经授权的网络接入,直到他们成功拿下随后可以实施攻击的弱系统。
但是,与 Wardialing 或者 Wardriving 这样的传统方式不同,Warshipping 是一种支持 3G 网络的设备,可以很容易地隐藏在一些看似无害的东西中,以此实现更加灵活的远程和现场控制能力。
Warshipping缓解措施:不要指望信号强度
为了保护自身免受这种类型的攻击影响,建议公司可以像对待访客一样对待邮寄包裹,并制定适当的安全流程来对其进行安全审查。
IBM 补充道,信号强度并不是安全控制措施,不要指望它!企业必须确保其网络的信号强度,就好像它是都会中心区的无线技术一样。对于 Wi-Fi,请确保您的组织使用强大的 Wi-Fi 保护访问 (WPA2) 机制。如果您使用的是非无线协议,请确保根据需要使用强加密和其他控制机制。
此外,还要避免在企业环境中使用共享密钥。在一些高安全性无线部署中,使用多因素身份验证 (MFA) 的虚拟专用网络 (VPN) 被用作保护内部网络的网关。
相关文章
- 1条评论
- 惑心节枝2022-06-05 16:42:52
- 效果,同时也避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。IBM 在最新发布的一篇新帖中指出,企业尤其容易受到 “黑色星期五” 或 “剁手星期一”(在美国,商店通常在星期一列出大折扣的商品,发布在网上以吸引顾客)等电子商务活动的攻击,因为在这些时间点员