2017 年 12 月有一則新聞稱,國(guó)外一家星巴克店內(nèi)的無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)植入了惡意代碼,劫持網(wǎng)絡(luò)流量,利用用戶設(shè)備挖掘門羅幣(XMR)。與加密貨幣相關(guān)的安全事件總是引人注目,我們也再次見(jiàn)識(shí)到了公共 Wi-Fi 的危險(xiǎn)。
不久,Arnau Code 寫了一篇文章 CoffeeMiner: Hacking WiFi to inject cryptocurrency miner to HTML requests,其中詳細(xì)介紹了如何通過(guò) MITM 攻擊植入 JavaScript 代碼,從而讓 Wi-Fi 網(wǎng)絡(luò)內(nèi)的所有設(shè)備幫助攻擊者挖礦,架構(gòu)如圖 2-132 所示。
在本文內(nèi)容中,我們將提出一種可以檢測(cè)周圍 Wi-Fi 網(wǎng)絡(luò)是否被植入挖礦代碼的便捷方法。
在星巴克挖礦事件中所使用的便是 CoinHive 挖礦程序。CoinHive 是一個(gè)提供了門羅幣挖礦腳本的網(wǎng)站平臺(tái),攻擊者將該平臺(tái)提供的腳本植入到自己或入侵的網(wǎng)站上。一旦有用戶訪問(wèn)加載網(wǎng)頁(yè)上的JavaScript 代碼,便會(huì)利用用戶設(shè)備來(lái)挖掘門羅幣。
在 CoinHive 官網(wǎng)中可以發(fā)現(xiàn)多種部署方式,包括 JavaScript 代碼形式、人機(jī)驗(yàn)證形式、WordPress插件形式等,種類非常豐富。例如,在注冊(cè)登錄時(shí)的人機(jī)驗(yàn)證,界面如圖 2-133 所示。一旦單擊就會(huì)啟動(dòng)挖礦程序,在運(yùn)算一段時(shí)間后用戶才可以繼續(xù)登錄。
根據(jù) JavaScript Miner 的介紹文檔,將示例代碼放入網(wǎng)站的 HTML 文件中就可以了,部署極其簡(jiǎn)單,如圖 2-134 所示。
由于 JavaScript 挖掘代碼的易用性及加密貨幣的經(jīng)濟(jì)價(jià)值,CoinHive 經(jīng)常被不法分子所利用。例如,站長(zhǎng)或黑客攻破網(wǎng)站后主動(dòng)插入挖礦代碼,站點(diǎn)本身沒(méi)有挖礦腳本卻被運(yùn)營(yíng)商鏈路劫持插入挖礦代碼,通過(guò)廣告聯(lián)盟將挖礦代碼隨著廣告分發(fā)到大量的網(wǎng)站上。
這次星巴克熱點(diǎn)的挖礦事件向大家揭示了公共 Wi-Fi 網(wǎng)絡(luò)也是容易被不法分子利用的場(chǎng)景。
在星巴克熱點(diǎn)挖礦案例中,可以通過(guò)多種方式達(dá)到植入挖礦代碼的目的。
(1) 在商家無(wú)線網(wǎng)絡(luò)中,通過(guò)中間人攻擊植入挖礦代碼,如圖 2-135 所示。
ARP 欺騙是中間人攻擊中最為常見(jiàn)的一種。在局域網(wǎng)中,設(shè)備間的通信依賴于 MAC 地址(而不是 IP),每個(gè)設(shè)備都會(huì)在本地維護(hù)一個(gè) ARP 映射表,記錄 MAC 與 IP 的對(duì)應(yīng)關(guān)系。所謂 ARP 欺騙,就是讓目標(biāo)設(shè)備在本地 ARP 表中記錄錯(cuò)誤的對(duì)應(yīng)關(guān)系(如圖 2-136 所示的 ARP 映射表),使其將數(shù)據(jù)發(fā)向錯(cuò)誤的目標(biāo),從而被黑客所劫持。黑客通過(guò)對(duì)用戶進(jìn)行中間人攻擊,進(jìn)而劫持目標(biāo)與網(wǎng)關(guān)間的通信數(shù)據(jù),例如替換網(wǎng)頁(yè)圖片(如圖 2-137 所示)、替換安裝包及植入挖礦代碼等。
