Một nhà nghiên cứu bảo mật đã tiết lộ một kỹ thuật hacking WiFi mới giúp các tin tặc để crack mật khẩu WiFi của hầu hết các router hiện đại một cách dễ dàng.
Được phát hiện bởi nhà phát triển chính của công cụ bẻ khóa mật khẩu phổ biến Hashcat, Jens ‘Atom’ Steube, bản hack WiFi mới chống lại các giao thức mạng không dây WPA/WPA2 với các tính năng chuyển vùng dựa trên Pairwise Master Key Identifier [PMKID].
Cuộc tấn công nhằm thỏa hiệp WPA/WPA2 cho phép các mạng WiFi đã vô tình được phát hiện bởi Steube trong khi ông đang phân tích tiêu chuẩn bảo mật WPA3 mới được đưa ra.
Phương pháp hack WiFi mới này có khả năng cho phép kẻ tấn công khôi phục mật khẩu đăng nhập Pre-shared Key [PSK], cho phép họ xâm nhập vào mạng Wi-Fi của bạn và nghe lén các liên lạc trên Internet.
Làm thế nào để Hack mật khẩu WiFi bằng cách sử dụng PMKID
Theo các nhà nghiên cứu, các phương thức hack WiFi trước đây đã biết yêu cầu những kẻ tấn công phải chờ ai đó đăng nhập vào mạng và nắm bắt được cái bắt tay xác thực 4 chiều đầy đủ của EAPOL, một giao thức xác thực cổng mạng.
Trong khi đó, cuộc tấn công mới không còn yêu cầu người dùng khác trên mạng đích để nắm bắt thông tin xác thực. Thay vào đó, nó được thực hiện trên RSN IE [Robust Security Network Information Element] sử dụng một khung EAPOL [Extensible Authentication Protocol over LAN] duy nhất sau khi yêu cầu nó từ điểm truy cập.
Robust Security Network là một giao thức để thiết lập truyền thông an toàn qua mạng không dây 802.11 và có PMKID, chìa khóa cần thiết để thiết lập kết nối giữa máy khách và điểm truy cập, là một trong những khả năng của nó.
Bước 1 – Kẻ tấn công có thể sử dụng một công cụ, như hcxdumptool [v4.2.0 hoặc cao hơn], để yêu cầu PMKID từ điểm truy cập được nhắm mục tiêu và dump frame nhận được vào một tệp.
$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 –enable_status
Bước 2 – Sử dụng công cụ hcxpcap tool, đầu ra [ở định dạng pcapng] của frame có thể được chuyển đổi thành một định dạng băm được chấp nhận bởi Hashcat.
$ ./hcxpcaptool -z test.16800 test.pcapng
Bước 3 – Sử dụng công cụ bẻ mật khẩu Hashcat [v4.2.0 hoặc cao hơn] để nhận mật khẩu WPA PSK [Pre-Shared Key] và Bingo!
$ ./hashcat -m 16800 test.16800 -a 3 -w 3 ‘?l?l?l?l?l?lt!’
Đó là mật khẩu của mạng không dây đích, cracking có thể mất thời gian tùy thuộc vào độ dài và độ phức tạp của nó.
“Vào thời điểm này, chúng tôi không biết nhà cung cấp hoặc công cụ kỹ thuật này sẽ hoạt động như thế nào, nhưng chúng tôi cho rằng nó sẽ hoạt động chống lại tất cả các mạng 802.11i/p/q/r với chức năng chuyển vùng được kích hoạt [hầu hết các bộ định tuyến hiện đại]” Steube nói.
Người dùng được khuyến khích để bảo vệ mạng WiFi của họ với một mật khẩu an toàn để khó crack.
Hack WiFi này cũng không hoạt động với giao thức bảo mật không dây thế hệ tiếp theo WPA3, vì giao thức mới khó tấn công hơn vì giao thức thiết lập khóa hiện đại được gọi là “Simultaneous Authentication of Equals” [SAE]. ”
Evil Twin là một kiểu tấn công Man-in-the-Middle trong đó điểm truy cập giả được sử dụng để theo dõi hoạt động người dùng. Evil Twin hợp pháp hóa bằng cách nhân bản địa chỉ MAC và Name or Service Set Identifier [SSID] của mạng. Evil Twin sử dụng nhiều chiến thuật tương tự website spoofing [Một hình thức khác của MITM].
