「対立」PHDays VII：新規参入者は幸運な銀行またはロブ銀行であり、GSMに違反している

今年、私たち（CARKAカザフスタン）は、悪意のあるハッカーとしてPHDaysでの攻撃者と防御者（スタンドオフ）の戦いに初めて参加しました。 投稿では、イベントがどのように開催されたかを説明しようとします。



入門



私たちのチームは数年にわたりPHDaysを訪れており、主に小規模な大会で優勝しています。 したがって、今年はメインコンペでの勝利にのみ興味がありました。



構成



今年は、ペンテスター、リバーサー、ハードウェアマネージャー、システム管理者、博士号、学生、学童、フィットネストレーナーの13人のチームで会議に参加しました。 しかし、7人が直接対立に参加しました。







始めるためのいくつかのリンク：



1） スタンドオフはそれ自体を支配します

2）Habréには、DefendersとSOCからの「対立」に関する投稿がすでに1つと 2つあります。



準備する



私たちが取った機器から：



MikroTik RB951Ui-2HnD-1個

チクセル・キーネティック-1個 （失われた）

Tplink 8portハブ-1個

Alfa Usb Wifiアダプター-5個

SDR、LFおよびHFアンテナを備えたProxmark、BladeRF、HackRF、GSM機器など。ご想像のとおり、空港で非常に慎重に調査されました。 そして、私たちの手は、飛行中に自分の基地局を上げて話したいとかゆくなりました。



また、アスタナのオフィスでは、Radeon R9 290Xが搭載され、VPN経由でアクセスできるブルートマシン（ブルートアリスと呼ばれます）が準備されました。 この赤ちゃんは私たちの勝利で重要な役割を果たしました。



初日



私たちはすでに午前8時から9時の場所に到着しました。 私たちは最初の一人であり、なんとか最果てのコーナーでテーブルを取りました。 コンテストのローカルネットワークにはまだアクセスできず、ワークスペースの整理を開始しました。インターネット用のローカルSIMカードを購入し、ルーターを設定し、ファイアウォールルールを設定し、KNFC Wi-Fiアクセスポイントを作成しました。他のチームは容赦なく競争を攻撃し、競争が始まるのを待ち始めました。 12時までに、内部ネットワークへのアクセスが表示され、タスクへのポータルへのログインとパスワードが与えられました。 対立が始まった。





タスク付きシステム。



タスクのリスト（約50個ありました）を表示した後、チームの一部はサブネットのスキャンを開始し、他の部分はWebリソースの脆弱性を探し、ハードウェアユーザーはGSMでタスクにすぐに切り替えました。 2人の男が自分用にメディアバッジを作成し、攻撃者と防御者のチームをフォローし始め、インタビュー（さらに非常に成功！）し、参加者の机の写真を撮りました。 彼らは何枚もの写真を撮ることができました。



獲物から：



コンテストの主催者のチームビューアーからのパスワード。 市内の信号機を制御して画面にアクセスできます。 そして、私たちはこれを利用する機会を逃しませんでした：私たちは街の動きを止めることができましたが、「覗き見」のために何もカウントしませんでした=）







夕方まで、私たちは主に偵察を行い、サービスを運用しようとしました。 インフラストラクチャの本質を掘り下げ、タスクを処理し、ローカルのバグバウンティポータルに軽微な脆弱性を投げ込み、トップ5にとどまりませんでした。夕方、ハードウェアは市長の妥協材料を傍受してタスクを実行し、朝まですぐに1位になりました。 このタスクのために、彼らは150,000の出版物（都市のゲーム通貨）を与えました。



私たちの報道関係者のハードウェアが対立の参加者に変わった後、彼らはGSMネットワークの神々に祈り始めました。







そして彼らのサポートを受けて、彼らはGSMネットワークに急いだ。



GnuRadioブロックを使用してGSMトラフィックを復号化するBladeRFの最初のスキャンは、ネットワークが2Gで完全に動作しており、特別な番号を持ついくつかのデバイス（おそらく基地局自体のボット）と、IMSI自体から形成される番号を持ついくつかのデバイスが接続されていることを示しましたSIMカード。 後者は、通常の電話を使用してネットワークに接続することで決定しました（カザフスタンでは、それらを「ZhayFony」と呼ぶのが一般的です）。 基地局にはIMSI認証がなかったため、jiphonsを使用してネットワークに簡単に接続できました。 しかし、私たちは別の結果の準備ができていました：osmocombbプログラムとMotorola c118電話に基づいて仮想SIMカードを作成し、IMSIがMNCとMMCをベースステーションとして識別します。