(2) 攻擊者創(chuàng)建釣魚熱點(diǎn)植入挖礦代碼。在 2.4 節(jié)中我們了解到,當(dāng)無(wú)線設(shè)備發(fā)現(xiàn)周圍存在同名同加密類型的歷史連接熱點(diǎn)時(shí),會(huì)嘗試自動(dòng)連接。黑客可以通過(guò)創(chuàng)建與星巴克熱點(diǎn)同名的開(kāi)放式熱點(diǎn)騙取用戶主動(dòng)或被動(dòng)連接。而該處的 DNS 是由黑客控制的,可以將所有的網(wǎng)頁(yè)請(qǐng)求指向被黑客植入了挖礦代碼的網(wǎng)頁(yè),如圖 2-138 所示。
現(xiàn)有檢測(cè)工具大多數(shù)使用終端上的安全軟件對(duì)網(wǎng)絡(luò)入口流量進(jìn)行檢測(cè),進(jìn)而發(fā)現(xiàn)挖礦代碼,這需要設(shè)備先連接目標(biāo)網(wǎng)絡(luò)才能檢測(cè)。如果想檢測(cè)周邊的所有熱點(diǎn)就只能逐個(gè)連接,可預(yù)想到效率會(huì)非常低。而下面介紹的檢測(cè)方法可以在無(wú)連接的情況下批量檢測(cè)周邊熱點(diǎn),這種檢測(cè)方式主要基于以下兩點(diǎn)。
① 由于惡意熱點(diǎn)出于吸引更多用戶的目的,往往是無(wú)密碼的開(kāi)放式熱點(diǎn)。
② 開(kāi)放式熱點(diǎn)的通信數(shù)據(jù)是未加密的。
檢測(cè)工具的原理就呼之欲出了,即監(jiān)聽(tīng)明文的802.11 數(shù)據(jù)幀,當(dāng)發(fā)現(xiàn)挖礦特征便進(jìn)行告警。
(1) 搭建測(cè)試熱點(diǎn)
為方便后續(xù)測(cè)試,先建立一個(gè)包含挖礦代碼的開(kāi)放式熱點(diǎn)。參考 2.4 節(jié)釣魚熱點(diǎn)中的內(nèi)容,通過(guò)hostapd 建立熱點(diǎn),利用 dnsmasq 提供 DHCP 及 DNS 服務(wù),本地 nginx 提供 Web 服務(wù)并植入 CoinHive代碼,最后通過(guò) iptables 配置 Captive Portal 強(qiáng)制門戶。如此,當(dāng)移動(dòng)設(shè)備連接該熱點(diǎn)時(shí)會(huì)自動(dòng)彈出窗口提示需要認(rèn)證,單擊后就會(huì)訪問(wèn)含有挖礦代碼的網(wǎng)頁(yè)了。
(2) 監(jiān)聽(tīng)明文 802.11 數(shù)據(jù)幀
監(jiān)聽(tīng)傳遞在空中的 HTTP 數(shù)據(jù)。將無(wú)線網(wǎng)卡配置為 Monitor 模式,切換到熱點(diǎn)所在的 Channel,并使用 Wireshark 進(jìn)行觀察。命令如下:
ifconfig wlan0 down iwconfig wlan0 mode monitor ifconfig wlan0 up iwconfig wlan0 channel 11
我們的目標(biāo)是獲取未加密的數(shù)據(jù)幀,其中的 HTTP 數(shù)據(jù)將會(huì)被 Wireshark 所解析,在圖 2-139 中輸入 http.response 進(jìn)行 HTTP Response 幀篩選。與此同時(shí),需要讓移動(dòng)設(shè)備訪問(wèn)目標(biāo)網(wǎng)頁(yè),接著就能觀察到一些數(shù)據(jù)。
直接嘗試過(guò)濾出包含 CoinHive 特征代碼的數(shù)據(jù)包 data-text-lines contains CoinHive.Anonymous,結(jié)果如圖 2-140 所示。
此時(shí)便能得出結(jié)論,該熱點(diǎn)存在 CoinHive 挖礦代碼。從 wlan.sa 字段取得該熱點(diǎn)的 MAC 地址,再結(jié)合 Beacon 幀或 Probe 幀獲取該熱點(diǎn)的名稱。以上描述的方法也可以使用 Wireshark 的命令行工具Tshark 在終端中進(jìn)行操作。
