Wifi Cracking Blog Header image

Wie ich 70% von Tel Avivs Wifi-Netzwerken geknackt habe (aus einer Stichprobe von 5.000 gesammelten WiFi).

In den letzten sieben Jahren, in denen ich in Tel Aviv gelebt habe, habe ich viermal die Wohnung gewechselt. Jedes Mal stand ich vor dem gleichen Szenario: Die Internetfirma brauchte mehrere Tage, um die Wohnung zu verbinden, Ich war getrennt und frustriert, als ich versuchte, mit meinem Handy-Hotspot Laggy Netflix auf dem Fernseher zu sehen. Eine Lösung, die ich für dieses Szenario habe, ist das „Hallo. Ich bin der neue Nachbar“ Sprechen Sie mit den Nachbarn, während Sie versuchen, im Notfall ihre Handynummer zu erhalten — und fragen Sie, ob ich ihr WLAN nutzen könnte, bis die Kabelgesellschaft mich angeschlossen hat. Ich denke, wir können uns alle einig sein, dass kein Internet leicht in die Notfallkategorie fällt! Oft war ihre Handynummer auch ihr WLAN-Passwort!

Ich stellte die Hypothese auf, dass die meisten Menschen in Israel (und weltweit) unsichere WLAN-Passwörter haben, die von neugierigen Nachbarn oder böswilligen Akteuren leicht geknackt oder sogar erraten werden können.

Die Kombination meiner bisherigen Erfahrungen, ein relativ neuer WiFi-Angriff, den ich kurz erklären werde, ein neues Monster-Cracking-Rig (8 x QUADRO RTX 8000 48GB GPUs) in CyberArk Labs und die Tatsache, dass WiFi überall ist, weil Konnektivität wichtiger denn je ist, hat mich zur Forschung getrieben, ob ich mit meiner Hypothese Recht hatte oder vielleicht nur Glück hatte.

Mit der anhaltenden Verlagerung auf Remote-Arbeit aufgrund der Pandemie ist die Sicherung von Heimnetzwerken unerlässlich geworden und stellt ein Risiko für das Unternehmen dar, wenn dies nicht getan wird. Heimnetzwerke verfügen selten über dieselben Steuerelemente wie Unternehmensnetzwerke. Und ein Sicherheitsprogramm ist nur so stark wie sein schwächstes Glied.

Abbildung 1 - CyberArk Labs New Cracking Rig

Abbildung 1- CyberArk Labs New Cracking Rig

Um diese Hypothese zu testen, sammelte ich 5.000 WiFi-Netzwerk-Hashes als meine Studiengruppe, indem ich mit WiFi-Sniffing-Geräten durch die Straßen von Tel Aviv schlenderte. Am Ende der Forschung war ich in der Lage, mehr als 70% der erschnüffelten WiFi-Netzwerke Passwörter mit relativer Leichtigkeit zu brechen. Die Metropolregion Tel Aviv hat mehr als 3.9 millionen Menschen – Sie können sich vorstellen, wie hoch die Zahlen gewesen wären, wenn wir unsere Forschung nicht bei 5.000 WiFi-Netzwerken abgebrochen hätten. Und während diese Forschung in Tel Aviv durchgeführt wurde, werden die Router, die für diesen Angriff anfällig waren — von vielen der weltweit größten Anbieter — von Haushalten und Unternehmen weltweit verwendet.

In diesem Blog zeige ich, wie einfach (Sie benötigen kein Cracking-Rig) und mit wenig Ausrüstung unsichere WLAN-Passwörter geknackt werden können, wodurch das WLAN-Netzwerk gehackt wird .Am Ende zeigen wir Statistiken der geknackten Hashes und erklären, wie Sie Ihr Netzwerk vor dieser Art von Angriff schützen können. Daher ist es von größter Bedeutung, dass wir die Cracking-Methode kennen und verstehen, um eine angemessene Verteidigung zu bilden.

