Гаджети Red Teamer (Частина 1)

У першій частині нашого огляду ми розглядаємо основні USB-гаджети, які використовуються red teamers для тестування кібербезпеки. Дізнайтеся більше про такі пристрої, як Bash Bunny та Rubber Ducky, які дозволяють автоматизувати атаки та проводити складні пен-тести. Вивчення цих інструментів допоможе покращити захист вашої організації від потенційних загроз.

Розпочнемо

Фахівці з кібербезпеки, відомі як red teamers, використовують різноманітні інструменти для моделювання атак та перевірки захисту організацій. Hacker’s Hardware Toolkit на GitHub, під кураторством yadox666, містить колекцію таких пристроїв. Наприклад, Bash Bunny і USB Rubber Ducky від Hak5 допомагають автоматизувати атаки через USB, а WiFi Pineapple дозволяє перехоплювати та маніпулювати бездротовим трафіком, що робить його незамінним для тестування Wi-Fi безпеки.

Окрім цього, набір інструментів включає пристрої для аналізу радіочастот, як-от HackRF One, і тестування RFID/NFC систем за допомогою Proxmark3. Плати Raspberry Pi та Arduino також широко використовуються для створення індивідуальних рішень, призначених для фізичних і мережевих атак. Цей набір підкреслює важливість як стандартних, так і налаштовуваних гаджетів у роботі red teamers, забезпечуючи комплексний підхід до оцінки безпеки.

RTL-SDR v.3

RTL-SDR v.3 — це популярний і багатофункціональний програмно-визначений радіоприймач (SDR) у форматі USB-ключа, відомий своєю сумісністю та надійними характеристиками. Він оснащений мікросхемою RTL2832U, тюнером R820T2, 1PPM TCXO, SMA F-роз’ємом і поміщений в алюмінієвий корпус з пасивним охолодженням. Пристрій підтримує частотний діапазон від 500 кГц до 1,7 ГГц із пропускною здатністю до 3,2 МГц, стабільно працюючи на 2,4 МГц. У режимі прямої дискретизації він також може налаштовуватися на ВЧ частоти.

RTL-SDR v.3 сумісний із різними операційними системами, включаючи Windows, OSX, Linux і Android, і підтримує численні програми SDR, такі як SDR#, HDSDR, SDR-Radio, GQRX і SDR Touch. Цей приймач ідеально підходить для радіосканування, моніторингу авіаційного руху, громадської безпеки, роботи з ADS-B, радіоастрономії та багатьох інших завдань. Він також може слугувати недорогим адаптером для радіоаматорів.

Модель V3 отримала кілька оновлень, зокрема покращений тюнер R820T2, 1PPM TCXO, низькошумну друковану плату, покращене охолодження, додатковий захист від електростатичних розрядів та можливість живлення активних антен через програмний трійник.

Сценарій атаки

Список атак червоної команди

1. Перехоплення повідомлень управління повітряним рухом: знімайте та аналізуйте незашифровані сигнали управління повітряним рухом, щоб збирати розвідувальні дані про польоти.

2. Моніторинг каналів громадської безпеки: підслуховуйте поліцію, пожежну службу та екстрену медичну допомогу, щоб отримати оперативні подробиці в реальному часі.

3. Авіаційний радар ADS-B: відстежуйте рух літаків і потенційно створюйте конфіденційні плани польотів або деталі вантажу.

4. Транкінгові радіосистеми: перехоплюють і декодують повідомлення в транкінгових радіомережах, які використовуються великими організаціями та державними установами.

5. Цифровий голосовий зв’язок P25/MotoTRBO: декодування зашифрованого чи незашифрованого цифрового голосового зв’язку, що використовується в захищених радіосистемах.

6. Збирання даних ACARS: вилучайте системні повідомлення з системою адресації зв’язку та звітності для аналізу польотних даних.

7. Телеметрія метеорологічної кулі: перехоплюйте та декодуйте телеметричні дані з метеорологічної кулі для вивчення методів моніторингу навколишнього середовища.

8. Супутники NOAA APT/Meteor M2: знімайте метеорологічні супутникові зображення та передайте дані для аналізу.