(3) 使用 Scapy 編寫挖礦熱點(diǎn)識(shí)別框架
我們即將打造的程序就是一個(gè)對(duì)明文 802.11 數(shù)據(jù)幀的分析器。按照這個(gè)思路,只需要添加不同的識(shí)別規(guī)則就能擴(kuò)展出對(duì)攻擊代碼的檢測(cè)了。為了便于擴(kuò)展,使用 Scapy 來(lái)編寫一個(gè)簡(jiǎn)單的框架。
① 安裝Scapy。由于Scapy 沒(méi)有對(duì)HTTP 協(xié)議進(jìn)行解析,所以需要引入了scapy_http 擴(kuò)展包。命令如下:
apt install python-pip pip install scapy pip install scapy_http
② 獲取熱點(diǎn)列表。掃描周邊熱點(diǎn)信息,以便后用,相關(guān)代碼如下:
from scapy.all import *
from scapy.layers import http
iface = "wlan0"
ap_dict = {}
def BeaconHandler(pkt) :
if pkt.haslayer(Dot11) :
if pkt.type == 0 and pkt.subtype == 8 :
if pkt.addr2 not in ap_dict.keys() :
ap_dict[pkt.addr2] = pkt.info
sniff(iface=iface, prn=BeaconHandler, timeout=1)③ 監(jiān)聽(tīng)含有關(guān)鍵字的HTTP 數(shù)據(jù)包。當(dāng)匹配到告警規(guī)則后,輸出熱點(diǎn)名稱、MAC 地址及告警詳情,相關(guān)代碼如下:
filter_response = "tcp src port 80"
def HTTPHandler(pkt):
if pkt.haslayer('HTTP'):
mac = pkt.addr2
if "CoinHive.Anonymous" in pkt.load:
reason = "CoinHive"
else:
return
if mac in ap_dict.keys() :
ssid = ap_dict[mac]
print "Find Rogue AP: %s(%s) -- %s" %(ssid, mac, reason)
else:
print mac
sniff(iface=iface, prn=HTTPHandler, filter=filter_response, timeout=5)④ 監(jiān)聽(tīng)模式及信道切換。在2.4 GHz 中,熱點(diǎn)一般會(huì)建立在1、6、11 三個(gè)互不干擾的信道上。為了增加監(jiān)聽(tīng)覆蓋的信道,可以讓程序增加信道切換功能,相關(guān)代碼如下:
import os
print "[+] Set iface %s to monitor mode" %(iface)
os.system("ifconfig " + iface + " down")
os.system("iwconfig " + iface + " mode monitor")
os.system("ifconfig " + iface + " up")
channels = [1,6,11]
print "[+] Sniffing on channel " + str(channels)
while True:
for channel in channels:
os.system("iwconfig " + iface + " channel " + str(channel))
...把以上模塊組裝在一起就可以使用了(完整代碼見(jiàn)https://github.com/PegasusLab/WiFi-Miner-Detector)。如果想添加更多的檢測(cè)規(guī)則,可以在HTTPHandler 函數(shù)中進(jìn)行擴(kuò)展。