Let’s dig in

Vor Jens „atom“ Steube’s (Hashcat’s Lead Developer) Forschung, wenn ein Hacker ein WiFi-Passwort knacken wollte, mussten sie einen Live-Vier-Wege-Handshake zwischen einem Client und einem Router erfassen, der nur während des Aufbaus der Verbindung auftritt. Einfach ausgedrückt, müsste der Angreifer das Netzwerk zu dem Zeitpunkt überwachen, zu dem der Benutzer oder das Gerät eine Verbindung zum WLAN-Netzwerk herstellt. Daher musste sich ein Hacker an einem physischen Ort zwischen dem Zugangspunkt (Router) und dem Client befinden, in der Hoffnung, dass der Benutzer das richtige Passwort eingibt und dass alle vier Pakete des Handshakes korrekt geschnüffelt wurden. Wenn ein Hacker nicht warten wollte, bis ein Opfer eine Verbindung herstellt (was Stunden dauern kann, wer stellt während der Arbeit eine Verbindung zu seinem Heimnetzwerk her?), könnte der Angreifer die Authentifizierung eines bereits verbundenen Benutzers aufheben, um das Opfer zu einem neuen Vier-Wege-Handshake zu zwingen.

Ein weiterer Angriffsvektor besteht darin, ein bösartiges Zwillingsnetzwerk mit derselben SSID (Netzwerkname) einzurichten, in der Hoffnung, dass das Opfer versucht, sich bei dem gefälschten Netzwerk anzumelden. Ein großes Manko dabei ist natürlich, dass es sehr laut ist (was bedeutet, dass es leicht verfolgt werden kann) und leicht bemerkt werden kann.

Wenn ein Gegner in einfachem Englisch ein WLAN-Passwort hacken / knacken möchte, muss er zur richtigen Zeit (wenn sich Benutzer anmelden) am richtigen Ort (zwischen Benutzern und einem Router) sein und Glück haben (Benutzer haben das richtige Passwort eingegeben und alle vier Pakete wurden korrekt geschnüffelt).

All dies änderte sich mit der bahnbrechenden Forschung von Atom, die eine neue Sicherheitslücke enthüllte, die auf RSN IE (Robust Security Network Information Element) abzielte, um einen PMKID-Hash abzurufen (wird in kürze erläutert), mit dem das Zielnetzwerkkennwort geknackt werden kann. PMKID ist ein Hash, der für Roaming-Funktionen zwischen APs verwendet wird. Die berechtigte Verwendung von PMKID ist jedoch für den Umfang dieses Blogs von geringer Relevanz. Ehrlich gesagt macht es wenig Sinn, es auf Routern für den persönlichen / privaten Gebrauch (WPA2-personal) zu aktivieren, da normalerweise kein Roaming in einem persönlichen Netzwerk erforderlich ist.

Atoms Technik ist clientlos, wodurch die Notwendigkeit, die Anmeldung eines Benutzers in Echtzeit zu erfassen, und die Notwendigkeit, dass Benutzer überhaupt eine Verbindung zum Netzwerk herstellen, überflüssig werden. Darüber hinaus muss der Angreifer nur einen einzelnen Frame erfassen und falsche Kennwörter und fehlerhafte Frames beseitigen, die den Cracking-Prozess stören.
Einfach gesagt, wir müssen nicht warten, bis sich Leute mit ihren Routern verbinden, damit dieser Angriff erfolgreich ist. Wir befinden uns gerade in der Nähe des Routers / Netzwerks und erhalten einen PMKID-Hash und versuchen, ihn zu knacken.

Um eine PMKID zu knacken, müssen wir zuerst verstehen, wie sie generiert wird.

Wie wird PMKID Hash generiert und welche Elemente enthält es?

Abbildung 2 - Ablauf der Berechnung von PMKID Hash und PMK

Abbildung 2- Ablauf der Berechnung von PMKID Hash und PMK

Die Hash-Berechnung mag auf den ersten Blick entmutigend erscheinen, aber lassen Sie uns darauf eingehen.

