2019 12-14 DIY WIDS IoTSecJP Version 6.0

Copyright ⽥中ザック⼤和セキュリティ Proactive Defense 2019.
DIY WAVIDS
2019/12/14
白船(田中ザック) (@yamatosecurity)

ごめんなさい、
真面目な話をします・・

アメリカン？
ジョーク
すみません。。

Do
It
Yourself
Wifi
Attack,
Vulnerability,
&
Intrusion
Detection
System

なんで"WIDS/WIPS"じゃあかんの？ 
(Wireless Intrusion Detection/Prevention System)
細かいわ！
理由：*侵⼊検知*だけじゃない

ま、「WAVIDS」より
「WIDS」の⽅が通じるし、 
より発音しやすいんで、 
それでもええけど

※実は侵⼊検知よりも攻撃検知と脆弱性検知がメイン！
※実は＊侵⼊自体＊を検知してくれない？

WIDSを
ホームネットワークで
使っている⼈？
(うさぎちゃん以外に 
誰も⼿を挙げなかった）

会社でWIDSが
使われている？

Wiﬁペンテスト/ 
不正APの検出テストを
受けている会社は？

「WPA2を使っているから 
Wiﬁセキュリティを
気にしなくても
良いでしょ？」

例
1. ロシア政府のハッカーが昔から 
野良APの攻撃で不正アクセス 
https://www.justice.gov/opa/pr/us-charges-russian-gru-ofﬁcers-international-hacking-and-related-inﬂuence-and
2. Darkhotel 
https://blog.kaspersky.co.jp/darkhotel-apt/5392/

例
3. Hak5 Wiﬁ Pineapple (1~2万円)
https://shop.hak5.org/
世の中のハッカーは昔からWiﬁハッキングしてるよ！ 
(特に海外の空港、カフェ、ホテル等で）

やっぱり
Wiﬁは危険！

1. Wiﬁセキュリティの確認
2. WIDSの導⼊
3. Wiﬁペンテストで確認
対策

✦ Open AP (パスワード無しのAP）を使わない
✴どうしても使わないといけない場合はVPNで
✦ WEPを使わない！（まだ見かける！）
✦ WPA2 PSKを利用する場合は、 
長いパスフレーズを設定する（25⽂字以上）
✦クライアント間通信をブロック
Wiﬁセキュリティ対策

✦ 会社では必ずWPA 2 Enterprise (証明書認証）を利用！
✦ WPA-PSK (パスワード認証)の問題
✴WPAのパスワードが端末で*平⽂*で保存される！
✴１台の端末が感染または内部犯⾏によりPWが漏洩したら、 
PWが更新されるまでずっと会社に不正アクセスできる
✴また、通信の解読もできてしまう (Wireshark、airdecap-ng等)
✴Wiﬁ PW復元⼿法：
★Windows: netsh wlan export proﬁle folder=. key=clear
★Linux: 平⽂の設定ファイルを読む (wpa_supplicant.conf)
★OS X: https://github.com/lancerushing/osx-keychain-dumper

✦ WPA 2 Enterpriseは万全ではない！
✴例：EAPHammer  
(https://github.com/s0lst1c3/eaphammer)
✦ EAPのセキュアな設定
✦ ユーザが悪いAPに騙されないように 
　教育が必要！

✦ APのファームウェアを常に最新版にアップデート 
(KRACK攻撃対策等々）
✦ できればWPA3を利用 
　(https://24wireless.info/wpa3-supported-vendors)
✴ 弱いパスワードが使われていてもOKらしい (はず)
✴ PMF (Protected Management Frames)でDoS攻撃が不可能（ほんまに？）
✴ オフラインパスワードクラッキングできない（はず）
✴ Forward Secrecy (前⽅秘匿性)に対応している（はず）
★WPA3も万全ではない・・ 
(例：Dragonblood：オフラインパスクラは実は可能)