本文節(jié)選自《黑客大揭秘 近源滲透測(cè)試》
網(wǎng)絡(luò)安全一直是計(jì)算機(jī)領(lǐng)域的熱點(diǎn),“黑客”一詞在生意參謀上的熱度排名第七,隨著Wifi已經(jīng)遍及生活的各個(gè)角落,近源信息安全必將成為未來(lái)信息安全領(lǐng)域的熱點(diǎn)。
本書由國(guó)際知名安全研究團(tuán)隊(duì)天馬安全團(tuán)隊(duì)(PegasusTeam)榮譽(yù)出品,專業(yè)技術(shù)過(guò)硬,內(nèi)容值得信賴;用漫畫故事引出全篇的內(nèi)容,富有趣味和新意;汲取多年無(wú)線滲透測(cè)試案例精華與技巧,講解滲透測(cè)試領(lǐng)域全新概念“近源滲透測(cè)試”;數(shù)十位業(yè)內(nèi)黑客大咖傾力推薦。
一天不上網(wǎng),可能日子就沒(méi)法過(guò)了,但最折磨人的,不是沒(méi)網(wǎng)上,而是網(wǎng)!速!太!慢!了!你可能正在和隊(duì)友玩著英雄聯(lián)盟,突然網(wǎng)速變慢,不小心就坑了隊(duì)友一把;又或者看電影正好到高潮部分,加載不下去;甚至是打開(kāi)一個(gè)網(wǎng)頁(yè)都要幾十秒。
為什么有時(shí)候網(wǎng)速很快,有時(shí)候網(wǎng)速又很慢?明明寬帶是夠用的,但網(wǎng)速卻非常慢.....下面我們就來(lái)聊聊應(yīng)該如何提高網(wǎng)速,有時(shí)候可能一個(gè)小小的舉措就能讓網(wǎng)速恢復(fù)正常。
1、路由器擺放在正確的位置
路由器的無(wú)線信號(hào)強(qiáng)度受傳輸距離和障礙物影響比較大,所以擺放路由器要注意以下幾點(diǎn):
盡量減少信號(hào)傳輸過(guò)程中的障礙物,且路由器位置擺放越高越好,可以試著放在柜子頂端;
遠(yuǎn)離信號(hào)干擾源,如果路由器周圍有與Wi-Fi使用的2.4GHz頻段沖突的電磁波,信號(hào)強(qiáng)度會(huì)受到影響,比如電磁爐、微波爐等;
盡量放在接近經(jīng)常使用無(wú)限網(wǎng)絡(luò)的區(qū)域,又或者把路由器放在房子中間讓每個(gè)地方的信號(hào)強(qiáng)度均勻;
盡量讓天線更多的露出空氣中,不要貼墻,如果是多根天線的路由器,天線要交叉擺放,避免信號(hào)相交導(dǎo)致沖突衰減。
2、房間太多可使用WIFI放大器
WIFI放大器可對(duì)無(wú)線信號(hào)進(jìn)行放大。如果家里房間較多,尤其是別墅、復(fù)式房間,無(wú)線信號(hào)穿墻之后可能會(huì)有損耗,WIFI放大器可放大信號(hào),京東有許多產(chǎn)品,我們推薦小米WIFI放大器。
3、把路由器功率開(kāi)到最大
路由器很多都內(nèi)置節(jié)能、防輻射的功能,主要就是將發(fā)射功率調(diào)低,防輻射路由器默認(rèn)下功率設(shè)置為80%,進(jìn)而影響網(wǎng)速,可將路由器功率調(diào)到最大。
4、給路由器選擇合適的信道
一般路由器后臺(tái)設(shè)置上都會(huì)有11或13個(gè)信道選擇,如果同一個(gè)網(wǎng)絡(luò)區(qū)域上有相同的信道重疊,會(huì)使數(shù)據(jù)鏈接速率下降,這時(shí)候你可以使用“WiFi分析儀”APP查看你鄰居的路由器使用的信道是多少,給自己的路由器換上合適的信道。
5、找出并消滅占用帶寬的軟件
很多軟件、插件和App占用網(wǎng)絡(luò)資源,可將其清除掉,或限制其后臺(tái)自啟動(dòng);
關(guān)閉電腦和手機(jī)的系統(tǒng)/軟件的自動(dòng)升級(jí)功能;
利用殺毒軟件檢查電腦是否中毒;
6、不上網(wǎng)時(shí)把路由器關(guān)閉