Wir müssen ein PMK generieren, das aus SSID (dem Netzwerknamen) und der Passphrase gesteuert wird. dann generieren wir eine PMKID, die aus dem von uns generierten PMK, der AP-MAC-Adresse und der Client-MAC-Adresse gesteuert wird. Lassen Sie uns also sehen, wo wir diese finden können:

Die PMK wird wie folgt berechnet:

Abbildung 3 - PMK–Berechnung

Abbildung 3— PMK-Berechnung

  • Passphrase – Das WLAN-Passwort – daher der Teil, nach dem wir wirklich suchen.
  • SSID – Der Name des Netzwerks. Es ist an den Router-Beacons frei verfügbar (Abbildung 3).
  • 4096 – Anzahl der PBKDF2-Iterationen

 Abbildung 4 - SSID von einem Beacon

Abbildung 4 – SSID von einem Beacon

Nachdem ein PMK generiert wurde, können wir eine PMKID generieren.
Die PMKID wird wie folgt berechnet:

Abbildung 5 – PMKID–Berechnung

Abbildung 5 – PMKID-Berechnung

  • PMK – Wonach wir suchen, wurde oben generiert. In WPA2 Personal ist der PMK der PSK (wird im nächsten Absatz erläutert).
  • „PMK Name“ – Statischer String für alle PKMIDs.
  • MAC_AP – MAC-Adresse des Access Points – Diese Adresse kann in jedem vom Router gesendeten Frame gefunden werden (Abbildung 4).
  • MAC_STA – Die Mac-Adresse des Clients kann in jedem Frame gefunden werden, der vom Computer des Clients gesendet wird (Abbildung 4). Es kann außerdem in der Ausgabe von ifconfig \ ip a-Befehlen gefunden werden.

 Abbildung 6 - PMKID, AP-MAC, Client-MAC Abbildung 6 – PMKID, AP-MAC, Client-MAC

Beim Knacken des PMKID-Hashs werden letztendlich nur PMKs mit der SSID und verschiedenen Passphrasen generiert / berechnet und dann PMKID aus dem PMK und den anderen erhaltenen Informationen berechnet. Sobald wir eine PMKID generiert haben, die der PMKID entspricht, die vom AP abgerufen wurde (Abbildung 3), wird der Hash geknackt; die Passphrasen, die verwendet wurden, um das richtige PMK zu generieren, aus dem die PMKID generiert wurde, sind das richtige WLAN-Passwort.

Jetzt wissen wir, wie ein PMKID erzeugt wird, und wir können mit den Schnüffel- und Crackphasen unserer Forschung fortfahren.

Sniffing PMKID

Um WiFi-PMKID-Hashes zu erfassen, ist eine drahtlose Netzwerkschnittstelle mit Überwachungsmodusfunktionen erforderlich. Der Monitormodus ermöglicht die Paketerfassung, ohne dass ein Zugangspunkt zugeordnet werden muss.

Ich kaufte eine AWUS036ACH ALFA-Netzwerkkarte für 50 US-Dollar (es gibt sogar günstigere Optionen), die den Monitormodus und die Paketinjektion unterstützt, und ging durch das Zentrum von Tel Aviv, um WiFis zu schnüffeln.

Bevor wir mit dem Schnüffeln beginnen können, müssen wir unsere Umgebung vorbereiten:

Ich habe eine Ubuntu-Maschine mit AWUS036ACH ALFA verwendet.

Abbildung 7 - AWUS036ACH ALFA NIC

Abbildung 7 — AWUS036ACH ALFA NIC

Wir erstellen das Paket Hcxdumptool – ein großartiges Dienstprogramm von ZerBea zum Erfassen von Paketen von WLAN-Geräten.

git clone https://github.com/ZerBea/hcxdumptool.gitsudo apt-get install libcurl4-OpenSSL-dev libssl-dev pkg-configmake

Danach müssen wir Treiber mit Monitormodusfunktion installieren. Jeder Chipsatz hat seine Treiber:

git clone -b v5.6.4.2 https://github.com/aircrack-ng/rtl8812au.gitmake && make install

