Комментарии 9
В ответ получили ошибку, но вместе с ней мы узнали адрес HLR. Далее, атакуя непосредственно HLR
У оператора база HLR торчит напрямую в сеть?
Зная IMSI абонента и используя MAP-операцию Update Location, мы «перенесли» абонента-жертву в свою фейковую сеть
Можно подробнее про эту операцию?
Вообще странно как так получается, абонент не уходил со станции оператора, он ее видит в своей сети и все равно куда-то перемещает?
HLR доступен из сети ss7. К нему можно обратиться напрямую по его GT (адресу), если вы знаете адрес. Это нормальная ситуация.
В начале теста мы не знали адреса HLR и могли обратиться к нему только через номер абонента. В данном случае маршрутизация по номеру абонента предусматривала определённую защиту на стороне оператора, но для конкретного GT HLR в защите нашлась брешь и мы получили нужный ответ от hlr.
Что касается Update Location, то это стандартная операция map-протокола. Через неё происходит взаимодействие hlr абонента и vlr в котором он регистрируется.
Мы регистрируем абонента в фейковой сети и таким образом перенаправляем входящий трафик абонента, например, SMS в свою сеть. Теперь они приходят к нам, а не на легальный vlr.
В это время аппарат абонента видит легальную сеть, но он не взаимодействует с ней постоянно, поэтому регистрация в фейковой сети не "слетает". Любая активность абонента в легальной сети (исходящий вызов, исходящая смс и тд), после фейкового update location, приводит к возврату абонента в легальную сеть и удалению его профиля из фейковой.
На регистрацию в фейковой сети нужно несколько секунд и ещё несколько минут на получение SMS (если это является конечной целью). Поэтому угон профилей (Телеграмм, Инстаграм и тд.) при помощи этой атаки обычно выполняют ночью когда активность абонента минимальна.
А на счет подробностей, с одной стороны — большинство, если не все атаки на сигнальные сети подробно документированы. На том же хабре о них уже много писали — не хотелось повторяться. А с другой стороны раскрытие ряда деталей могло повредить заказчику, а его безопасность для нас приоритет. Операторов не так уж много, так что приходится соблюдать особую осторожность.
HLR доступен из сети ss7. К нему можно обратиться напрямую по его GT (адресу), если вы знаете адрес. Это нормальная ситуация.
Не знал про это, мне казалось что светить своей базой HLR в общую сеть ss7 бессмысленно для оператора, только расширять поверхность атаки
Их продают сотрудники мелких транзитных операторов из стран со слабым законодательством.
А не уж то не используют никакого черного списка с этими операторами для жесткой фильтрации запросов?
Мне казалось что светить своей базой HLR в общую сеть ss7 бессмысленно для оператора, только расширять поверхность атаки
HLR должен взаимодействовать с узлами ss7 сети, в том числе узлами других операторов, для того чтобы поддерживать все необходимые операции по данному интерфейсу. Он и сам рассылает в сеть разные апдейты (например при обновлении профиля абонента, изменении статуса услуг), и принимает сообщения из сети (например абонент устанавливает с аппарата безусловную переадресацию). Суть защиты как раз и сводится к ограничению этого взаимодействия только легитимными операциями. Но в некоторых случаях (например тот же update location) это нетривиальная задача.
А не уж то не используют никакого черного списка с этими операторами для жесткой фильтрации запросов?
Естественно отфильтровать можно и операторы этим занимаются. Как правило, оператор обнаружив какой то фродовый трафик с неизвестных gt, включает их в black list, после чего весь трафик с этих gt будет заблокирован. Но пока gt не выявлен, трафик с него поступает в сеть оператора и тут уже нужен более продвинутый анализ, позволяющий проверить внутреннюю структуру сообщений и принять решение о пропуске или блокировке этого сообщения. Как раз этот анализ мы и обходили в ходе тестирования. А злоумышленники после блокировки их gt ищут новые и выполняют атаки с них. Так что один раз заблокировать и забыть не получится.
Также в процессе тестирования мы реализовали атаки, позволяющие получить:
* местоположение абонента с точностью до сектора базовой станции;
* модель телефона;
модель телефона? или IMSI записана все-таки в базе? Почему спрашиваю, в GSM сетях не передается модель, может в новых что-то поменялось
Развивая атаку и сформировав еще несколько сигнальных сообщений, мы выполнили от имени абонента-жертвы отправку СМС и USSD-запросов, изменение профиля услуг. Кроме того, этот вектор атаки можно использовать для DOS всех сервисов абонента.
А для DOS не малова то будет абонентов?
Другая группа атак осуществляется, когда абонент находится в реальном, а не фейковом, VLR.
Выяснив VLR, в котором находится абонент, и представившись HLR’ом, злоумышленник может изменить его профиль в этом VLR
Самое интересное как выяснить какой gt у нужного VLR
модель телефона? или IMSI записана все-таки в базе?
В gsm сетях передаётся imei, по нему можно определить модель телефона.
А для DOS не малова то будет абонентов?
Речь идёт о DOS самого абонента, то есть ситуации когда абонент имея на руках телефон с сим картой не может ни позвонить, ни выйти в интернет, ни отправить смс.
Самое интересное как выяснить какой gt у нужного VLR
Да, это одна из самых интересных задач)
Мы тестировали и Diameter-сеть
Не сталкивался до этого с Diameter-сетью. Поэтому интересно как происходит доступ к Diameter? через SS7?
У Бастион есть легальный выход в международную сеть сигнализации SS7 и сетевой доступ к инфраструктуре Diameter
То есть какая-то сторонняя контора имеет легальный доступ в сразу две закрытые сети, никаким образом не будучи мобильным оператором? "Легальный" доступ используется исключительно для атак на других операторов? Не подскажете, где такой доступ можно купить?)
Black-box тестирование сотовой сети: как операторы защищают абонентов от хакерских атак