路由器長(zhǎng)時(shí)間連續(xù)工作會(huì)導(dǎo)致發(fā)熱量增大,一旦溫度過(guò)高,會(huì)影響元器件的正常工作,進(jìn)而導(dǎo)致網(wǎng)速下降,所以在不上網(wǎng)時(shí)可以將路由器關(guān)掉讓其休息散熱,比如晚上睡覺(jué)時(shí)間。很多智能路由器都支持定時(shí)開(kāi)關(guān)或者功率調(diào)節(jié),可讓路由器休息。
如果你DIY能力強(qiáng)的話,可以給路由器加裝各種散熱裝置什么的。
(圖片來(lái)源于:jb51.net)
7、找到那些盜竊你家網(wǎng)絡(luò)的人
外人可能通過(guò)各種形式連接你家的WiFi,可到路由器后臺(tái)看哪些設(shè)備連接了路由器,遇到可疑設(shè)備直接拉黑。還可安裝一些安全軟件實(shí)現(xiàn),比如:防蹭網(wǎng)大師、路由衛(wèi)生等,這些安全軟件還可以監(jiān)控網(wǎng)絡(luò)安全。
為了防止別人蹭網(wǎng),還可對(duì)路由器進(jìn)行一些相關(guān)的設(shè)置,比如設(shè)置一個(gè)復(fù)雜的密碼、關(guān)閉SSID(網(wǎng)絡(luò)名稱)廣播、關(guān)閉DHCP功能、設(shè)置MAC地址過(guò)濾等等。
8、最簡(jiǎn)單有效的方法:重啟你的路由器
路由器長(zhǎng)時(shí)間使用會(huì)積累很多緩存數(shù)據(jù)、轉(zhuǎn)接信息,一旦碎片增多路由器處理速度便會(huì)下降從而影響網(wǎng)速,這時(shí)候重啟路由器可將這些緩存清除掉。總之,就像電腦和手機(jī)一樣,變慢了之后就可以嘗試重啟,是最直接有效的手段。
9、致電你的運(yùn)營(yíng)商
如果你的網(wǎng)絡(luò)突然變得不正常,可用測(cè)速工具查看當(dāng)前網(wǎng)速是否和帶寬相符,如果變慢,可能是運(yùn)營(yíng)商那邊“不小心”將網(wǎng)速調(diào)低,可致電咨詢運(yùn)營(yíng)商。
10、換一臺(tái)好點(diǎn)的路由器
如果你家很大,上網(wǎng)人多,可換一臺(tái)好一點(diǎn)路由器。現(xiàn)在的路由器,2.4G/5G雙頻、千兆傳輸、多天線同時(shí)收發(fā)等等基本已經(jīng)是標(biāo)配,選購(gòu)路由器時(shí)要多注意這些參數(shù),盡量不要選擇那種“低輻射、節(jié)能”的路由器。
11、嘗試調(diào)整你上網(wǎng)的位置
如果你用移動(dòng)設(shè)備上網(wǎng),處于不同位置時(shí)網(wǎng)速會(huì)不同,很多人喜歡在洗手間上網(wǎng),洗手間往往信號(hào)不好的場(chǎng)所,盡量避免在這樣的信號(hào)死角上網(wǎng)。如果春節(jié)要搶紅包這樣的關(guān)鍵場(chǎng)合,還可走到距離路由器相對(duì)更近位置。在機(jī)場(chǎng)等場(chǎng)所,無(wú)法得知WIFI天線的位置,可嘗試移動(dòng)到不同地方,占據(jù)網(wǎng)速最好的位置。
12、選擇合適的網(wǎng)絡(luò)接入方式
如果你家網(wǎng)速出現(xiàn)卡頓,又在搶紅包等關(guān)鍵場(chǎng)合需要好的網(wǎng)速時(shí),可嘗試切換到4G用流量上網(wǎng)。當(dāng)你在咖啡廳、機(jī)場(chǎng)、酒店等公共場(chǎng)所,往往有許多WIFI接入選擇,比如免費(fèi)WIFI、CMCC等收費(fèi)WIFI,以及商家WIFI,可進(jìn)行不同嘗試,選擇最好的網(wǎng)速,實(shí)在不行還可切回到4G上網(wǎng),電腦則可通過(guò)手機(jī)熱點(diǎn)進(jìn)行上網(wǎng)。
好了,今天的“提速”方法暫時(shí)分享到這里,當(dāng)然方法還有很多,以上并不是唯一,如果你有更好的方法歡迎與我們分享。另外如果你試了很多方法,網(wǎng)速依然沒(méi)有改善,這時(shí)候或許應(yīng)該要考慮升級(jí)寬帶或者更換運(yùn)營(yíng)商了。