Es wird empfohlen, Dienste herunterzufahren, die die Ausführung von Hcxdumptool beeinträchtigen könnten:

sudo systemctl stop wpa_supplicantsudo service NetworkManager stop

Dann ist es Zeit zu schnüffeln. Hcxdumptool ist ein leistungsfähiges Werkzeug, das für verschiedene Angriffe verwendet werden kann, nicht nur die PMKID; Daher deaktivieren wir jeden Angriff, der nicht auf PMKID abzielt.

sudo ../../tools/hcxdumptool/hcxdumptool -i wlx00c0caac2745 -o Wi-Fi_PMKID.pcapng --disable_deauthentication --disable_client_attacks --enable_status=3
  • – auf meiner Alfa-Netzwerkkarte können Sie ifconfig\ip a ausführen, um Ihren Schnittstellennamen zu finden.
  • -o die Ausgabe pcapng der Ausführung.

Trage jetzt einen Kapuzenpullover, denn du bekommst eine PMKID von jedem Netzwerk, das du durchquerst und das anfällig für den Angriff ist.

Abbildung 8 – Ich in einem Hoodie

Abbildung 8 — Ich in einem Hoodie

Als ich 5.000 gesammelte Netzwerke erreichte, beschloss ich aufzuhören; Der Sommer war zu heiß für mich, also wandte ich mich dem lustigen Teil zu – dem Knacken.

Es ist Zeit zu knacken!

Unser erster Schritt beim Knacken ist die Installation von hashcat, dem weltweit schnellsten und fortschrittlichsten Tool zur Passwortwiederherstellung. Da die Sniffing-Ergebnisse in Form von pcapng vorliegen, mussten wir sie in ein Hashfile-Format konvertieren, um sie an hashcat anzupassen. Zu diesem Zweck habe ich ein weiteres Tool aus der großartigen Suite von hcxtools verwendet.

hcxpcapngtool -o Wi-Fi_pmkid_hash_22000_file.txt Wi-Fi_PMKID.pcapng

Was zu einer Hashdatei führt, in der jede Zeile die folgende Struktur annimmt:

SIGNATUR*TYP*PMKID /MIC*MACAP*MACSTA*ESSID* * *

Hier ist ein Beispiel für eine Hashzeile:8933 9744 WPA 01 c6d5c97b9aa88cbe182429275a83efdb 302478bee0ee acde48a84862*54686557494649***

  • SIGNATURE = „WPA“
  • TYPE = 01 für PMKID, 02 für EAPOL, weitere folgen
  • PMKID/MIC = PMKID if TYPE==01, MIC if TYPE==02
  • MACAP = MAC von AP
  • MACSTA = MAC von station
  • ESSID = ESSID
  • Wird bei einem PMKID-Angriff nicht verwendet:
    • ANONCE = ANONCE
    • EAPOL = EAPOL (SNONCE ist hier drin)
    • MESSAGEPAIR = Bitmaske

Der nächste Schritt besteht darin, den Cracking-Vorgang durch Ausführen von hashcat zu starten:

Die Funktionen von Hashcat umfassen mehrere Cracking-Methoden, von denen die häufigsten dictionary + rules und Mask attack sind. Die Methoden unterscheiden sich in der Art und Weise, wie sie die Passphrase bilden.

Wir haben uns entschieden, mit einem sogenannten „Maskenangriff“ zu beginnen, da viele in Israel lebende Menschen die schreckliche Angewohnheit haben, ihre Handynummern als WLAN-Passwörter zu verwenden. Sie können sich einen Maskenangriff als Regex vorstellen:

  • ?d – Ziffern
  • ?l – Kleinbuchstaben
  • ?u – Großbuchstaben
  • ?s – Sonderzeichen als ? ! $ …..

Die Maske für das Passwort: 202!$ummeR werden würde ?d?d?d?s?s?l?l?l?l?u

Hier ist mein Hashcat-Befehl, der alle möglichen Handynummern-Kombinationen in Israel ausprobiert hat

sudo hashcat -a 3 -w4 -m 22000 /home/tuser/hashes/Wi-Fi_pmkid_hash_22000_file.txt 05?d?d?d?d?d?d?d?d -o /home/tuser/hashes/pmkid_cracked.txt

Während dieser ersten Ausführung des Maskenangriffs haben wir 2.200 Passwörter geknackt. Berechnen wir die Anzahl der Optionen für israelische Handynummern:
Es ist 10 Ziffern lang und beginnt mit 05. Daher müssen wir die verbleibenden 8 Ziffern erraten.

