Evil Twin EAP-TLS

버그 바운티 팁: Intigriti에 가입하여 해커들이 만든 프리미엄 버그 바운티 플랫폼에 참여하세요! https://go.intigriti.com/hacktricks에서 오늘 가입하고 최대 $100,000의 바운티를 받아보세요!

어느 순간 https://github.com/OpenSecurityResearch/hostapd-wpe의 단계가 현대적인 칼리(2019v3)에서 작동하지 않아 제안된 솔루션을 사용해야 했습니다. 어쨌든, 이를 작동시키는 것은 쉽습니다. 여기서 호스타프드-2.6를 다운로드하고 다시 호스타프드-wpe를 컴파일하기 전에 apt-get install libssl1.0-dev를 설치하면 됩니다.

무선 네트워크에서 EAP-TLS 분석 및 악용

배경: 무선 네트워크에서 EAP-TLS

EAP-TLS는 인증서를 사용하여 클라이언트와 서버 간 상호 인증을 제공하는 보안 프로토콜입니다. 클라이언트와 서버가 서로의 인증서를 인증하는 경우에만 연결이 설정됩니다.

진행 중인 도전

평가 중에 hostapd-wpe 도구를 사용할 때 흥미로운 오류가 발생했습니다. 도구는 클라이언트의 연결을 거부했는데, 이는 클라이언트의 인증서가 알 수 없는 인증 기관(CA)에 의해 서명되었기 때문이었습니다. 이는 클라이언트가 가짜 서버의 인증서를 신뢰했다는 것을 나타내며, 클라이언트 측의 느슨한 보안 구성을 가리킵니다.

목표: 중간자 공격(MiTM) 설정

목표는 도구를 수정하여 모든 클라이언트 인증서를 허용하도록 하는 것이었습니다. 이를 통해 악의적인 무선 네트워크와의 연결을 설정하고 MiTM 공격을 가능하게 하여 일반 텍스트 자격 증명이나 기타 민감한 데이터를 포착할 수 있게 됩니다.

해결책: hostapd-wpe 수정

hostapd-wpe의 소스 코드 분석 결과, 클라이언트 인증서 유효성 검사는 OpenSSL 함수 SSL_set_verify의 매개변수(verify_peer)에 의해 제어되었습니다. 이 매개변수의 값을 1(유효성 검사)에서 0(유효성 검사 안 함)으로 변경함으로써 도구가 모든 클라이언트 인증서를 허용하도록 만들었습니다.

공격 실행

1. 환경 확인: airodump-ng를 사용하여 무선 네트워크를 모니터링하고 대상을 식별합니다.

2. 가짜 AP 설정: 수정된 hostapd-wpe를 실행하여 대상 네트워크를 흉내 내는 가짜 액세스 포인트(AP)를 생성합니다.

3. 캡티브 포털 사용자 정의: 캡티브 포털의 로그인 페이지를 사용자에게 합법적이고 익숙하게 보이도록 사용자 정의합니다.

4. De-authentication 공격: 선택적으로, 클라이언트를 정상 네트워크에서 분리하고 가짜 AP에 연결하도록 de-auth 공격을 수행합니다.

5. 자격 증명 포착: 클라이언트가 가짜 AP에 연결하고 캡티브 포털과 상호 작용할 때 자격 증명이 포착됩니다.

공격 관찰

• Windows 기기에서는 웹 탐색을 시도할 때 가짜 AP에 자동으로 연결되어 캡티브 포털이 표시될 수 있습니다.

• iPhone에서는 사용자가 새 인증서를 수락하도록 요청받은 후 캡티브 포털이 표시될 수 있습니다.

결론

EAP-TLS는 안전하다고 여겨지지만, 올바른 구성 및 조심스러운 사용자 행동에 매우 의존합니다. 잘못 구성된 장치나 의심스러운 사용자가 위조 인증서를 수락하는 경우 EAP-TLS로 보호된 네트워크의 보안이 약화될 수 있습니다.

자세한 내용은 https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/에서 확인하세요.

참고 자료

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/