✦ センシティブなネットワークは 
　無線を使わないのが⼀番！

⾁眼でWiﬁ攻撃が 
見える⼈？
(⼿を挙げたのはまた 
うさぎちゃんだけ。
うさぎちゃん強いな∼！）

Wiﬁ攻撃と脆弱性を 
可視化！

そのため
WIDSを導⼊
すべきだが、⾼い・・

パレートの法則
a.k.a. "80/20ルール"
を利用！

2割のコストで
有料のプロ 
ソリューションの 
8割ができる！

プロレベルが必要の場合、
DIYの⽅がコストがかかる
場合は
プロに頼むべき

独学できる技術者がいれば、OSS等で
DIYした⽅が低コストでできるし、 
プロよりもうまくできるかも！

2005年から流⾏っていた 
DIY WIDSの研究を蘇らせる！
https://www.sans.org/reading-room/whitepapers/detection/
inexpensive-wireless-ids-kismet-openwrt-33103
Linksys WRT54GにOpenWRT FWを 
インストールして、kismetでWIDSを構築

10年前から
DIY WIDSについて
新しい記事が無いので、
調べてみた・・
(WRT54Gはこの時代には 
流⽯に不⼗分）

まず、
Wiﬁ攻撃を把握！

Wiﬁ攻撃
✦ ２種類：
✴ AP (Access Point)に対する攻撃
✴ クライアントに対する攻撃
✦ 最近はクライアントへの攻撃が多い

Wiﬁ Client攻撃の種類
1. Wiﬁドライバの脆弱性をエクスプロイトして、  
RCE(リモートコード実⾏）する
※めっちゃむずい！！
2. 悪いAPを立ち上げて、中間者攻撃する
※めっちゃ簡単！！
✴中間者攻撃ができたら⼤体攻撃者の勝ちになる

悪いAPの種類
1. 無差別攻撃
✴ KARMA攻撃
✴ MANA攻撃
✴ Known Beacon攻撃
2. 標的型攻撃
✴ 悪魔の双⼦攻撃 (Evil Twin攻撃）

KARMA攻撃
✦ 2005年に発見された脆弱性
✦ 昔々、クライアントがPNL (Preferred Network List) 
(優先ネットワークリスト)にあるSSIDを順番に 
　ブロードキャストしてAPを探していた
✦ 攻撃者がそのブロードキャストをキャプチャして、 
　その名前のAPに偽装したら、周りの端末がみんな 
　接続してくる
✦ 本当のAPをDoS攻撃したらもっと効果的になる

KARMA攻撃
SSID:HomeNetwork
SSID: KaishaNetwork
SSID:
FreeWiﬁ
"HomeNetwork"
"KaishaNetwork"
"FreeWiﬁ"

KARMA攻撃
✦ セキュリティとプライバシーにとって⼤問題なので、 
　最近のWiﬁクライアントはブロードキャスト 
　パケットにSSIDを書かない
✦ 従って、攻撃者はクライアントのPNLにあるSSID 
　を推測しないといけない
✴ "Known Beacon Attack" (「SSID推測攻撃」？)
✴ さほど難しくない

SSID推測攻撃
✦スマホはデフォルトでキャリアのFree Wifiに 
勝⼿に接続する！（O_O)
✦ アメリカ：attwifi
✦ 日本: 0001softbank, 0002softbank, mobilepoint, docomo-visitors,
docomo, 0000docomo, 0001docomo, au_Wi-Fi2, au_Wi-Fi,
Wi2premium_club, Wi2_club, 0000Wi2, UQ_Wi-Fi, Wi2premium, Wi2,
wifi_square
✦ このようなSSIDをスプーフィング(偽装)したら多くのスマホが 
　接続してくるはず！

SSID推測攻撃
✦その他：
✴ LAWSON_Free_Wi-Fi
✴ Famima_Wi-Fi
✴ FREESPOT
✴ FREE_Wi-Fi_PASSPORT
✴ Shinkansenn_Free_Wi-Fi
✴ DoSPOT-FREE
✴ 7SPOT
✴ at_STARBUCKS_Wi2
✴ 00000JAPAN
✦ https://www.simfree-revolution.net/japan-wiﬁ-free-spot-list/
✦ https://sim-web.jp/wiﬁspot/

SSID推測攻撃
✦ パスワードが設定された場合は 
SSIDスプーフィングだけでは接続に失敗する
✦ 例：mobilepoint1 (WEP), NTT-SPOT (WEP), 0000docomo
(WPA2), docomo (WEP), 0000Wi2(WPA2), UQ_Wi-Fi (WEP)
✦ が、有名なWiﬁスポットは、 
パスワードがネットに書いてあったりする・・
✦ パスワードが公開されていたらあまり意味が無い・・

