Источник: https://github.com/AnaktaCTF/CTF/blob/main — RealLife/Evil_Twin_Wifi.md

Что такое атака Evil Twin

Evil Twin (Злой Близнец) — это тип атаки на беспроводные сети, при которой злоумышленник создает поддельную точку доступа Wi-Fi, которая имитирует легитимную сеть. Поддельная точка доступа обычно имеет то же имя сети (SSID) и часто более сильный сигнал, что заставляет устройства пользователей подключаться к ней вместо оригинальной сети.

image

Главная особенность этой атаки заключается в том, что пользователь полагает, что подключается к доверенной сети, в то время как на самом деле все его данные проходят через точку доступа, контролируемую злоумышленником. Это классический пример атаки типа "человек посередине" (Man-in-the-Middle, MitM) в контексте беспроводных сетей.

Цели и возможности атаки Evil Twin

Атака Evil Twin предоставляет злоумышленнику обширные возможности:

  1. Перехват конфиденциальных данных: Злоумышленник может перехватывать весь незашифрованный трафик, проходящий через поддельную точку доступа, включая логины, пароли, личные данные и информацию о кредитных картах.

  2. Модификация трафика: Атакующий может не только перехватывать, но и изменять передаваемые данные, внедряя вредоносный код или перенаправляя пользователя на фишинговые сайты.

  3. Получение доступа к закрытым ресурсам: После получения учетных данных пользователя злоумышленник может получить доступ к корпоративным сетям и защищенным ресурсам.

  4. Распространение вредоносного ПО: Через поддельную точку доступа атакующий может распространять вредоносное ПО на устройства жертв.

Векторы атак через Evil Twin

image

Фишинг через Evil Twin

Один из наиболее распространенных векторов атаки через Evil Twin — это фишинг. Злоумышленник может реализовать это несколькими способами:

  1. Перенаправление на фишинговые веб-сайты: Через DNS-спуфинг атакующий может перенаправлять запросы к легитимным сайтам на поддельные фишинговые страницы, которые визуально идентичны оригинальным.

  2. Поддельные порталы аутентификации: Злоумышленник может настроить поддельную страницу авторизации для Wi-Fi (captive portal), имитирующую процесс входа в сеть (например, страницу авторизации в отеле или кафе). Когда пользователь вводит свои учетные данные, они попадают к атакующему.

  3. Имитация обновлений программного обеспечения: Пользователю может быть предложено установить фальшивое обновление, которое на самом деле является вредоносным ПО.

Атаки на корпоративные порталы

Evil Twin особенно опасен для корпоративных сетей:

  1. Перехват корпоративных учетных данных: При попытке сотрудника подключиться к поддельной корпоративной сети, злоумышленник может получить данные для доступа к внутренним ресурсам компании.

  2. Проникновение в корпоративную инфраструктуру: Получив учетные данные, атакующий может получить доступ к VPN, внутренним системам, базам данных и другим корпоративным ресурсам.

  3. Имитация корпоративных порталов: Злоумышленник может создать точную копию внутреннего портала компании для сбора учетных данных сотрудников.

Сниффинг данных

Evil Twin предоставляет широкие возможности для перехвата и анализа сетевого трафика:

  1. Перехват незашифрованных данных: Все данные, передаваемые по незашифрованным протоколам (HTTP вместо HTTPS, FTP вместо SFTP и т.д.), могут быть легко перехвачены.

  2. Анализ метаданных и шаблонов трафика: Даже если содержимое трафика зашифровано, атакующий может анализировать метаданные, такие как посещаемые сайты, время соединений и объемы передаваемых данных.

  3. Перехват сессионных cookie: Злоумышленник может перехватывать cookie-файлы сессий для получения доступа к учетным записям пользователей без знания их паролей, если сайты не используют механизм Secure Cookie.

Эволюция технологий защиты и препятствия для атаки Evil Twin

С развитием технологий кибербезопасности, эксплуатация атаки Evil Twin становится более сложной, хотя она по-прежнему остается актуальной угрозой:

  1. Распространение HTTPS: Повсеместное использование HTTPS затрудняет перехват чувствительных данных, хотя атаки на перенаправление с HTTP на HTTPS остаются возможными.

  2. Использование Virtual Private Network: Использование VPN при защите от Evil Twin помогает зашифровать передаваемые данные, предотвращая их перехват злоумышленником.

  3. Улучшенные механизмы аутентификации в корпоративных сетях: Корпоративные сети все чаще используют 802.1X и EAP (Extensible Authentication Protocol), которые обеспечивают взаимную аутентификацию клиента и сети, усложняя имитацию сети.