HackRF One

Список атак червоної команди

1. Підробка сигналу: передача хибних сигналів, щоб ввести в оману приймач, наприклад підробка позицій літака ADS-B або сигналів GPS.

2. Атаки з перешкодами: порушуйте канали зв’язку, такі як Wi-Fi, Bluetooth або частоти громадської безпеки, передаючи сигнали перешкод.

3. Повторні атаки: захоплення та повторна передача легітимних сигналів для отримання неавторизованого доступу до систем, наприклад систем безключового доступу.

4. Аналіз бездротового протоколу: перехоплюйте та аналізуйте власний бездротовий зв’язок, щоб виявити вразливі місця.

5. Тестування додатків SDR: розробляйте та тестуйте користувацькі додатки для радіо або експерименти для перевірки концепції, націлені на конкретні технології радіо.

6. Атаки зі стрибками частоти: аналізуйте та порушуйте системи розширеного спектра зі стрибками частоти (FHSS), прогнозуючи послідовності стрибків частоти.

7. Використання RFID і NFC: перехоплення та маніпулювання RFID або NFC-зв’язками для несанкціонованого доступу або вилучення даних.

8. Маніпулювання сигналом трансляції: введення неправдивої інформації в системи трансляції, такі як FM-радіо або цифрове телебачення.

9. Перехоплення дистанційного керування: захоплення та копіювання сигналів від пультів дистанційного керування для керування такими пристроями, як двері гаража чи дрони.

Flipper Zero

Flipper Zero — це компактний, багатофункціональний пристрій, створений для хакерів, пентестерів і любителів електроніки. Він підтримує RFID, NFC, інфрачервоний трансивер, GPIO та низькочастотний трансивер, що робить його універсальним інструментом для різних завдань. Завдяки відкритому вихідному коду Flipper Zero можна налаштовувати та розширювати його функції, що дозволяє адаптувати пристрій під конкретні потреби. Цей гаджет підходить для клонування карт доступу, перехоплення ІЧ-сигналів і аналізу бездротових комунікацій, що робить його ідеальним для тестування безпеки.

Сценарій атаки:

Червоні команди можуть використовувати Flipper Zero для клонування RFID- та NFC-карток, перехоплення інфрачервоних сигналів і проведення атак із повторенням, націлених на бездротові системи. Його гнучкість дозволяє взаємодіяти з різними електронними системами, тестуючи їх на вразливості.

Список атак червоної команди

1. Клонування RFID: захоплення та копіювання сигналів карт RFID для отримання несанкціонованого доступу до безпечних зон.

2. Маніпуляції NFC: читайте, записуйте та емулюйте теги NFC для взаємодії з безконтактними платіжними системами або системами контролю доступу.

3. Реплікація інфрачервоного сигналу: захоплення та передача інфрачервоних сигналів від пультів дистанційного керування для керування пристроями з ІЧ-портом.

4. Перехоплення бездротового зв’язку: використовуйте трансивер із частотою менше 1 ГГц для перехоплення та аналізу бездротового зв’язку на наявність уразливостей.

5. Повторні атаки: записуйте та відтворюйте сигнали від систем безключового доступу для розблокування транспортних засобів або будівель.

6. Інтерфейс GPIO: підключайтеся до електронних систем і керуйте ними за допомогою контактів GPIO для тестування апаратного забезпечення та експлуатації.

7. Розробка спеціального мікропрограмного забезпечення: створюйте та розгортайте спеціальне мікропрограмне забезпечення, щоб розширити функціональні можливості Flipper Zero для конкретних сценаріїв атак.

8. Перешкода сигналу: поруште зв’язок, передавши шум або сигнали перешкод у підтримуваних діапазонах частот.

9. Експлуатація Bluetooth: перехоплюйте та маніпулюйте з’єднанням Bluetooth для доступу та керування пристроями з підтримкою Bluetooth.

