安全客直播 | 公共WIFI让你成为黑产的免费劳动力?

阅读量    18930 | 评论 1

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

直播功课:拒绝成为免费劳动力:检测含有挖矿脚本的WiFi热点

直播回顾:公共WIFI让你成为黑产的免费劳动力?

 

随着加密货币价值的爆发性增长,相关的黑产活动也迅速扩散到各个领域。17年末,一则“某星巴克门店无线网络存在挖矿代码”的新闻揭示了公共WiFi是相关劫持攻击的高频场景。在直播中,杨芸菲老师主要为大家分享了几个问题:为什么公共WiFI容易遭到攻击;黑客是如何在WiFi中植入挖矿代码的;如何检测周边的热点是否存在挖矿攻击。直播的时间总是过得那么快,很多同学还想再回味一次,小编为大家整理了一下,快来一起复习吧~

 

介绍

360天马安全团队高级安全研究员 杨芸菲
东北大学客座教师。主要从事WLAN安全研究、无线攻防产品研发。KCon、HITCON、CCF YOCSEF、FIT、DEFCON Group 010等安全会议演讲者。其参与研发的“绵羊墙”公共WiFi威胁体验系统入驻中国科学技术馆,多届ISC互联网安全大会、首都网络安全日会展演示项目。

 

一、为什么关注到这跟加密货币相关的安全问题

星巴克挖矿新闻
2017年12月,一位用户在阿根廷的一家星巴克店喝咖啡,使用店内WiFi上网时发现他的笔记本电脑正在挖矿。随后他通过Twitter进行了爆料,分析了其中的代码,包含了Coinhive的脚本。

Coinhive介绍
Coinhive是一个网站平台,提供了一系列挖掘门罗币的工具,其中包含了可以插入网页使用JavaScript脚本。

一旦用户访问了含有该JS脚本的网页,便会利用用户设备的运算资源来挖掘门罗币。
Coinhive的黑产应用
由于这种易用性以及加密货币的经济价值,挖矿js代码经常被各种黑产所利用。

比如站长或者黑客攻破网站后主动插入挖矿代码;站点本身没有挖矿脚本,被运营商链路劫持插入挖矿代码;通过广告联盟将挖矿代码随着广告分布到大量的网站上。
这此星巴克无线的挖矿事件实际上向大家揭示了公共WiFi网络也是容易被黑产利用来挖矿的场景。

 

二、 能为我们介绍下黑客是如何在无线热点中植入挖矿代码

具体到星巴克的挖矿热点这个案例呢,实际上是有多种方法可以达到植入挖矿代码目的,举两个例子:

1.商家网络中,黑客在进行中间人攻击。
ARP欺骗:局域网中通过MAC地址来通信,而不是IP进行通信,每个设备的ARP映射表(记录了MAC-IP对应关系)。
ARP欺骗就是让目标设备在本地ARP表中记录错误的对应关系。
黑客通过对用户和网关的双向ARP欺骗,从而能劫持他们之间发送的所有数据。比如替换图片,替换安装包,植入了挖矿代码。

2.钓鱼热点
我们的无线设备有个特性,当发现周围存在以前连过的无线热点名称、加密方式也相同就会自动连接。黑客创建与星巴克热点同名的开放式热点骗取用户主动或被动连接,为用户设备自动分配IP地址和DNS服务地址。DNS是一个域名系统负责将域名翻译为对应的IP地址。

而该处的DNS是由黑客控制的,可以将所有的网页请求指向被黑客植入了挖矿代码的网页

实际上很多公共WiFi也是通过这个原理实现对用户的强制认证。在通过认证以前,你对任何域名的访问都会被跳转到认证页面。
其实在这个页面上嵌入挖矿代码实际上就会很隐蔽。
通过这两个可能场景可以看到,在公共WiFi网络中进行攻击是很非常简单,也低成本的。

 

三、介绍一下您在文章中提到的对挖矿热点的批量检测原理。

现有的工具大都是终端上的安全软件通过对网络入口的流量进行检测来发现挖矿代码。这要求先连接上目标网络才能检测,如果目的是想检测周边所有的热点就需要挨个去连接,效率是非常低的。所以我在安全客发表的文章中提出了一种方案,可以在无连接的前提下达到批量检测周边热点的目的。
该技术主要基于两点:
1.出于吸引更多用户的目的,恶意热点往往是未加密的。
2.无密码热点的通讯数据是未加密的。

所以我们监听空气中传递的明文数据帧,一旦发现挖矿代码,将对与该数据帧关联的热点进标记,产生告警。具体的演示效果和代码可以在安全客网站上找到我这篇文章进行进一步了解。

 

四、为我们总结一下公共WiFi的安全风险吗?

前面提到的挖矿攻击以及检测都利用了公共WiFi的安全缺陷,总结一下有这几点:
1. 开放式热点数据不加密。
2. 容易遭到钓鱼攻击(自动连接)
3. 极易与黑客处于同一个网络遭到攻击。(网络劫持、对客户端设备的攻击)
在2015年央视315晚会,我们支持一场关于钓鱼WiFi的实验。在晚会现场,许多观众连入了我们搭建的钓鱼WiFI,用户手机上正在使用哪些软件、用户通过微信朋友圈浏览的照片等信息就都被显示在了大屏幕上。不仅如此,现场大屏幕上还展示了很多用户的电子邮箱信息。

后来做成了带有互动性的公共WiFi威胁演示平台,叫“绵羊墙”。入驻中国科学技术馆,多届ISC互联网安全大会、首都网络安全日会展演示项目。在公共场合,进行账号登陆、网银操作时尽量不要使用wifi。由于黑客可通过同名WiFi来吸引自动连接,最安全的情况是将WiFI功能关闭。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多