MiTM Mobileコンテスト：PHDays Vでモバイル通信を中断した方法

私たちはモバイル通信の盗聴 、 SMS傍受、加入者の代替 、SIMカードのハッキングの可能性に関する研究を繰り返し公開していますが 、多くの読者にとって、これらの物語は依然として特別なサービスのみが所有する複雑な魔法の分野に属します。 今年初めてPHDaysで開催されたMiTM Mobileコンテストにより、会議参加者は無料のハッキングプログラムを備えた300ルーブルの携帯電話で上記の攻撃を簡単に実行できることがわかりました。

競争条件と技術

「MiTM Mobileネットワークのユーザーの会社の電話を手に入れました。

DarkNetを通じて、次のような有用な情報を受け取りました。

1. パブリッシュを受信するためのコードは、定期的に企業の主任会計士の番号-10000に送信されます。
2. 財務部長はどこかに姿を消しました。数日前から誰も彼に連絡できず、電話はオフになっていますが、パスワードはまだ彼に割り当てられています。
3. 重要な情報は、番号2000に電話をかけることで取得できますが、発信者の番号による許可はそこで設定されます。 また、監督の個人秘書の電話番号は77777であることがわかりました。おそらく彼はアクセスできます。 ネットワークには従業員が重要な情報を受け取る他の番号がありますが、残念ながら、それらは見つかりませんでした。 忘れないでください。企業ネットワークでは、いつでも個人情報を見つけることができます。」

PHDays Vで開催されたMiTM Mobileコンテストの一環として、CTF参加者にそのような紹介プレゼンテーションがほぼ提示されました。



競争のために、モバイルオペレータの実際のインフラストラクチャを展開しました。 これには、基地局、携帯電話、固定電話、SIMカードが含まれていました。 ご想像のとおり、MiTM Mobileという名前は偶然に選ばれたわけではありません。私たちのネットワークの脆弱性を強調したかったのです。 ネットワークのロゴはクラーケン（またはほぼ）で、セルタワーを破壊しました。



そのため、モバイルオペレータの外部属性により、すべてが明確になりました。ネットワークの実装を検討してください。 UmTRXというシンプルな名前のデバイス（製造元のWebサイト：umtrx.org/hardware）は「鉄」ソリューションとして機能し、ネットワークのワイヤレス部分はそれに基づいて構築されました。 直接GSM機能とベースステーションの機能、つまりソフトウェア部分は、Osmocom / OpenBTSプログラムスタックによって実装されました。







MiTMモバイルハート-UmTRX



簡単で迅速なオンライン登録のために、SIMカードが注文されました。 MiTM Mobileネットワークの詳細がそれらに登録され、それに応じて、SIMカードのデータがネットワークに登録されました。 空気を簡単に聴き、携帯電話ネットワークのプレーヤーの生活を楽にするために、暗号化はオフにされました（A5 / 0）。 SIMカードに加えて、Motorola C118電話とUSB-UARTケーブル（CP2102）が参加者に提供されました。 これらすべてとosmocombbプログラムスタックにより、CTF参加者はブロードキャストを聴いたり、他のユーザー向けのSMSを傍受したり、ネットワーク上で別のユーザーに代わって電話をかけたりすることができました。



各チームは、実験のために、SIMカード、ケーブル、電話、および組み立てられたosmocombbスタックを備えた仮想マシンの画像を自由に使用できました。

タスクの分析

まず、少しの理論：

• IMSI -SIMカードに保存されている国際モバイル加入者ID。
• MSISDN-オペレーターのインフラストラクチャでIMSIに割り当てられたモバイル加入者ISDN番号の電話番号
• TMSI-ネットワークによってエリア内のすべてのモバイルにランダムに割り当てられた一時的なモバイル加入者ID。スイッチがオンになった瞬間。

IMSI-これは、SIMカードに登録されているマジックナンバーです。 たとえば、250-01-250-これは国コード（ロシア）、01-演算子コード（MTS）、-固有IDの形式です。 IMSIにより、加入者は事業者のネットワークで識別および承認されます。



この場合、sysmocom 901 SIMカード-国コード、70-オペレーターコード、0000005625-オペレーターのネットワーク内のサブスクライバーID（図を参照）。



覚えておくべき2番目のこと：MSISDN、携帯電話番号（たとえば、+ 79171234567）はSIMカードに保存されません。 オペレーターのデータベースに保存されます。 呼び出し中、基地局は、IMSI <-> MSISDN対応表に従ってこの番号を置き換えます（実際のネットワークでは、これはMSC / VLR機能です）。 または置換しません（匿名呼び出し）。



TMSIは4バイトの一時的な識別子です。 承認後にサブスクライバーに割り当てられます。



知識を武器に、継続します。



osmocombbプログラムスタックを起動します。 ここではすべてが簡単です。 ケーブルをコンピューターに事前に接続し、仮想マシン内で転送します。 デバイス/ dev / ttyUSB0が仮想マシンに表示されるはずです。 次に、電源が入っていない電話機をオーディオジャックを介してケーブルに接続します。