M5StickC Plus

M5StickC Plus — це компактна розробна плата від M5Stack, яка базується на мікроконтролері ESP32 з підтримкою Wi-Fi та Bluetooth. Вона має 1,14-дюймовий TFT-дисплей, датчик IMU, вбудований акумулятор і кілька контактів GPIO для розширення. Завдяки підтримці Arduino, MicroPython та UIFlow, цей пристрій ідеально підходить для створення IoT-проектів та швидкого прототипування.

Сценарій атаки:

M5StickC Plus може бути використаний для створення шахрайських Wi-Fi точок доступу, атак деавтентифікації, перехоплення Bluetooth-з’єднань, а також для безпосереднього доступу до апаратних систем через GPIO, дозволяючи тестувати та маніпулювати пристроями в реальних умовах.

Список атак червоної команди

1. Неправдива точка доступу: налаштуйте фальшиву точку доступу Wi-Fi для захоплення облікових даних і моніторингу мережевого трафіку.

2. Атака деавтентифікації Wi-Fi: Порушуйте законні з’єднання Wi-Fi, надсилаючи кадри деавтентифікації на підключені пристрої.

3. Перехоплення Bluetooth: перехоплюйте та маніпулюйте з’єднаннями Bluetooth для отримання несанкціонованого доступу до пристроїв із підтримкою Bluetooth.

4. Спеціальне розгортання корисного навантаження: запрограмуйте пристрій для розгортання спеціальних корисних навантажень або сценаріїв для автоматизованих атак на мережеві системи.

5. Маніпуляції апаратним забезпеченням: використовуйте контакти GPIO для взаємодії та використання апаратних систем, таких як датчики або блоки керування.

6. Збір облікових даних: збирайте та зберігайте облікові дані з мереж Wi-Fi або пристроїв Bluetooth.

7. Сканування мережі: виконайте сканування Wi-Fi або Bluetooth, щоб ідентифікувати та нумерувати пристрої та мережі в зоні дії.

8. Підробка датчиків: маніпулюйте вхідними даними датчиків, щоб порушити або ввести в оману системи, які покладаються на точні дані датчиків.

9. Викрадання даних: використовуйте Wi-Fi або Bluetooth для вилучення конфіденційних даних із зламаних систем.

Los Digispark ATTINY85 Micro USB Dev Board Arduino

Los Digispark ATTINY85 Micro USB Dev Board — це невелика, економічно ефективна розробна плата на базі мікроконтролера ATTINY85, оснащена micro USB для програмування і живлення, шістьма контактами введення/виведення, і підтримкою Arduino IDE. Вона працює на частоті 8 або 16 МГц, що робить її ідеальною для компактних проектів і прототипів.

Сценарій атаки:

Червоні команди можуть використовувати Digispark ATTINY85 для прихованих атак, наприклад, як зловмисну USB-клавіатуру для введення команд або установки шкідливого ПЗ, завдяки її малій розмірності та можливості прихованого розміщення.

Список атак червоної команди

1. HID Injection Attack: запрограмуйте пристрій, щоб діяти як USB-клавіатура, впроваджуючи шкідливі натискання клавіш для виконання команд або сценаріїв у цільовій системі.

2. Збір облікових даних: використовуйте можливості HID, щоб відкривати вікна терміналу або браузера та витягувати облікові дані або конфіденційну інформацію.

3. Розгортання зловмисного програмного забезпечення: автоматизуйте встановлення зловмисного програмного забезпечення шляхом введення команд, які завантажують і виконують зловмисне програмне забезпечення.

4. Викрадання даних: налаштуйте пристрій на вилучення даних, ввівши конфіденційну інформацію та надіславши її електронною поштою або завантаживши в хмарні служби.

5. Автоматизовані експлойти: розгортайте автоматизовані експлойти або корисні навантаження, які використовують відомі вразливості в цільовій системі.

6. Маніпуляція мережевою конфігурацією: використовуйте можливості HID для зміни мережевих налаштувань або впровадження фальшивих конфігурацій у цільовій системі.

7. Фішингові атаки: відкривайте фішингові веб-сайти або підроблені сторінки входу за допомогою введених натискань клавіш для захоплення облікових даних користувача.

