Evil Twin EAP-TLS

버그 바운티 팁: **해커를 위해 해커가 만든 프리미엄 **버그 바운티 플랫폼인 Intigriti에 가입하세요! 오늘 https://go.intigriti.com/hacktricks에서 저희와 함께하고 최대 $100,000의 보상을 받기 시작하세요!

어떤 시점에서 아래 게시물에서 제안된 솔루션을 사용해야 했지만 https://github.com/OpenSecurityResearch/hostapd-wpe에서의 단계가 현대 칼리(2019v3)에서는 더 이상 작동하지 않았습니다. 어쨌든, 그것들을 작동하게 하는 것은 쉽습니다. 여기에서 hostapd-2.6을 다운로드하기만 하면 됩니다: https://w1.fi/releases/ 그리고 hostapd-wpe를 다시 컴파일하기 전에: apt-get install libssl1.0-dev를 설치하세요.

무선 네트워크에서 EAP-TLS 분석 및 악용하기

배경: 무선 네트워크의 EAP-TLS

EAP-TLS는 클라이언트와 서버 간의 상호 인증을 제공하는 보안 프로토콜로, 인증서를 사용합니다. 클라이언트와 서버가 서로의 인증서를 인증할 때만 연결이 설정됩니다.

직면한 도전

평가 중에 hostapd-wpe 도구를 사용할 때 흥미로운 오류가 발생했습니다. 도구는 클라이언트의 인증서가 알려지지 않은 인증 기관(CA)에 의해 서명되었기 때문에 클라이언트의 연결을 거부했습니다. 이는 클라이언트가 가짜 서버의 인증서를 신뢰하지 않았음을 나타내며, 클라이언트 측의 보안 구성에 느슨함이 있음을 시사합니다.

목표: 중간자(MiTM) 공격 설정

목표는 도구를 수정하여 모든 클라이언트 인증서를 수용하는 것이었습니다. 이를 통해 악성 무선 네트워크와의 연결을 설정하고 MiTM 공격을 가능하게 하여 평문 자격 증명이나 기타 민감한 데이터를 캡처할 수 있습니다.

해결책: hostapd-wpe 수정

hostapd-wpe의 소스 코드를 분석한 결과, 클라이언트 인증서 검증은 OpenSSL 함수 SSL_set_verify의 매개변수(verify_peer)에 의해 제어된다는 것을 알게 되었습니다. 이 매개변수의 값을 1(검증)에서 0(검증하지 않음)으로 변경함으로써 도구가 모든 클라이언트 인증서를 수용하도록 만들었습니다.

공격 실행

1. 환경 점검: airodump-ng를 사용하여 무선 네트워크를 모니터링하고 대상을 식별합니다.

2. 가짜 AP 설정: 수정된 hostapd-wpe를 실행하여 대상 네트워크를 모방하는 가짜 액세스 포인트(AP)를 생성합니다.

3. 캡티브 포털 사용자 정의: 캡티브 포털의 로그인 페이지를 대상 사용자에게 합법적이고 친숙하게 보이도록 사용자 정의합니다.

4. 비인증 공격: 선택적으로, 클라이언트를 합법적인 네트워크에서 분리하고 가짜 AP에 연결하도록 하기 위해 비인증 공격을 수행합니다.

5. 자격 증명 캡처: 클라이언트가 가짜 AP에 연결하고 캡티브 포털과 상호작용하면 그들의 자격 증명이 캡처됩니다.

공격에서의 관찰

• Windows 기기에서는 시스템이 자동으로 가짜 AP에 연결될 수 있으며, 웹 탐색을 시도할 때 캡티브 포털이 나타납니다.

• iPhone에서는 사용자가 새로운 인증서를 수락하라는 메시지를 받고, 그 후 캡티브 포털이 나타날 수 있습니다.

결론

EAP-TLS는 안전하다고 여겨지지만, 그 효과는 올바른 구성과 최종 사용자의 신중한 행동에 크게 의존합니다. 잘못 구성된 장치나 의심하지 않는 사용자가 악성 인증서를 수락하면 EAP-TLS로 보호된 네트워크의 보안이 저하될 수 있습니다.

자세한 내용은 https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/ 를 확인하세요.

참고 문헌

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/