  4. Мониторинг безопасности Wi-Fi: Организации внедряют системы обнаружения и предотвращения вторжений для беспроводных сетей (WIDS/WIPS), которые могут обнаруживать неавторизованные точки доступа.

  5. Методы обнаружения Evil Twin: Появились специализированные решения для обнаружения потенциальных атак Evil Twin, которые анализируют сигнатуры точек доступа и поведенческие характеристики сети.

  6. Повышение осведомленности пользователей: Растет уровень информированности пользователей о рисках подключения к недоверенным Wi-Fi сетям.

image

Evil Twin в контексте сотовых сетей

Атака Evil Twin актуальна не только для Wi-Fi сетей, но и для сотовых коммуникаций. В этом контексте атака реализуется с помощью поддельных базовых станций, известных как "стинг-устройства" (IMSI-catchers или "стингеры"):

  1. Имитация базовых станций: Злоумышленники могут использовать специализированное оборудование для создания поддельных базовых станций, к которым подключаются мобильные телефоны в зоне действия.

  2. Принудительный даунгрейд защиты: Фальшивая базовая станция может принудительно переключать телефоны на более старые и менее защищенные протоколы (например, с 4G на 2G), где шифрование слабее или отсутствует.

  3. Перехват SMS: Особенно опасно перехватывание одноразовых паролей, отправляемых через SMS для двухфакторной аутентификации.

  4. Прослушивание звонков: В некоторых случаях возможно перехватывание и прослушивание телефонных разговоров.

  5. Отслеживание местоположения: Такие устройства могут использоваться для отслеживания местоположения конкретных мобильных телефонов.

Необходимые инструменты для реализации атаки Evil Twin на Wi-Fi сети

Аппаратные средства

Для проведения атаки Evil Twin требуется следующее оборудование:

  1. Беспроводной адаптер с поддержкой режима мониторинга и инъекций пакетов: Наиболее популярные модели:
    • Alfa AWUS036ACH
    • Alfa AWUS036NHA
    • TP-Link TL-WN722N (версии 1.0)
    • Panda PAU06

image

  1. Компьютер или одноплатный компьютер: Часто используются:

    • Ноутбук с Linux
    • Raspberry Pi
    • Специализированные устройства вроде WiFi Pineapple

  2. Дополнительный адаптер (опционально): Второй адаптер для обеспечения интернет-соединения для поддельной точки доступа.

Программные средства

Сравнение популярных инструментов для атаки Evil Twin

Инструмент Основные возможности Совместимость Простота использования Активная разработка Особенности
Aircrack-ng Мониторинг, деаутентификация, создание AP Linux, Windows, macOS Средняя Да Широкий набор инструментов, требует знания CLI, стандарт для пентестинга Wi-Fi
WiFi Pineapple Готовое решение для MitM-атак, множество модулей Автономное устройство Высокая Да Коммерческий продукт, web-интерфейс, обширная документация
Wifiphisher Автоматизация атак Evil Twin, фишинговые сценарии Linux Высокая Да Встроенные фишинговые шаблоны, автоматизация всех этапов атаки
Fluxion Автоматизация атаки с захватом реального handshake Linux Средняя Да Имитирует процесс авторизации оригинальной сети, включая проверку пароля
mdk4/mdk3 Широкие возможности для деаутентификации Linux Низкая Частично Мощный инструмент для DoS-атак на Wi-Fi сети, включая массовую деаутентификацию
Bettercap Многофункциональный фреймворк для MITM-атак Linux, macOS Средняя Да Расширенные возможности сниффинга и спуфинга, гибкая настройка
Eaphammer Специализирован на атаках против корпоративных сетей Linux Средняя Да Поддержка атак на WPA-Enterprise, имитация 802.1X
Hostapd-wpe Создание поддельных точек доступа с WPA Enterprise Linux Низкая Да Специализирован на атаках против WPA/WPA2-Enterprise с различными EAP-методами
Evil Twin Framework (ETF) Автоматизированный фреймворк для Evil Twin Linux Высокая Да Интеграция с другими инструментами, удобный интерфейс
Wireshark Анализ захваченного трафика Linux, Windows, macOS Средняя Да Не для создания Evil Twin, но необходим для анализа перехваченного трафика

Алгоритм атаки Evil Twin

Подробный алгоритм проведения атаки Evil Twin включает следующие этапы:

1. Разведка и сбор информации

  • Мониторинг беспроводных сетей: Запуск адаптера в режиме мониторинга для сканирования доступных Wi-Fi сетей.