2つのコンソールを開きます。 最初のコマンドを実行します：

#~/osmocom-bb-master/src/host/osmocon/osmocon -p /dev/ttyUSB0 -m c123xor -c ~/osmocom-bb-master/src/target/firmware/board/compal_e88/layer1.highram.bin
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、赤いボタンを押して電話をオンにします。 このコマンドを使用して、ファームウェアの電話へのダウンロードを開始するとともに、ソケットを開いて、プログラムを介して電話と通信します。 これは、いわゆるレイヤー1 OSIモデルです。 ネットワークとの物理的な相互作用を実装します。







これは、電話にダウンロードした後、コンソールにlayer1をほぼ発行するものです（ただし、これは興味がありません）。



2番目のコンソールで、次のコマンドを実行します。

 #~/osmocom-bb-sylvain/src/host/layer23/src/misc/ccch_scan -a 774 -i 127.0.0.1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドは、レイヤー2-3 OSIモデルを実装します。 つまり、Common Control Channel（CCCH）パケットを検索するために空気を聴きます。



-a 774-放送中のARFCNを表します。 はい、はい、誰も私たちのオペレーターが働いているチャンネルを探す必要はありません。 あなたのためのすべて、親愛なる参加者:)



-i 127.0.0.1は、パケットの送信先のインターフェースです。







Wiresharkを実行します。 つまり、必要なパッケージをSMSで収集し、TPDU / PDU形式を解析して、すべてを読み取り可能な形式で表示します。



最初のタスクでは、SMSをインターセプトする必要があることを覚えています。 Wiresharkで表示しやすいように、gsm_smsパケットにフィルターを設定して、画面が詰まらないようにします。







放送中のSMSが表示されます。 おめでとうございます、あなたは最初のタスクを完了しました！ また、現在PHDays Vを使用している場合は、オンエアでパブリッシャーを受信するためのコードが記載されたSMSを見ることができます。 コードは、夜間でも5分ごとに2日間連続して放送されました。



2番目のタスクでは、 layer1を実行する必要もあります （または、最後以降はレイヤー1をオフにできません）。



2番目のコンソールで、layer2-3を次のように実行します

 #~/osmocom-bb-master/src/host/layer23/src/mobile/mobile -i 127.0.0.1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、ここではすべてが簡単です。 モバイルアプリケーションは、仮想電話の機能を実装します。 これらの機能にアクセスするには、3番目のコンソールを開いて次を実行します。

 $ telnet 127.0.0.1 4247
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

シスコのようなインターフェイスがコンソールで開きます。 詳細モードをオンにします。

 OsmocomBB> enable
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、使用可能なコマンドをリストします。

 OsmocomBB# list
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

クローンチームは何をしているのだろうか。 彼女が彼女の名前を完全に守っていると誰が思ったでしょう！ このコマンドを使用すると、サブスクライバーをネットワークに複製できます。 ヘルプからコマンドまで、TMSIを引数として使用することがわかります。 被害者のTMSIを見つけて電話で置き換えることができれば、元の加入者の代わりにネットワークに接続できます。



会議中、ネットワーク上にない番号にSMSを送信しようとしました。 そして、参加者がクローンコマンドのパラメータとしてベースステーションから要求されたTMSIを代用すると推測した場合、参加者は通貨のコードを含む次のフラグを受け取ります。

 OsmocomBB# clone 1 5cce0f7f
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、加入者への基地局の要求を見るのは非常に簡単でした。 要求Paging Requests Type 1（呼び出しを行うときのベースステーションの要求）でWireshark gsmtapパケットを見ることができました。







または、モバイルが実行されている2番目のコンソールで：







TMSIを登録し、元の加入者向けのSMSを受け取ります。



3番目のタスクについては、すでに十分な知識があります。 前のタスクと同様に、別のサブスクライバーになりすます必要があります。 私たちは彼の番号を知っていますが、彼のTMSIを知りません。 どうする？ 簡単です。SMSを送信するか、この加入者、つまり番号77777に電話をかけるだけです。前の例のように、加入者77777への基地局の要求が表示されます。重要な点：別の電話から電話とSMSを発信する必要がありますモトローラは、ターゲット加入者宛てのベースステーションブロードキャスト要求を表示できません。



次に、クローンコマンドを使用して、電話にTMSIを登録します。そして、切望されている番号に電話をかけます。

 OsmocomBB# call 1 2000
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、Motorolaを選択して、コードを聞きます。 参加者がすべてを正しく行った場合、コードが聞こえます。 そうでなければ、彼らは冗談を聞くでしょう:)



特に、ネットワークには、新しい音声メッセージが到着したというSMSメッセージがありました。 参加者があまりにも怠laでなく、デバイスの電話帳に入った場合、ボイスメール番号が表示されます。 この番号に電話することで、インサイダー情報-MiTM Mobileの株価の成長と下落に関するデータを聞くことができます。