しかし、ここで行き詰まりました。BladeRFとGnuRadioからこれ以上データを取得できませんでしたが、パッケージがまだ存在していることがはっきりとわかりました。 次に、2Gで動作するように作成された2Gネットワ​​ークスキャンに接続することにしました。これは、Calypso GSMモデムとバックエンドのosmocombbプログラムを備えたMotorola c118電話です。 タスクはネットワークをスキャンすることであったため、osmocombbからsylvainと呼ばれるプログラムブランチを使用しました。 ネットワークをスキャンした最初の数分で、私たちはそれが暗号化されていないこと、または暗号化がA5 / 0レベルで実装されていることに気付きました。



プログラムスタックの実装を使用してネットワークをリッスンしました。



1）モトローラ自体で、osmocombb /マスターファームウェアが第1レイヤーlayer1.highram.binのcompal e88で起動されました。 これは、モデムの物理部分全体を実装するOSIモデルのレイヤー1です。

2）ホストで、osmocombb / sylvianレシーバーがmiscフォルダー-ccch_scanで起動されました。 このツールを使用すると、layer1からデータを受信し、特定のARFCN、つまりCCCHのベースステーションからデータを検索するように制御できます。 次に、目的のアドレス（この場合はループバック）にそれらを送信できます。

3）ループバックは私たちの愛するWiresharkによって聞かれ、スキャン結果を示しました。



このタスクのために起動したものを正確に示す画面：







ある時点で、2つのネットワーククライアントの活発な活動に気付きました。彼らは積極的にメッセージを交換しました。 彼らの通信でお金について話しているとすぐに（残念ながら、私たちの勤勉な人は英語に堪能です）、会話全体を記録しました。 会話は、市長と他の関係者の構造と腐敗についての誰かの間で行われたことが判明しました。 「私たちは考えました」私たちはあなたを見つけました、悪い、悪い市長！」



Wiresharkの対応が表示される画面：







そしてもちろん、通信自体：





夜



最初の行に登った後、最後まで頑張りたいという切望がありました。 私たちのチームは一晩滞在し、夜の戦いを続けることにしました。 SCADAシステムに切り替えた人もいれば、銀行自体を壊そうとした人もいました。これには参加者と市の住民のお金が含まれていました。ハードウェアエンジニアはGSMをクラックし続けました主催者は午前中に再度レイズする必要がありました）。 銀行のソースコードと、銀行ユーザーのログインとmd5ハッシュをプルできるAPIを備えたgitリポジトリが見つかりました。 そして、熱が始まりました。 RDotチームは、同じ脆弱性を発見する5〜10分前に、既にユーザーのお金をアカウントに引き出し始めています。 また、私たちは少数の手ですぐにパスワードを変更し、自分のためにお金を引き出すようになりました。 送金の過程で、誰かがXSSスニファーを介してセッションを盗もうとしていることに気付きました。幸いなことに、彼らは成功しませんでした。 XSSは機能しませんでしたが、怠慢な攻撃者を処罰することを決定し、元のクッキーと同様の偽のCookieを生成し、これをすべてリモート攻撃サーバーに送信して、偽のデータを入力しました。 サーバー側のテンプレートインジェクションの脆弱性も発見されましたが、それを解消することはできませんでした。 基本的に、ほとんどのユーザーは4〜5桁のパスワードを持っていますが、「最も厚い」アカウントの一部には12個の重要なパスワードがあり、午前中にのみロールオフされました。 朝までに、私たちとRDotチームは、パスワードが薄いアカウントからほとんどすべてのお金を引き出しました。 この時点で、主催者から発行された銀行口座のパスワードは、小文字の12桁の16進文字のみで構成されていることに気付きました。 他の参加者の銀行口座へのパスワードも同様の方法で生成されたものと想定し、マスクを「正しく」設定すると、私たちは自分のパスワードをより複雑なものに変更しながら、相手チームのハッシュを解読し始めました。 数時間後、赤ちゃんのアリスが攻撃チームの銀行口座のパスワードを教えてくれました！ 5分後、すべてのお金を口座に振り込むことができました。