    airmon-ng start wlan0
airodump-ng wlan0mon

  • Сбор информации о целевой сети: Определение SSID, BSSID (MAC-адрес точки доступа), канала, подключенных клиентов.

    airodump-ng -c [канал] --bssid [MAC-адрес AP] -w [файл для сохранения] wlan0mon

2. Деаутентификация клиентов (WiFi Deauth)

Деаутентификация — это процесс принудительного отключения клиентов от легитимной точки доступа с целью заставить их переподключиться к поддельной сети:

  • Механизм работы: Злоумышленник отправляет специальные пакеты деаутентификации (deauthentication frames), которые сообщают клиентам, что они должны отключиться от текущей точки доступа. Эти пакеты могут быть направлены на конкретных клиентов или широковещательно на всех клиентов сети.

image

  • Команда для деаутентификации:

    aireplay-ng -0 0 -a [BSSID точки доступа] -c [MAC клиента] wlan0mon
    • -0 указывает на тип атаки (деаутентификация)
    • 0 означает непрерывную отправку пакетов (можно указать конкретное число)
    • -a указывает MAC-адрес точки доступа
    • -c указывает MAC-адрес целевого клиента (если не указан, атака проводится на всех клиентов)

  • Противодействие 802.11w: Стандарт 802.11w (Protected Management Frames) защищает от таких атак, шифруя управляющие кадры, включая кадры деаутентификации. Однако многие устройства и сети до сих пор не реализуют эту защиту.

3. Создание поддельной точки доступа

После деаутентификации клиентов необходимо создать поддельную точку доступа с идентичными параметрами:

  • Настройка hostapad:

    # Пример конфигурационного файла hostapd
interface=wlan1mon
driver=nl80211
ssid=[Имя целевой сети]
hw_mode=g
channel=[Канал целевой сети]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0

  • Запуск поддельной точки доступа:

    hostapd hostapd.conf

4. Настройка DHCP-сервера

Для предоставления IP-адресов клиентам, подключающимся к поддельной точке доступа, необходимо настроить DHCP-сервер:

  • Поддельный DHCP-сервер: Атакующий настраивает DHCP-сервер, который будет выдавать IP-адреса жертвам и указывать в качестве шлюза по умолчанию и DNS-сервера IP-адрес машины атакующего.

  • Настройка dnsmasq:

    # Пример конфигурационного файла dnsmasq
interface=wlan1mon
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

  • Запуск DHCP-сервера:

    dnsmasq -C dnsmasq.conf

5. Настройка перенаправления трафика

Для обеспечения доступа в интернет через поддельную точку доступа (что делает атаку менее заметной) и возможности перехвата трафика:

  • Включение IP-форвардинга:

    echo 1 > /proc/sys/net/ipv4/ip_forward

  • Настройка NAT с помощью iptables:

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i wlan1mon -o eth0 -j ACCEPT

6. ARP-спуфинг

image

ARP-спуфинг (ARP Poisoning) — это метод атаки, при котором злоумышленник манипулирует ARP-таблицами устройств в локальной сети:

  • Принцип работы: Злоумышленник отправляет поддельные ARP-сообщения, связывая свой MAC-адрес с IP-адресом шлюза или других устройств в сети. В результате трафик, предназначенный для этих устройств, перенаправляется на устройство атакующего.

  • Реализация с помощью Arpspoof:

    arpspoof -i wlan1mon -t [IP-адрес жертвы] [IP-адрес шлюза]

  • Перенаправление трафика: После успешного ARP-спуфинга весь трафик жертвы проходит через машину атакующего, что позволяет анализировать и модифицировать его.

7. DNS-спуфинг

image

DNS-спуфинг — это атака, при которой злоумышленник манипулирует DNS-ответами, чтобы перенаправить жертву на поддельные веб-сайты:

  • Принцип работы: Когда жертва запрашивает разрешение доменного имени в IP-адрес, атакующий перехватывает этот запрос и отвечает поддельным DNS-ответом, содержащим IP-адрес контролируемого злоумышленником сервера.