Jede Ziffer hat 10 Optionen (0-9), daher 10 **8 mögliche Kombinationen. Einhundert Millionen scheinen eine Menge Kombinationen zu sein, aber unser Monster-Rig berechnet mit einer Geschwindigkeit von 6819,8 kH / s, was 6.819.000 Hashes pro Sekunde entspricht.
Ein Cracking-Rig ist nicht erforderlich, da mein Laptop 194,4 kH / s erreichen kann, was 194.000 Hashes pro Sekunde entspricht. Das entspricht mehr als genug Rechenleistung, um die Möglichkeiten zu durchlaufen, die zum Knacken der Passwörter erforderlich sind. Folglich brauchte mein Laptop ungefähr 9 Minuten, um ein einziges WLAN-Passwort mit den Eigenschaften einer Mobiltelefonnummer zu knacken. (10**8)/194,000 = ~516 ( sekunden)/60 = ~9 minuten.

Die Cracking-Geschwindigkeit für Hashtypen unterscheidet sich aufgrund unterschiedlicher Hash-Funktionen und der Anzahl der Iterationen. Zum Beispiel ist PMKID im Vergleich zu MD5 oder NTLM sehr langsam. Es ist jedoch möglich, einen PMKID-Hash zu knacken, wenn sich der Angreifer auf ein bestimmtes Netzwerk konzentriert und das Kennwort nicht kompliziert genug ist.

Danach führten wir einen Standard-Wörterbuchangriff mit dem gängigsten Wörterbuch Rockyou durch.txt und knackte mehr als 900 Hashes. Hier ein kleiner Einblick in Rockyou.txt-Inhalt:

123456 12345 123456789 passwort iloveyou princess 1234567 rockyou 12345678 abc123 nicole daniel babygirl monkey lovely jessica 654321 michael ashley

Schauen wir uns die Statistiken der geknackten Hashes an:

Geknackte Passwörter nach ihrer Länge:

Kennwortlänge Vorkommen
10 2405
8 744
9 368
12 14
11 14
14 7
13 7
Summe 3,559

Wie Sie sehen können, mit Ausnahme des 10-stelligen Passworts – für das wir eine maßgeschneiderte Maske hatten — als die Passwortlänge zunahm, die Anzahl der geknackten Passwörter nahm ab. Die Lektion hier? Je länger das Passwort, desto besser.

Top 4 Masken für die geknackten Passwörter:

Maske Vorkommen Bedeutung
Maske Vorkommen Bedeutung
?d?d?d?d?d?d?d?d?d?d 2349 10 ziffern
?d?d?d?d?d?d?d?d 596 8 ziffern
?d?d?d?d?d?d?d?d?d 368 9 ziffern
?l?l?l?l?l?l?l?l 320 8 Kleinbuchstaben
Summe 3,633

Wir können sehen, dass geknackte Passwörter meistens zu einer Maske passen, die nur Ziffern oder nur Kleinbuchstaben enthält.

Nicht alle Router unterstützen Roaming-Funktionen und sind daher nicht anfällig für den PMKID-Angriff. Unsere Untersuchungen haben jedoch ergeben, dass Router, die von vielen der weltweit größten Anbieter hergestellt werden, anfällig sind.

Wie ich vorher geschätzt habe, war der Prozess des Schnüffelns von WiFis und der anschließenden Cracking-Verfahren ein sehr zugängliches Unterfangen in Bezug auf Ausrüstung, Kosten und Ausführung.

Das Endergebnis ist, dass Ihr Nachbar oder ein böswilliger Schauspieler in ein paar Stunden und mit ungefähr 50 US-Dollar Ihre Privatsphäre und vieles mehr gefährden kann, wenn Sie kein sicheres Passwort haben.