✦ "Evil Twin Attack"
✦ あるAPのSSIDに成りすます攻撃
✴ 例：会社のネットワーク等
✦ Wiﬁ Roaming仕様を悪用しているので、防ぎにくい
✦ 電波の強いAPが勝つ！ (本当のAPのDoS攻撃も可能)
✦ MACアドレス(BSSID)も本当のAPのMACアドレス(BSSID)にすると
　見極めるのが困難！
✴※不可能ではないが、誤検知も出てくる
悪魔の双⼦攻撃

悪いAP（無差別攻撃）の対策
✦ フリーWifiを使わない！
✴ ポケットWifi、テザリングはそんなに⾼くないし、 
フリーWifiより速度が早かったりする
✴やむをえず、フリーWifiを利用する場合は 
通信をVPN経由で
★100%ではないが、多分⼤丈夫？
✦ スマホのWifiアダプタを無効にする！

悪いAP（標的型攻撃）の対策
✦ 強い認証を要求する
✦ ユーザ教育
✴ 会社のSSIDが急にパスワード無しで提供されたら 
　すぐCIRTに連絡するように。また、接続しないように。
✴ 証明書が急に変わった場合はすぐCIRTに連絡するように。
　またログオンしないように。

悪いAPの検知
✦ War Walkingで検出
✦ 指向性 Yagiアンテナ＋Kismet

不正アクセスポイントの設置
✦ Wiﬁが使えるように社員が無断でWAP (Wireless Access Point)を  
会社ネットワークに接続する可能性がある (Rogue(ローグ) AP)
✴ 普段Wiﬁを使っていない会社も注意！
✴ 弱いパスワードの使用、設定ミス、脆弱な機器の使用が多い！
✦ MacやWindowsで簡単にできてしまう！("インターネット共有")
✴https://support.microsoft.com/ja-jp/help/4027762/windows-use-your-pc-as-a-mobile-hotspot
✴https://support.apple.com/ja-jp/guide/mac-help/mchlp1540/mac

Rogue APの検知
✦ 有線で社内スキャン
✦ Nessus
✴https://www.tenable.com/sites/drupal.dmz.tenablesecurity.com/ﬁles/uploads/documents/whitepapers/using-nessus-to-detect-wap.pdf
✦ Nmapスクリプト
✴ https://www.willhackforsushi.com/code/rogueap.nse

Rogue APの検知（有線スキャン）
✦ OS、HTTP、FTP、SNMPフィンガープリントで特定
✦ HTTPバナー等に"WRT54", "Portal"等のキーワードが無いかチェック
✦ デメリット
✴ ブラックリスト⽅式（検知漏れあり）
✴ リストは恐らく頻繁にアップデートされない
✴ 海外製品にしか対応していなさそう
✴ 端末のインターネット共有機能を検知できない

Rogue APの検知（無線スキャン）
✦ War Walkingで検出するのが⼀番！
✦ 指向性 Yagiアンテナ＋Kismet

無線ネットワークの侵⼊検知
✦ 攻撃者にWiﬁパスワードや正常ログイン情報を 
盗まれると検知が難しい！
✦ 未登録のMACアドレスの確認
✦ UBA (ユーザ⾏動解析）
✦ (どっちもWIDS機器でしない）
✦ 会社に設置された悪いAPを検知できたら"侵⼊検知"になる

WIDSを構築する前に
モニターモードに
設定できるWiﬁアダプタが必要 
（有線の"プロミスキュアス
モード")

AtherosとRealtek Chipsetが⼀番
最近のIntel等々
Linuxドライバがあれば 
多分⼤丈夫
詳細：https://www.kismetwireless.net/docs/readme/datasources_wiﬁ/

おすすめのWiﬁアダプタ
Alfa AWUS (ただ技適マークが無いので、 
受信のみにするか、海外で使うか、＊実験的に＊使う）
(Amazon.com: 送料込みで4~8千円)

✦ 11月20日に時代遅れの技適マーク法律が 
　やっと更新されたらしいよ！
✦ 詳細：https://techlog.iij.ad.jp/archives/2689

✦ そもそも悪い事をしない限りは⼤丈夫？？
✦ 「技適マークのない機器で無線を 
　使っていたので自首してきた」 
　https://tojikomorin.sakura.ne.jp/blog/2016/08/09/%E6%8A%80%E9%81%A9/