Evil Twin bắt đầu bằng cách nhân bản SSID mạng và giả vờ là một điểm truy cập an toàn. Khi người dùng kết nối với chúng và tin rằng đó là nó đảm bảo mà không hay biết sự thật là kẻ tấn công đang chặn tất cả lưu lượng giữa người dùng và máy chủ, đồng thời đánh cắp dữ liệu cá nhân mà không để lại dấu vết gì. Hậu quả của việc này đó là thông tin bị đánh cắp nhằm phục vụ hành vi trộm cắp danh tính hoặc tổn thất tài chính. Cuộc tấn công này rất hiệu quả vì phần lớn các thiết bị truy cập mạng hiện nay không thể phân biệt hai mạng có cùng tên. Nếu bạn muốn xem cách thức hoạt động của nó, bạn có thể tạo một điểm truy cập WiFi trên điện thoại và đặt tên giống như mạng gia đình của mình, tiếp đó dùng máy tính truy cập WiFi, máy tính của bạn sẽ coi cả hai như cùng một mạng.
Phương pháp tấn công Evil Twin
Kịch bản tấn công Evil Twin phổ biến nhất mà bạn có thể gặp trong thực tế là kiểu Captive Portals [CP]. Nhiều mạng WiFi công cộng sử dụng các website yêu cầu đăng nhập để cấp quyền truy cập. Những thông tin này có thể bị lợi dụng để lừa người dùng. Hãy đi sâu hơn vào những gì xảy ra ở mỗi bước của cuộc tấn công này:
Bước 1: Kẻ tấn công thiết lập điểm truy cập không dây giả
Kẻ tấn công thường chọn một nơi công cộng có nhiều điểm truy cập công cộng, chẳng hạn như sân bay. Những nơi như vậy thường có nhiều điểm truy cập WiFi có cùng tên. Rất tiện lợi trong việc bạn đi mọi nơi trong khuôn viên sân bay mà không bị ngắt kết nối, nhưng điều đó cũng giúp công việc của kẻ tấn công dễ dàng hơn nhiều khi tạo ra một điểm phát sóng giả có cùng tên WiFi.
Bây giờ, kẻ tấn công có thể sử dụng bất cứ thứ gì từ card mạng, máy tính bảng hoặc máy tính xách tay đến bộ định tuyến di động để tạo điểm phát sóng. Nó khá dễ, tương tự khi bạn sử dụng điện thoại làm điểm phát sóng để chia sẻ kết nối với bạn bè của bạn. Tuy nhiên, họ sử dụng cùng tên SSID.
Dùng cách này bởi vì hầu hết các thiết bị không đủ thông minh để phân biệt điểm truy cập hợp pháp và giả nếu chúng có cùng SSID [Một số kẻ tấn công có thể đi xa hơn bằng cách nhân bản địa chỉ MAC của mạng đáng tin cậy].
Bước 2: Kẻ tấn công tạo Captive Portal giả mạo
Nếu bạn đã từng sử dụng WiFi công cộng, có lẽ bạn đã thấy trang CP. Chúng thường yêu cầu bạn nhập thông tin đăng nhập WiFi. Vấn đề với CP là không có tiêu chuẩn nào về vẻ ngoài của chúng và chúng thường được thiết kế rất đơn giản. Do đó dễ giả mạo.
Những người sử dụng WiFi công cộng đã quá quen với họ theo cách này đến nỗi thật khó để phân biệt sự khác biệt giữa trang hợp pháp và trang giả mạo. Thật không may, nếu bạn gặp phải cái sau, nó sẽ gửi thông tin truy cập WiFi cho kẻ tấn công.
Nếu là WiFi công cộng không có mật khẩu thì kẻ tấn công có thể bỏ qua bước này
Bước 3: Kẻ tấn công khiến nạn nhân kết nối với WiFi Evil Twin
Giờ đây, kẻ tấn công đã có một điểm truy cập và một cổng thông tin giả mạo, chúng cần phải khiến mọi người bỏ kết nối hợp pháp và kết nối với chúng. Điều này có thể được thực hiện theo hai cách:
- Họ tạo ra tín hiệu Wi-Fi mạnh hơn, điều này sẽ dẫn đến việc các thiết bị tự động kết nối với Evil Twin.
