18.01.2022

Доступен Nzyme 1.2.0, инструментарий для отслеживания атак на беспроводные сети

Представлен выпуск инструментария Nzyme 1.2.0, предназначенного для мониторинга эфира беспроводных сетей с целью выявления вредоносной активности, развёртывания подставных точек доступа, неавторизированных подключений и совершения типовых атак. Код проекта написан на языке Java и распространяется под лицензией SSPL (Server Side Public License), которая основана AGPLv3, но не является открытой из-за наличия дискриминирующих требований в отношении использования продукта в облачных сервисах.

Захват трафика осуществляется через перевод беспроводного адаптера в режим мониторинга за транзитными сетевыми кадрами. Возможна передача перехваченных сетевых кадров в систему Graylog для длительного хранения на случай, если данные потребуются для разбора инцидентов и вредоносных действий. Например, программа позволяет выявить появление несанкционированных точек доступа, а в случае выявления попытки компрометации беспроводной сети покажет, кто стал целью атаки и какие пользователи были скомпрометированы.

Система может генерировать несколько типов предупреждений, а также поддерживает различные способы определения аномальной активности, включая проверку компонентов сети по fingerprint-идентификаторам и создание ловушек. Поддерживается генерация предупреждений при нарушении структуры сети (например, появления ранее не известного BSSID), изменении связанных с безопасностью параметров сети (например, изменение режимов шифрования), выявления присутствия типовых устройств для проведения атак (например, WiFi Pineapple), фиксации обращения к ловушке или определения аномального изменения поведения (например, при появлении отдельных кадров с нетипичным слабым уровнем сигнала или нарушением пороговых значений интенсивности поступления пакетов).

Помимо анализа вредоносной активности система может применяться для общего мониторинга за беспроводными сетями, а также для физического обнаружения источника выявленных аномалий через использование трекеров, позволяющих поступательно определить вредоносное беспроводное устройство на основании специфичных для него атрибутов и изменения уровня сигнала. Управление производится через web-интерфейс.

В новой версии:

  • Добавлена поддержка генерации и отправки на email отчётов о выявленных аномалиях, зафиксированных сетях и общем состоянии.
  • Добавлен поддержка предупреждений о выявлении попыток совершения атак для блокировки работы камер наблюдения, основанных на массовой отправке пакетов деаутентификации.
  • Добавлена поддержка предупреждений о выявлении ранее не встречавшихся SSID-идентификаторов.
  • Добавлена поддержка предупреждений о сбоях в работе системы мониторинга, например, при отключении беспроводного адаптера от компьютера, на котором выполняется Nzyme.
  • Улучшена совместимость с сетями на базе WPA3.
  • Добавлена возможность задания callback-обработчиков для реагирования на предупреждение (например, можно использовать для записи информации об аномалиях в лог-файл).
  • Добавлен список инвентаризации ресурсов, в котором отображены параметры развёрнутых сетей, за которыми осуществляется мониторинг.
  • Добавлена страница с профилем атакующего, предоставляющая информацию о системах и точках доступа с которыми взаимодействовал атакующий, а также статистику об уровне сигнала и отправленных кадрах.

Источник.