8. Реконфігурація системи: змініть параметри або конфігурації системи, щоб послабити заходи безпеки або створити стійкість для подальших атак.

9. Атаки бездротової мережі: інтерфейс із зовнішніми модулями Wi-Fi або Bluetooth для здійснення атак бездротової мережі, таких як шахрайські точки доступу або деавтентифікація.

Альфа AWUS-036ACH

Alfa AWUS-036ACH — це високопродуктивний дводіапазонний бездротовий USB-адаптер, який забезпечує відмінне з’єднання Wi-Fi на частотах 2,4 ГГц і 5 ГГц. Підтримуючи стандарт 802.11ac, він може передавати дані на швидкості до 300 Мбіт/с на 2,4 ГГц і до 867 Мбіт/с на 5 ГГц. Адаптер має інтерфейс USB 3.0 і оснащений двома високочутливими антенами, що покращують сигнал і покриття. Він сумісний з Windows, MacOS і Linux, що робить його ідеальним для різних завдань, від потокового відео до завантаження великих файлів.

Сценарій атаки:

Червоні команди можуть використовувати Alfa AWUS-036ACH для проведення атак на Wi-Fi, таких як аналіз пакетів, захоплення мережевого трафіку та виявлення вразливостей. Завдяки підтримці частот 2,4 ГГц і 5 ГГц, адаптер дозволяє досліджувати слабкі місця у протоколах Wi-Fi та створювати шахрайські точки доступу або виконувати атаки “людина посередині”, перехоплюючи та маніпулюючи даними користувачів.

Список атак червоної команди

1. Сніфінг пакетів: збирайте та аналізуйте мережевий трафік для виявлення конфіденційної інформації, облікових даних або вразливостей.

2. Підроблена точка доступу: налаштуйте підроблену точку доступу Wi-Fi, щоб перехоплювати та маніпулювати мережевим трафіком від нічого не підозрюючих користувачів.

3. Атака деавтентифікації: переривайте законні з’єднання Wi-Fi, надсилаючи кадри деавтентифікації на підключені пристрої.

4. Атака Man-in-the-Middle (MITM): перехоплення та зміна зв’язку між пристроями в мережі для викрадення даних або впровадження шкідливого вмісту.

5. Evil Twin Attack: клонуйте законну мережу Wi-Fi, щоб обманом змусити користувачів підключитися до зловмисної точки доступу.

6. Заглушення Wi-Fi: передача сигналів перешкод, щоб порушити зв’язок Wi-Fi і створити умови відмови в обслуговуванні.

7. Збір облікових даних: збирайте облікові дані для входу та іншу конфіденційну інформацію з перехопленого мережевого трафіку.

8. Злом WEP/WPA/WPA2: використовуйте можливості адаптера, щоб зламати слабке шифрування Wi-Fi і отримати неавторизований доступ до захищених мереж.

9. Сканування мережі: визначте та перерахуйте найближчі мережі Wi-Fi, пристрої та їхні конфігурації безпеки для подальшого використання.

Wi-Fi Deauther

Wi-Fi Deauther — це компактний пристрій на базі мікроконтролера ESP8266, призначений для вибіркового відключення пристроїв від мережі Wi-Fi 2,4 ГГц. Він використовує вразливість у стандарті Wi-Fi (802.11) для надсилання пакетів деавтентифікації, що викликає відключення пристроїв без створення загальних перешкод. Оснащений OLED-дисплеєм, зарядкою для акумулятора 18650 та попередньо встановленим ПЗ ESP8266 Deauther, цей інструмент є важливим для тестування мереж.

Сценарій атаки:

Червоний командир може застосовувати Wi-Fi Deauther для вибіркових атак, відключаючи цільові пристрої від мережі Wi-Fi для аналізу стійкості мережі або захоплення автентифікаційних рукостискань. Завдяки своєму компактному розміру та дисплею, він зручний для таємних операцій і моніторингу.

Список атак червоної команди

1. Атака деавтентифікації: порушує мережеве підключення для цільових пристроїв, надсилаючи пакети деавтентифікації, змушуючи їх від’єднуватися від мережі.