- Họ ngắt kết nối tất cả mọi người ra khỏi mạng chính bằng cách làm thực hiện cuộc tấn công de-authentication. Các thiết bị được kết nối với mạng hợp pháp sẽ bị ngắt kết nối, điều này sẽ làm người dùng phải thực hiện kết nối lại. Bây giờ họ sẽ thấy một mạng mới có cùng tên, rất có thể sẽ ghi là “Unsecure”. Điều này sẽ gióng lên hồi chuông cảnh báo cho người dùng nhận biết bảo mật, nhưng nhiều người sẽ gạt đi. Phương pháp này có thể không hoạt động trong môi trường văn phòng, nơi nó sẽ gây nghi ngờ. Những kẻ tấn công tìm cách tránh sự nghi ngờ thường chọn một công cụ phổ biến có tên là bettercap, có thể chạy trên các hệ thống Linux, Mac, Windows và Android.
Bước 4: Kẻ tấn công đánh cắp thông tin đăng nhập
Bây giờ kẻ tấn công có toàn quyền với những dữ liệu người dùng cung cấp khi truy cập WiFi của họ.
Khi một người dùng được kết nối với AP Evil Twin, cuộc tấn công kết thúc. Toàn bộ quá trình này được sử dụng để cho phép kẻ tấn công thiết lập các vị trí MITM từ đó chúng có thể đánh cắp dữ liệu và tiêm phần mềm độc hại hoặc vào kiểm soát các thiết bị nạn nhân từ xa. Khi ở vị trí MITM, kẻ tấn công có toàn quyền kiểm soát WiFi.
Cách để bảo vệ chính bạn
- Vô hiệu hóa tính năng tự động kết nối trên tất cả các thiết bị kết nối không dây.
- Sử dụng Virtual Private Network [VPN] nếu sử dụng điểm truy cập công cộng. Nó sẽ mã hóa lưu lượng truy cập của bạn, đảm bảo rằng không ai đánh hơi được lưu lượng truy cập của bạn.
- Cố ý gõ sai khóa. Một số Evil Twin sẽ cấp quyền truy cập vào điểm truy cập bất kể khóa nào được nhập.
- Hạn chế cập WiFi công cộng và tuyệt đối không dùng những WiFi không có mật khẩu.
- Không đăng nhập vào bất kỳ tài khoản nào trên WiFi công cộng. Bằng cách này, kẻ tấn công sẽ không thể đánh cắp thông tin đăng nhập của bạn và sử dụng chúng để chống lại bạn.
- Tránh kết nối với các điểm truy cập WiFi có cảnh báo “Unsecure”, ngay cả khi nó có tên quen thuộc.
- Sử dụng xác thực 2 yếu tố cho tất cả các tài khoản nào của bạn. Bằng cách này, ngay cả khi kẻ tấn công chiếm được thông tin đăng nhập của bạn, họ vẫn sẽ không thể truy cập tài khoản của bạn.
- Cách tốt nhất để bảo vệ chống lại một cuộc tấn công Evil Twin là biết về chiến thuật này.
Demo tấn công Evil Twin
Yêu cầu:
1. Kali Linux
2. Card wifi [Mình sử dụng TP-link TL-WN821N]
Vấn đề: Chúng ta muốn tấn công một mục tiêu nào đó bằng Evil Twin để đánh cắp thông tin trên máy tính của họ. Để có thể làm được điều đó trước hết chúng ta phải làm cho victim truy cập vào wifi giả mạo của mình, nhưng vấn đề thường gặp là khi máy tính của victim cố gắng xác thực lại, máy của victim sẽ tự động kết nối lại với AP cũ chứ không phải điểm truy cập do chúng ta tạo ra vì máy sẽ chọn AP mạnh nhất để truy cập. Mình sẽ giải quyết vấn đề này ngay phía dưới.
Bắt đầu tấn công bằng airmon-ng start wlan0
Bước tiếp theo của chúng ta là bắt đầu nắm bắt lưu lượng. Chúng ta làm điều này bằng cách gõ:
- airodump-ng mon0
Chúng ta có thể thấy tất cả các điểm truy cập không dây trong phạm vi cùng với tất cả các số liệu thống kê quan trọng của victim.