と⾔っても
ちゃんと法律を守って
研究/監視してください

# apt-get install dkms
# git clone https://github.com/aircrack-ng/rtl8812au
# cd rtl8812au
# ./dkms-install.sh
# iwconfig
wlx00c0caa82531 unassociated Nickname:"<WIFI@REALTEK>"
Mode:Managed Frequency=2.412 GHz Access Point: Not-Associated
Sensitivity:0/0
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/100 Signal level=0 dBm Noise level=0 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0
モニターモードの設定 (ドライバがバグっているため？、手動でモニターモードにする必要がある）：
# ifconfig wlx00c0caa82531 down
# iwconfig wlx00c0caa82531 mode monitor
# ifconfig wlx00c0caa82531 up
ドライバインストール

おすすめのアダプタ
✦ Carantee か CrazyFire WiFi
✦ 技適マークあり！
✦ Amazon Primeで2000円！
✦ USB 3.0
✦ 5dBi アンテナ
✦ デュアルバンド (2.4G/5G)
✦ IEEE 802.11 b/g/n/a/ac
✦ Realtek RTL8812BU Chipset  
(モニターモードもパケットインジェクションも可能）
✦ ただ、Alfaより弱い・・

ドライバインストール
✦ Kali 2019.4で検証済
✴ apt-get update && apt-get upgrade
✴ apt-get install bc dkms
✴ git clone https://github.com/cilynx/rtl88x2BU_WiFi_linux_v5.3.1_27678.20180430_COEX20180427-5959
✴ cd rtl88x2BU_WiFi_linux_v5.3.1_27678.20180430_COEX20180427-5959/
✴ VER=$(sed -n 's/PACKAGE_VERSION="(.*)"/1/p' dkms.conf)
✴ rsync -rvhP ./ /usr/src/rtl88x2bu-${VER}
✴ dkms add -m rtl88x2bu -v ${VER}
✴ dkms build -m rtl88x2bu -v ${VER}
✴ dkms install -m rtl88x2bu -v ${VER}
✴ modprobe 88x2bu
✴ iwconﬁgで確認　(wlx0013effxxxxxのようなアダプタ名が表示されるはず）

必要のアダプタ数
✦ チャンネルホッピングには⼀つのアダプタで 
⼗分だが、本格的なスニッフィングをしたい場合は 
各チャンネルに⼀台のアダプタが必要・・
✦ 2.4GHz = 14 Channel = アダプタ14個
✦ 5GHz = 37 Channel = アダプタ37個
✦アダプタ51個?!?

Wiﬁ Cactus:
https://theoutline.com/post/2017/this-guy-hunted-wi-ﬁ-hackers-using-a-giant-backpack-made-out-of-radios

必要のアダプタ数
✦ 現実的にはチャンネルホッピング用のアダプタ
⼀個と監視したいネットワークのチャンネル数
✦ つまり、2~4個？
✦ 会社が広い場合は複数のWIDSセンサーを設置

WIDSハードウェア
✦Intel NUC (Amazonで2万円~20万円）
✦できるだけハイスペックなもの
✦メモリ：4GB+
✦HDD: 1TB+? (理想: SSD)
✦Dual Core+ (理想: Quad+)
✦Wiﬁ: モニターモードに対応

セキュリティロックもおすすめ

WIDSのOSとソフト
✦Kali 2019.4
✴既にKismet 2019-09-R1が 
インストールされている
✴Wiﬁアダプタサポートも良い
✴.ISOをDLして、Etcher等でUSBに焼く
✴NUCでF10でUSBから起動してインストール
✴「Guided - use entire disk and set up encrypted LVM」 
　で強いパスフレーズでディスク全体を暗号化！

KismetのWIDS機能
✦ Wiﬁスキャナー検知 (△誤検知あり！）
✴AIRJACKSSID、LUCENTTEST、
NETSTUMBLER、
✴※ 古いスキャナーが多い
✴PROBENOJOIN - APを探しているのに、 
接続しない。InSSIDer等のActive Scanner検知 
※誤検知が多いので、デフォルトで無効

KismetのWIDS機能
✴ APSPOOF (◎Evil Twin攻撃検知） 
　正当のMACアドレスを登録する必要がある 
　例：apspoof=hoge:ssid="YamatoFreeWiﬁ",validmacs="AA:BB:CC:DD:EE:FF" 
　 ※MAC(BSSID)スプーフィングされたら 
検知できない