2. Захоплення рукостискань: примусове повторне підключення пристроїв до мережі, захоплення рукостискань WPA/WPA2 для офлайн-злому.

3. Цілеспрямоване порушення роботи мережі: вибірково відключайте певні пристрої, не впливаючи на всю мережу, корисно для ізоляції та перевірки безпеки окремих систем.

4. Відмова в обслуговуванні на стороні клієнта: постійно деаутентифікуйте певних клієнтів, фактично запобігаючи їм підтримувати стабільне з’єднання з мережею.

5. Виявлення шахрайських точок доступу: використовуйте пакети deauth, щоб ідентифікувати шахрайські точки доступу, спостерігаючи за їхньою реакцією на атаку.

6. Тестування точки доступу: оцінка надійності точок доступу проти атак деавтентифікації та інших уразливостей Wi-Fi.

7. Навчання з питань безпеки: продемонструйте вплив атак деавтентифікації на навчальних заняттях з безпеки, щоб навчити користувачів безпеці Wi-Fi.

8. Розвідка мережі: визначте активні пристрої в мережі та їхні відповідні точки доступу, спостерігаючи за відповідями деавторизації.

9. Тактика ухилення: використовуйте пакети deauth, щоб тимчасово вимкнути камери безпеки або інші пристрої моніторингу, які покладаються на підключення Wi-Fi.

Proxmark3-EVO

Proxmark3-EVO — це високотехнологічний інструмент для аналізу та тестування RFID-систем, що підтримує як низькочастотні (125/134 кГц), так і високочастотні (13,56 МГц) протоколи. Пристрій оснащений потужним процесором AT91SAM7S512, внутрішньою та зовнішньою пам’яттю, а також попередньо налаштованими антенами для НЧ та ВЧ частот. Він дозволяє виконувати читання, запис, клонування, емуляцію та аналіз RFID-карт і міток.

Сценарій атаки:

Червоні команди можуть використовувати Proxmark3-EVO для клонування RFID-карт, перехоплення сигналів та виконання криптографічних атак, що дозволяє отримати несанкціонований доступ до захищених зон або викрасти конфіденційні дані.

Список атак червоної команди

1. Клонування RFID: клонуйте картки RFID, щоб отримати неавторизований доступ до безпечних зон або об’єктів.

2. Емуляція RFID: емулюйте карти RFID, щоб видати себе за законних користувачів і обійти системи контролю доступу.

3. Відтворення сигналу: захоплення та відтворення сигналів RFID для підробки облікових даних доступу та доступу до зон обмеженого доступу.

4. RFID Snooping: перехоплюйте й аналізуйте RFID-зв’язок, щоб отримувати дані, якими обмінюються пристрої зчитування RFID і мітки.

5. Криптографічні атаки: виконуйте криптографічні атаки, щоб зламати ключі шифрування RFID і автентифікуватись як дійсні користувачі.

6. Витяг даних: витяг конфіденційної інформації, що зберігається на мітках RFID, наприклад особистих даних або платіжних даних.

7. Аналіз протоколів: аналізуйте протоколи RFID, щоб виявити вразливі та слабкі місця в реалізації RFID.

8. Атаки грубою силою: використовуйте Proxmark3-EVO для проведення атак грубою силою на системи RFID, щоб вгадати PIN-коди або коди автентифікації.

9. Клонування RFID-тегів: клонуйте певні RFID-мітки для тестування або використання, щоб продемонструвати вразливості.

Розширення SIM/SAM для Proxmark3 RDV4

Розширення SIM/SAM для Proxmark3 RDV4 — це спеціалізований модуль, який додає можливості роботи з SIM- і SAM-картами на пристрої Proxmark3 RDV4. Він дозволяє дослідникам та пентестерам аналізувати, програмувати та маніпулювати даними на картках, включаючи криптографічні ключі та PIN-коди. Це розширення дає можливість виконувати складні атаки, такі як клонування SIM-карт, що критично важливо для оцінки безпеки телекомунікаційних і фінансових систем.