Nếu chúng ta làm mọi thứ đúng, chúng ta có thể nhân bản AP của victim và khiến victim kết nối với wifi của chúng ta. Khi victim làm điều đó, chúng ta sẽ có thể thấy tất cả lưu lượng truy cập của victim, cũng như có khả năng chèn các gói, tin nhắn, mã của riêng chúng ta vào máy tính của victim.
Tạo một AP mới với cùng địa chỉ SSID & MAC
Khi victim đã kết nối với AP của mình, chúng ta có thể sử dụng airbase-ng để tạo ra một wifi giả. Chúng ta có thể làm điều này bằng cách mở một terminal và gõ:
airbase-ng -a [BSSID] --essid "[SSID]" [kênh AP của victim] mon0
- airbase-ng -a 00: 09: 5B: 6F: 64: 1E --essid "Elroy" -c 11 mon0
Bước tiếp theo của chúng ta là đẩy victim ra khỏi điểm truy cập của họ. Chuẩn 802.11 có một khung đặc biệt gọi là hủy cấp quyền, như bạn có thể mong đợi, hủy cấp quyền cho tất cả mọi người trên điểm truy cập. Khi máy tính của victim cố gắng xác thực lại, anh ta sẽ tự động kết nối lại với AP mạnh nhất.
Chúng ta có thể làm điều này bằng cách sử dụng aireplay-ng với gói deauth:
- aireplay-ng --deauth 0 -a [BSSID của victim]
Chúng ta đã sử dụng BSSID của mình trong lệnh aireplay-ng để tạo ra một wifi giống hệt wifi victim. Nếu tín hiệu của chúng ta mạnh hơn AP của victim, victim sẽ tự động kết nối lại với wifi của chúng ta.
Để đảm bảo tín hiệu wifi của chúng ta đủ mạnh chúng ta có thể tăng AP của mình lên tối đa sức mạnh bằng cách gõ:
- iw reg set BO
- iwconfig wlan0 txpower 30
Sau đó khi victim truy cập vào wifi, chúng ta có thể sử dụng phần mềm như Ettercap để thực hiện một cuộc tấn công trung gian. Bằng cách này, chúng ta có thể chặn, phân tích và thậm chí tiêm lưu lượng truy cập cho victim. Nói cách khác, vì victim đã kết nối với AP của chúng ta, chúng ta có gần như toàn bộ quyền truy cập vào dữ liệu của victim cả đến và đi.
VD: Sử dụng Ettercap để thực hiện kỹ thuật DNS Spoofing xem trộm thông tin.
Hay thực hiện kỹ thuật Sniffer để theo dõi mà mình đã demo trong bài trước, các bạn có thể xem lại tại đây Hay thực hiện tấn công Session Hijacking để thực hiện chiếm quyền điều khiển máy tính.
Ngoài ra còn có thể sử dụng Evil Twin với Airgeddon để hack wifi [ cái này mình sẽ chỉ nói qua chứ không đi vào chi tiết ]
Trước tiên, bạn sẽ cần cài đặt Airgeddon github.com/v1s1t0r1sh3r3/airgeddon.git
Mở airgeddon bằng lệnh
cd airgeddon sudo bash ./airgeddon.sh
Sau khi mở Airgeddon chúng ta cài đặt và xác định mục tiêu tấn công
Sau khi phát động tấn công Airgeddon cũng sẽ tạo một wifi giả mạo tới victim. Sau khi victim truy cập wifi mọi thông số DNS, Pass wifi sẽ đều gửi về. Khi đã biết wifi thì chúng ta hoàn toàn có thể sử dụng wireshark để theo dõi những người trong cùng wifi.
Lời kết
Hiểu cách thế giới vận hành sẽ cho bạn nhiều sự lựa chọn và biết cách bảo vệ mình trước sự nguy hiểm của thế giới ngoài kia. Với hướng dẫn này, hi vọng các bạn chỉ nên thực hiện hack wifi để dùng ké chứ không nên xem trộm thông tin của người khác! Nếu bạn có bất kỳ câu hỏi nào về hướng dẫn này hãy để lại nhận xét