  • Настройка с помощью dnsmasq:

    # Добавление в конфигурацию dnsmasq
address=/facebook.com/192.168.1.1
address=/gmail.com/192.168.1.1

  • Альтернативно с использованием dnsspoof:

    dnsspoof -i wlan1mon -f hosts.txt

    где hosts.txt содержит записи вида:

    192.168.1.1 facebook.com
192.168.1.1 gmail.com

8. Перехват и анализ трафика

Для сбора данных, передаваемых через поддельную точку доступа:

  • Использование Wireshark или tcpdump:

    tcpdump -i wlan1mon -w capture.pcap

    или запуск Wireshark для более детального анализа:

    wireshark -i wlan1mon -k

  • SSL Strip для обхода HTTPS: Инструмент downgrade-атак для перехвата HTTPS-трафика путем его перенаправления на HTTP:

    sslstrip -l 8080
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

9. Настройка фишинговых страниц (опционально)

Для сбора учетных данных можно настроить фишинговые страницы:

  • Создание captive portal с имитацией страницы авторизации Wi-Fi.
  • Имитация популярных сайтов (социальные сети, корпоративные порталы, мессенджеры).
  • Настройка перенаправления на фишинговые страницы через DNS-спуфинг.

Методы защиты от атак Evil Twin

Для пользователей

  1. Проверка подлинности сети:

    • Не подключаться автоматически к сетям с общими именами (например, "Free WiFi").
    • Проверять MAC-адрес точки доступа, если это возможно.
    • При использовании общественного Wi-Fi, уточнять у персонала точное название сети.

  2. Использование VPN:

    • Всегда использовать VPN при подключении к общедоступным Wi-Fi сетям.
    • Выбирать надежных VPN-провайдеров с шифрованием и без логирования.

  3. Проверка шифрования:

    • Убедиться, что веб-сайты используют HTTPS (зеленый замок в адресной строке).
    • Использовать расширения браузера типа HTTPS Everywhere.

  4. Двухфакторная аутентификация (2FA):

    • Активировать 2FA на всех критически важных аккаунтах.
    • Предпочитать 2FA на основе приложений, а не SMS.

  5. Приложения для обнаружения Evil Twin:

    • WiGLE WiFi Wardriving (для Android)
    • WiFi Inspector (Avast)
    • WiFi Guard
    • NetSpot (для macOS и Windows)

Для организаций

  1. Внедрение систем обнаружения и предотвращения вторжений для беспроводных сетей (WIDS/WIPS):

    • Cisco Adaptive Wireless IPS
    • AirMagnet Enterprise
    • Kismet
    • Aruba RFProtect

  2. Корпоративная аутентификация:

    • Использование 802.1X/EAP для аутентификации сетей.
    • Внедрение взаимной аутентификации (mutual authentication).
    • Использование цифровых сертификатов для аутентификации.

  3. Мониторинг беспроводных сетей:

    • Регулярное сканирование для обнаружения неавторизованных точек доступа.
    • Анализ радиочастотного спектра для обнаружения подозрительной активности.
    • Сравнение MAC-адресов точек доступа с авторизованным списком.

  4. Обучение сотрудников:

    • Проведение тренингов по безопасности Wi-Fi.
    • Создание четких политик по использованию беспроводных сетей.
    • Регулярные обновления по новым угрозам и методам атак.

  5. Аппаратные решения для защиты:

    • Специализированные шлюзы безопасности для Wi-Fi сетей.
    • Enterprise-решения для управления беспроводными сетями с интегрированной защитой.
    • Физические токены для аутентификации в корпоративных сетях.

Технические меры защиты

  1. Использование Protected Management Frames (802.11w):

    • Защищает от атак деаутентификации.
    • Является частью стандарта WPA3, но доступен и в некоторых реализациях WPA2.

  2. Обновление до WPA3:

    • Обеспечивает защиту от атак перебором.
    • Предоставляет индивидуальное шифрование данных для каждого пользователя.
    • Защищает от некоторых видов атак MITM.

  3. Использование Private Pre-Shared Key (PPSK):

    • Каждому пользователю выдается индивидуальный ключ.
    • Ограничение доступа по времени и дате.
    • Возможность отключения отдельных ключей без изменения общих настроек.

  4. Мониторинг радиочастотного спектра:

    • Обнаружение неавторизованных точек доступа.
    • Идентификация атак деаутентификации.
    • Обнаружение подозрительной активности в эфире.

Заключение

Атака Evil Twin остается одной из наиболее эффективных и потенциально опасных атак на пользователей беспроводных сетей. Несмотря на развитие технологий защиты, социальная инженерия и технические аспекты этой атаки продолжают делать ее актуальной угрозой.

Для минимизации рисков необходим комплексный подход, включающий технические меры защиты, обучение пользователей и постоянный мониторинг. Особенно важно повышение осведомленности пользователей о рисках подключения к общедоступным Wi-Fi сетям и использование дополнительных мер защиты, таких как VPN.

С точки зрения организаций, внедрение современных стандартов безопасности Wi-Fi, таких как WPA3 и 802.11w, а также использование систем обнаружения вторжений для беспроводных сетей, значительно повышает уровень защиты от атак типа Evil Twin.