4番目のタスクはGSM通信に直接関係していませんでしたが、ネットワークへのアクセスに使用される脆弱なSIMカードを使用していました。 電話に加えて、各チームには、招待状「Welcome to PHDays V」を表示するアプリケーションがインストールされたSIMカードが与えられました。 脆弱なアプレットを検索するために、Lukas KuzmiakとKarsten NohlはSIMTesterユーティリティを作成しました。 このユーティリティの特徴は、osmocom電話を介して機能することです。 SIMカードを電話に挿入し、コンピューターに接続して検索を開始します。 数分後、取得したデータを分析します。







ブルートフォースキーに十分な情報を開示する多くのアプリケーションに加えて、アクセスに秘密キーを必要としないアプリケーションで、赤で慎重に強調表示されています。 個別に分析します。







SIMカード応答の最後の2バイトはステータスバイトです。たとえば、0x9000はコマンドが正常に完了したことを意味します。 この場合、0x9124を取得します。これは、カードから返される36バイトがあることを意味します。 プログラムコードを少し変更して、どのようなデータかを見てみましょう。







デコードして取得します：

 >>> 'D0228103012100820281028D1704596F752061726520636C6F73652C2062616420434C419000'.decode('hex') '\xd0"\x81\x03\x01!\x00\x82\x02\x81\x02\x8d\x17\x04You are close, bad CLA\x90\x00'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

バイナリSMSで送信される指示について、考えられるすべてのCLAとINSをソートし、フラグを取得します。

 >>> 'D0378103012100820281028D2C04596F757220666C61673A2035306634323865623762623163313234323231383333366435306133376239659000'.decode('hex') '\xd07\x81\x03\x01!\x00\x82\x02\x81\x02\x8d,\x04Your flag: 50f428eb7bb1c1242218336d50a37b9e\x90\x00'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それが課題のすべてです。

競争の勝者と驚き

CTFチームだけでなく、PHDaysのすべての訪問者もMiTM Mobileコンテストに参加できました。必要なすべての機器と仮想マシンが全員に提供されました。 その結果、10人以上がCTFチームを除いて競争に参加しました。



ただし、最初の日の半ばまでにSMSを傍受できたのは、競争に勝ったGleb Cherbovだけでした 。



2日目の初めに、 More Smoked Leet Chickenチームのみが3つのタスクを完了しました。 4番目のタスクはCTF参加者のみが利用できましたが、誰も完了できませんでした。



フォーラムの訪問者は、LTE、3Gの定期的な損失に気付くことがあり、GSM妨害装置のエリアに近づくとネットワークが完全に失われることもありました。







番号74957440144またはAnonymousからテキスト「SMS_from_bank」またはその他の「無害なスパム」を含むメッセージを受信した人もいました。 これは、MiTM Mobileセルラーネットワークの運用によるものです。



そして、2日目の終わりまでに、一部の「ラッキー」は次のメッセージを受け取りました。







このジョークは、MiTM Mobileの動作とは関係ありませんが、基本的な安全規則の順守を再び思い出させます。 ペットの携帯電話を追跡します。これにより、MosMetro_Freeネットワークが予期せず見つかり、接続できず、プログラムの群れがトラップに陥ります。 それらの一部は、攻撃者が取得した携帯電話番号を識別子として使用し、SMSゲートウェイを介して、すべての「幸運な人」への郵送を手配します。







PS MiTM Mobileに似たコンテストを開催したい方のために-ネットワークコンポーネントについてもう少し。



UmTRX自体はSDR（Software Defined Radio）、つまり「単なるラジオ」です。 すべてのセットアップ手順は、umtrx.orgまたはosmocom.orgにあります。 UmTRX-UmDESKの既製の「箱入り」ソリューションについても言及できます。すべてがすでにインストールされています。 マニュアルの構成を記入し、ブロードキャストを開始するだけで十分です。



osmocombbスタックがアセンブルされた完成したイメージは、phdays.ru / ctf_mobile.7zにあります（VMWare 11が非常に望ましいです）。 実験には、このアセンブリで十分です。 シムはオプションですが、電話とUSB-UARTケーブルが必要です。



電話は、 bb.osmocom.org / trac / wiki / Hardware / Phonesのリストから取得できます。

ケーブル： bb.osmocom.org/trac/wiki/Hardware/SerialCable



そして、はい、PL2303、FT232はほぼどこでも見つけることができます。 2.5 mmミニジャックのはんだ付けは、これまでになく簡単になりました。







Simsとケーブルは、 shop.sysmocom.deで注文できます。



すなわち：

USB-UART（CP2102）： shop.sysmocom.de/products/cp2102-25

SIMカード： shop.sysmocom.de/t/sim-card-related/sim-cards



電話は、Avito、地下道、または中国で注文できます。発行価格は約300ルーブル/パソコンです。







Fairwaves（UmTRX、UmDESK、UmROCKETなどを作っている人たち）の人たちは、テストのために提供されたアドバイスと機器に特別な感謝をしています。 彼らは大きな取引をします！ Ivanに感謝します。