Сценарій атаки:

За допомогою цього модуля червоні команди можуть витягувати конфіденційну інформацію, включаючи криптографічні ключі та PIN-коди, що може призвести до клонування SIM-карт та отримання несанкціонованого доступу до стільникових мереж або захищених систем контролю доступу.

Список атак червоної команди

1. Витяг даних: Витяг конфіденційної інформації, такої як IMSI (міжнародний ідентифікатор мобільного абонента) або ключі автентифікації, із SIM-карт.

2. Клонування SIM-карти: клонуйте SIM-карти, щоб видати себе за законних користувачів і отримати несанкціонований доступ до стільникових мереж.

3. Маніпуляція PIN-кодом: маніпулюйте PIN-кодами SIM-карти, щоб обійти автентифікацію або вимкнути функції безпеки.

4. Обхід автентифікації: використовуйте витягнуті облікові дані, щоб обійти механізми автентифікації та отримати доступ до захищених систем.

5. Атаки типу Man-in-the-Middle (MITM): перехоплюйте та модифікуйте зв’язок між SIM-картами та мережевими операторами для підслуховування або впровадження шкідливого вмісту.

6. Використання SIM Toolkit (STK): використовуйте вразливості в програмах SIM Toolkit для виконання дій від імені користувача без його відома.

7. Аналіз захищених елементів: аналіз безпеки карт SAM, які використовуються в системах контролю доступу, щоб виявити вразливі місця або бекдор-доступ.

8. Криптографічні атаки: виконуйте криптографічні атаки, щоб зламати ключі шифрування, які використовуються для захисту зв’язку між SIM-картками та операторами мережі.

9. Криміналістичний аналіз: використовуйте розширення SIM/SAM для судових розслідувань, щоб відновити видалені або приховані дані з SIM-карт, які використовувалися у злочинній діяльності.

125 КГц RFID Cloner / 13,56 МГц RFID/NFC зчитувач/записувач

125KHz RFID Cloner і 13,56MHz RFID/NFC Reader/Writer — це пристрій, здатний клонувати RFID-картки та зчитувати/записувати теги NFC. Він підтримує клонування карт на основі протоколів EM4100, HID і AWID, а також запис на теги T5577. Працює автономно, має вбудовані світлодіодні індикатори та зумер для зворотного зв’язку. Сумісний із багатьма стандартами RFID, пристрій зручний у використанні.

Сценарій атаки:

Червоні команди можуть використовувати цей пристрій для клонування карт доступу, отримуючи несанкціонований доступ, або імплантації шкідливих NFC-тегів для зловмисних дій. Його портативність дозволяє легко використовувати його в таємних операціях.

Список атак червоної команди

1. Клонування карток RFID: клонування карток RFID (EM4100, HID, AWID) для отримання несанкціонованого доступу до будівель або об’єктів.

2. Обхід контролю доступу: використовуйте клоновані карти RFID, щоб обійти контроль фізичного доступу та потрапити в зони обмеженого доступу.

3. Маніпуляції з тегами NFC: записуйте шкідливі дані в теги NFC, щоб використовувати вразливості в системах або пристроях із підтримкою NFC.

4. Атаки з видаванням себе за іншу особу: клонуйте картки RFID, щоб видати себе за авторизованого персоналу та виконувати дії від його імені.

5. Тестування фізичної безпеки: оцініть ефективність систем безпеки на основі RFID, перевіривши клоновані облікові дані на контроль доступу.

6. Соціальна інженерія: використовуйте клоновані облікові дані, щоб сприяти атакам соціальної інженерії, завойовуючи довіру або доступ під фальшивими приводами.

7. Доставка зловмисного програмного забезпечення: використовуйте теги NFC для доставки зловмисного програмного забезпечення або шкідливих сценаріїв на пристрої з підтримкою NFC під час сканування.

8. Відстеження активів. Використовуйте теги NFC для відстеження, вставляючи їх в предмети, щоб контролювати їх рух через контрольні точки з підтримкою NFC.

9. Викрадання даних: приховайте викрадені дані на мітках NFC для подальшого отримання або передайте конфіденційну інформацію через канали NFC.