KismetのWIDS機能
✦ APスプーフィング検知 (△誤検知あり！）
✴ADVCRYPTCHANGE、BEACONRATE、 
DOT11D、BSSTIMESTAMP、CHANCHANGE、 
CRYPTODROP、DHCPCONFLICT、 
DHCPNAMECHANGE、DNSOSCHANGE、KARMAOUI、
PROBECHAN、DISCONCODEINVALID 
　APの設定が変わった若しくは異常 
　APが再設定されただけかもしれないけど、 
　Evil Twin攻撃の可能性もある

KismetのWIDS機能
✦ Exploit検知 (◎）
✴LONGSSID、WMMOVERFLOW (Buffer Overﬂow検知）
✴DISASSOCTRAFFIC (クライアント乗っ取り）
✴古いエクスプロイト：MSFBCOMSSID、MSFDLINKRATE、
MSFNETGEARBEACON、NULLPROBERESP等
✴BCOM11KCHAN (CVE-2017-11120)
✴WMMTSPEC (CVE-2017-11013)
✴QCOMEXTENDED (CVE-2019-10539)
✴RTLWIFIP2P (CVE-2019-17666)

KismetのWIDS機能
✦ DoS攻撃検知 (◎）
✴DEAUTHFLOOD 、BCASTDISCON 
WPA Handshakeを盗むため等
✴DHCPCLIENTID
✴OVERPOWERED

KismetのWIDS機能
✦ パスクラ攻撃 (◎）
✴WPSBRUTE - WPSクラッキング検知
✴NONCEDEGRADE (KRACK攻撃検知) 
※誤検知が多いので、デフォルトで無効
✴DEAUTHFLOOD、BCASTDISCON 
DeAuthentication DoS攻撃検知 
WPA Handshakeを盗むためによく使われる

KismetのWIDS機能
✦ 詳細： 
https://www.kismetwireless.net/docs/readme/alerts_and_wids/

Kismet - その他
✦ Bluetooth
✦ SDR
✦ Zigbee (開発中)
✦ nRF Mousejack

Kismetの設定
✦ iwconﬁgでWiﬁアダプタを確認
✴ 何も表示されない場合は 
ドライバをインストールする必要がある
✦ gedit /etc/kismet/kismet.conf
✴ source=wlan0 (アダプタ名を⼊れる）
✴ hidedata=true (IPレイヤー等を見ない）
✦ gedit /etc/kismet/kismet_alerts.confでアラートを設定
✦ その他：/etc/kismet/*を確認

Kismetの実⾏
✦#kismet
✦ブラウザで：http://localhost:2501
✦初回はユーザ名とPWを設定

kismetの作者
(dragorn / mike  
kershaw⽒)を
応援しましょう！

kismetの応援
✦https://www.patreon.com/kismetwireless/
✦https://www.kismetwireless.net/hardware/
✦Kismet Tindie Store 
https://www.tindie.com/stores/dragorn/

やるリスト
✦ WIDSアラートをSLACKにアップ
✦ 同じBSSIDが複数のSSIDを提供するアラート作成 
　(SSID推測攻撃の検知）
✦ 他のOSS WIDS機能をKismetに追加
✴ SentryGun (https://github.com/s0lst1c3/sentrygun)
✴ wids.py (https://github.com/SYWorks/wireless-ids)
やりたいリスト
誰かにやって欲しいリスト

✦ (神戸の会社等の）第三者にWifiセキュリティ 
　対策をレビューして貰って、Wifiペンテスト 
　で実際に確認する
✦ 定期的に不正APが無いか 
　War Walkingで確認する
Wifiペンテスト

自分の無線ネットワークを 
ちゃんと監視して、
Wiﬁ攻撃に気をつけてください！

質問/コメントがあれば
⼤和セキュリティSLACK 
チャンネルでお願いします。
https://yamatosecurity.connpass.com/

ご静読ありがとうございました！
Merry Christmas!

2019 12-14 DIY WIDS IoTSecJP Version 6.0

Recommended

Recommended

More Related Content

What's hot

What's hot (17)

Similar to 2019 12-14 DIY WIDS IoTSecJP Version 6.0

Similar to 2019 12-14 DIY WIDS IoTSecJP Version 6.0 (20)

More from Isaac Mathis

More from Isaac Mathis (7)

2019 12-14 DIY WIDS IoTSecJP Version 6.0