360無線安全負責人：如何對入侵做到未卜先知

摘要： 內容來源： 2018 年 9 月 18 日，360集團無線安全負責人柴坤哲在“2018第三屆SSC安全峰會-白帽子之夜”進行《後無線滲透利用的藝術與未卜先知》的演講分享。IT 大咖說作為獨家視訊合作方，經主辦方和講者審閱授權釋出。 閱讀字數： 2828 | 8分鐘閱讀 獲取嘉...

內容來源： 2018 年 9 月 18 日，360集團無線安全負責人柴坤哲在“2018第三屆SSC安全峰會-白帽子之夜”進行《後無線滲透利用的藝術與未卜先知》的演講分享。IT 大咖說作為獨家視訊合作方，經主辦方和講者審閱授權釋出。

閱讀字數： 2828 | 8分鐘閱讀

獲取嘉賓演講視訊及PPT ，請點選：t.cn/EAdw9Pe。

無線的不安全性，相信無論是公司還是個人都有所瞭解。但是很多公司在制定相關防禦標準或體系的時候，往往都沒有將無線安全作為一個關注點。因為他們雖然知道無線不安全，卻不知道其不安全的點到底在哪。

現在無線基本上已經非常普遍了，基本上哪裡都可以搜尋到wifi。因此企業會面臨的各種安全問題，首先無線是訊號擴散的，不像傳統有線安全一樣，只要搞定地插就夠了。另一方面是企業的高管，他們的無線賬號或手機裡包含很多高許可權的東西，比如更高的訪問許可權，手機裡有更多資料，這使得公司更容易被攻擊。因此我們要保護的不單單是公司的整個防禦體系，還有個人裝置的無線安全。

上圖是國內WiFi加密圖示，其中WEEK是弱加密，也就是純數字的密碼。需要提到的是，不管是騰訊免費wifi、360免費wifi還是其他的工具，都有一個特定標準，就是不能上傳基於EAP的加密方式，也就是不能針對企業使用者。

前面提到的那些WiFi，其實只有0.4%是存在高風險的。所謂高風險是指各大廠商通過wifi發現其中有ARP碎片、DNS碎片或者對內網的攻擊方式的哪一類。生活中一旦連線到這些有風險的wifi，我們的資產和資料就會面臨被黑的風險。

前面主要講的是C端方面，現在來看下提供wifi接入的裝置廠商的漏洞樹狀圖。圖中的標題是IoT Device，所以並不僅指無線解決方案。我們在滲透中遇見最多是H3C的解決方案，可能是因為它便宜吧。

上圖的報告記錄了移動裝置相關的wifi安全情況。以下是從該報告中提取出來的資料。

• 81% 的CIO表示企業在過去一年發生過與WiFi相關的安全事件

• 57% 的CIO懷疑過去一年中企業的移動員工被黑，或者導致相關的移動安全問題。

• 62% 的WiFi相關安全事件發生在咖啡館中。

• 94% 的CIO認為BYOD的興起加劇了移動安全風險。

• 46% 的受訪企業表示其員工在公共WiFi場所每次上網都會使用移動VPN。

案例

這是我們在做滲透測試的拓撲圖，黑客可能會先通過無線客戶端的方式實施攻擊，如果拿下了客戶端，就說明已經拿到了登入憑證，並能以此進入內網。另一種是針對企業大樓的無線解決方案入侵，這種相對來說比較簡單，因為一般來說只有在搞不定大樓的時候黑客才會去入侵客戶端。

由於某些需求，員工往往會嘗試通過私接路由器或者利用隨身wifi產品的方式來建立無線熱點，並且大多沒有采用安全的加密模式。對於入侵者來說這就是非常大的安全點，而且擴散出的wifi會具備本機所有的訪問許可權。

弱口令可以說是一個歷史遺留問題，這裡給大家講一個案例。我們滲透的是一個國內的基礎設施，它有一個大的內網。這個節點的wifi完全沒有加密，整個網路拓撲非常混亂，所有裝置都在一個WLAN中。我們接入wifi後掃描到了190多個裝置，裡面包含視訊映象伺服器、檔案伺服器、員工電腦、印表機等等。作為一位粗暴的選手，我們一開始就直接使用弱密碼一頓撞，然後拿到了這個節點的控制權限。

之後我們還想通過入侵核心網路拿到全國所有相關基礎設施的控制權限。但一般情況下網段之間是有網路訪問控制權限的，在這個網路裡也一樣，無法通過現有網路直接訪問到核心網。

在依次登入節點中的裝置後，我們發現其中一臺視訊映象伺服器有雙網絡卡，另一個網路就是核心網。最終我們利用這臺機器作為跳板入侵到了核心網。

還有一個案例是針對國內航空公司資訊化部的滲透。無論是無線滲透還是物理滲透都要有一個能搜到他們公司WiFi的地方，一般在連上WiFi之後會彈出網頁讓你輸入使用者名稱和密碼登入，這種叫做portal網路，在該網路環境下想要訪問內網資源必須進行驗證。

Portal認證機和內網的核心機器一定是有互訪許可權的，也就是說只要搞定了portal就能夠實現內網漫遊。我們所滲透的網路的portal認證機其中的某一個引數正好可以用於入侵攻擊，使得我們輕鬆拿下了它的訪問許可權。

很多人都喜歡將portal網路稱之為加密方式，但是加密最重要的是資料包加密，而portal網路中資料包全部是明文的，所以個人更認為它是一種准入方式。所有的HTTP、TCP請求都會重定向到portal認證機上。

Portal的問題主要有這幾個，一資料沒有加密，二無法防禦中間人攻擊，三portal機器本身的問題會直接導致ACL繞過，最關鍵的還是MAC地址欺騙。

後無線和未卜先知

我們團隊並不是每個人都在做無線安全相關研究的，也有做windows、linux相關滲透的同學，這讓我們有很多時間用於思維碰撞上，從多個角度看待安全問題，在傳統安全和無線安全之間尋找一個交點。

簡單說一個相關案例。SMB攻擊大概是windows數十年以來的一個缺陷。我們都知道在連線上portal之後會跳出登入網頁，如果對這個網頁做些手腳會怎麼樣呢？

比如在頁面中插入img圖片標籤，請求地址是內網共享伺服器地址。這時如果使用的是windows電腦，它就會將hash自動發出去一份，而我們可以將這個hash重放到exchange伺服器上，然後再利用exchange的漏洞執行惡意檔案，比如網頁開啟的同時跳出計算器之類的。

其實後無線安全是個人的一個安全理念，關鍵詞是結合。比如將移動安全、無線電安全、傳統安全等和無線安全結合起來。

2018年6月，Wi-Fi聯盟組織正式推出了準WPA3。通過從頭設計解決WPA2中的技術缺陷，緩解Krack、De-auth等無線攻擊，增強了配置、身份驗證和加密上的安全與功能。該標準同樣包括Person、Enterprise兩種模式，同時還可以應用於物聯網領域。

這套標準想要普及可能還需要1、2年時間，在這段時間內我們會針對WPA3進行一些安全研究，也就是標題中說的未卜先知。

以上為今天的分享內容，謝謝大家！