残念ながら、主催者は別のチームの口座からの送金をカウントせず、残高を彼らに返しました。



朝、ディフェンダーは目を覚まし、銀行を追跡していないことに気付き、一時的に閉鎖しました。



二日目



ペンテスターは引き続き軽微な脆弱性を発見し、バグバウンティに陥りました。 ハードウェアワーカーは目を覚まし、GSMで次のタスクを実行し始めました。 夕食までに、彼らは車を傍受してタスクを完了することができました。 チームメンバーは次のように記述します。



「盗まれた車を見つけて傍受するタスクについて説明します。 タスク自体は困難でしたが、一部のハッカーも彼を楽しませました。 私たちはすでに泥棒の電話のクローンを作成することができました、そして最後のタスクは残っていました-盗まれた車の中のトラッカー番号に書き込み、制御を奪いますが、誰かがトラッカーのクローンを作成しました。 そして、トラッカーにコマンドを送信し始めたとき、誰かがそれを担当し始めました。 ある時点で、彼は「u win！」というメッセージを私に送信し、オーガナイザーに走ります。 そして、彼らは驚いた顔をしています：そのような答えのためにロボットをプログラムしませんでした。 その後、ハッカーが私たちをだましていることを知りました。 彼はチーム全体、主催者、そして参加者だけを元気づけました。」



ただし、カートラッカーを傍受する技術的な詳細を強調することは価値があります。



まず、トラッカーに送信されたコマンドを見つけて同じコマンドを送信しようとしましたが、これは機能しませんでした。つまり、トラッカーは送信者の番号を確認します。 GSMの神々のサポートは既に受けられており、彼らはより多くのハックを必要とするため、これは私たちのハードウォーダーを止めませんでした。 連中は、TMSIデータパケットで泥棒を受け取り、仮想SIMに泥棒と同じ番号を与えたはずの泥棒を偽造しましたが、これも助けにはなりませんでした。



泥棒の携帯電話を完全にコピーすることが決定されました-彼のIMSIを探し始めました。 各携帯電話は、TMSIを時々変更します。この時点で、オープンフォームでは、ローカライズパッケージ、またはその更新を探す場合、IMSIをキャッチできます。 そのようなパッケージを見つけたので、泥棒の電話を複製するためのデータを受け取りました。 osmocombbのソフトウェアと、Motorola c118の仮想SIMカードを使用してクローンを作成しました。 制御を獲得した後、車の位置を特定し、制御をiPhoneの1つに転送して、コマンドの送信を停止し、ハント後に放送が静かになったため、誰も成功を繰り返せないようにしました。



スクリーンキャプチャコントロール：







そして、もちろん、車自体の場所は記憶されていました-奇妙なことに、それはシリコンバレーにありました：







銀行は一日中ほとんど働かなかった。 昼食時までに、「ファット」アカウントからのパスワードがすでに収集されていたため、主催者が少なくとも一時的にそれを開くのを待っていました。 チームのパスワードを変更するために（チームアカウントのハッキング後）銀行を開始しなければならなかった5分間のウィンドウに入り、その時点でさらに300万の発行物をアカウントに転送することができました。 この瞬間は、バイソンが登場したときにビデオに記録され、リアルタイムでリーダーシップを取り戻しました。





それで、たまたまイベントの終わりまで持ちこたえました。 最後の瞬間まで、彼らは最初の場所を維持することが可能かどうか疑っていました。 しかし、幸運とGSMの神は私たちの側にいました。











一般的に、組織は高いレベルにあり、主催者は非常に友好的で、技術的な問題を支援しました。 多くのタスクがありましたが、チームの一部が銀行に集中し、口座からお金を盗みましたが、主催者によると、銀行のサービスに脆弱性はないはずでした。



PS：スーツケースには現金が入っていて、実際は空でした。 お金は別の封筒に入っていた。