Insgesamt haben wir mehr als 3.500 WLAN–Netzwerke in und um Tel Aviv geknackt – 70% unserer Stichprobe.

Die Bedrohung durch ein kompromittiertes WLAN-Netzwerk stellt ein ernstes Risiko für Einzelpersonen, Kleinunternehmer und Unternehmen dar. Und wie wir gezeigt haben, wenn ein Angreifer mehr als 70% der WiFi-Netzwerke in einer globalen Großstadt mit relativer Leichtigkeit knacken kann, muss dem Schutz mehr Aufmerksamkeit geschenkt werden.

Auf der grundlegendsten Ebene nutzen Personen, die Ihr Netzwerk nutzen, einen Teil Ihrer Bandbreite, was Ihre Interneterfahrung verlangsamen kann. Noch wichtiger ist jedoch, dass Angreifer, sobald sie Zugriff auf Ihr Netzwerk erhalten, verschiedene Man-in-the-Middle-Angriffe (MITM) starten können. Dies kann dazu führen, dass Angreifer Zugriff auf Ihre wichtigen Konten wie Ihr Bankkonto, Ihr E-Mail-Konto (das alles im modernen Leben ist) und andere vertrauliche Anmeldeinformationen erhalten. Dies öffnet auch weitere Angriffsvektoren für Ihre IoT-Geräte wie Smart-Home-Geräte, Smart-TVs, Sicherheitssysteme usw.

Für kleine Unternehmen besteht das Risiko darin, dass ein Angreifer ein Netzwerk infiltriert und dann seitlich auf hochwertige Anwendungen oder Daten wie ein Abrechnungssystem oder eine Kasse zugreift.

In Bezug auf das Unternehmen ist es möglich, dass ein Angreifer anfänglichen Zugriff auf das WLAN eines Remote-Benutzers erhält und dann auf den Computer des Benutzers springt und auf eine VPN-Verbindung wartet oder dass der Benutzer ins Büro geht und sich von dort seitlich bewegt.

Aus einer breiteren Perspektive sind Computer und andere Geräte aufgrund von NAT normalerweise nicht von außerhalb des Netzwerks zugänglich, aber sobald sich ein Angreifer im Netzwerk befindet, ermöglicht dies eine Reihe von Angriffsvektoren.

Wie soll ich mich schützen?

  1. Wählen Sie ein komplexes Passwort. Ein sicheres Passwort sollte mindestens ein Kleinbuchstaben, ein Großbuchstaben, ein Symbol und eine Ziffer enthalten. Es sollte mindestens 10 Zeichen lang sein. Es sollte leicht zu merken und schwer zu antizipieren sein. Schlechtes Beispiel: Summer$ 021
  2. Ändern Sie den Standardbenutzernamen und das Standardkennwort Ihres Routers.
  3. Aktualisieren Sie die Firmware-Version Ihres Routers.
  4. Deaktivieren Sie schwache Verschlüsselungsprotokolle (wie WAP oder WAP1).
  5. Deaktivieren Sie WPS.

Es ist wichtig zu beachten, dass die Implementierung der Multi-Faktor-Authentifizierung (MFA) für persönliches WLAN für ein persönliches WLAN und einen nicht-technischen Verbraucher schwierig und weitgehend unpraktisch ist. Es ist auch unwahrscheinlich, dass MFA in naher Zukunft für allgemeine Anwendungsfälle für Verbraucher allgemein verfügbar sein wird.

Ich möchte Atom und ZerBea für ihre unglaubliche Arbeit an dieser Angriffstechnik und für ihre Arbeit im Allgemeinen danken.

Ich hoffe, Ihnen hat dieser Blog gefallen und Sie werden die erforderlichen Schritte unternehmen, um Ihr WiFi-Netzwerk zu sichern. Zur Erinnerung: Keines der von uns geknackten Passwörter wurde für den unbefugten Zugriff auf diese WLAN-Netzwerke oder andere über diese Netzwerke zugängliche Informationen verwendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.