• XSS.stack #1 – первый литературный журнал от юзеров форума

GSM Зеродей в GSM 4G / LTE

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
hits сказал(а):
направляю по кругу вверх где то лопасти тупа стопоряться и перестоет крутиться он потом в другое направление делаю все работает,или это наводки пэмин?
Нет. Это осень. Резкая смена температуры. Говорят, влияет...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
kerberos сказал(а):
Все это лирика, для перехвата смс сейчас нет ( на сколько) я знаю систем, только на исходящии...
запрос USSD о переводе $ на другой номер
ussd_req.png


Приходит ussd ответ
ussd_ok.png



Следом приходит СМСка с кодом подтверждения
sms_req.png



Отвечаем на эту СМСку
submit.png


Получаем следующую СМСку из сети:

wireshark.png



screen.png


На этом данная тема подходит к концу. Всем спасибо, было весело.
 
Последнее редактирование:
Позанудствую :)
- клиентские запросы через mobile на осмотелефоне?
- как долго сессионный ключ живет? (там есть варианты, поэтому интересует: либо по времени, либо по событиям)
- что используется для расшифровки сессионного ключа (приблизительный конфиг по процу/памяти/видеокартам)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
gliderexpert сказал(а):
Так то это выгоднее чем рансом получается...
Удивительно что до сих пор тишина в данном направлении...
Чтоб лочить не нужен такой обширный стэк навыков и технологий осваивать.
Масса бегает по сетям и запускает бинарники и рады своим 10-50-100к в мес.
+ наличие в квартире\гараже\anywhere работающего imsi-catcher-a уже есть повод для набутыливания пассажира - что тоже не совсем приятный момент.
+ серьездные финансовый вложения при риализации
итог очевиден.

тсу - респект и всех благ.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
HellofWeb перевели первое сообщение из этой темы на англ.язык и опубликовали его у себя в блоге - за что им большое спасибо! Копирую сюда текст перевода для англоязычной части форума:

Researchers Found A New Zeroday In 4G Network Which Can Help Attacker to Force Victim To Connect Unsecure Network. Victim Data Can Compromised With This ZeroDay.

Hello everyone!
Found a new vulnerability in the LTE (4G) communication system, which allows you to force a mobile phone to use a less secure communication protocol - 2G, as well as switch to an arbitrary user-specified cell channel.
This vulnerability is not described anywhere on the Internet, so I pretend to be the authorship of a small zeroe))
Standard methods for downgrading a network from LTE to 2G - using a jammer, or RRC Connection Release with the desired channel number in redirection info.
I found a third option.
The base station eNodeB tunes to the carrier frequency of the operator where the target phone is currently located.
The Tracking Area Code and Physical Cell ID should be different from the real one, but the MCC and MNC are the same as the operator.
The signal level should exceed the signal level from the BS by 5 ... 10dB. This is easily accomplished by using an amplifier and a good antenna.
The fake eNodeB must continuously transmit the SIB1 packet with the Addition System Info, SIB2 flag turned on, as well as the SIB7 packet with the reselect geran = 1, cell reselection priority = 7, start_arfcn = channel number 2g to which we want to drop the phone.
As soon as the signal level of our enodeb becomes more than intra-frequency hysteresis, the phone reselects it and listens for sib packets to start the tac update and attach procedure.

The meaning of my method is that there is an "absolute priority" parameter in the base station reselection mechanism, which is the initial cell selection criterion. By transmitting the SIB7 message, we assign the maximum priority to our 2G channel (7). And since the phone has already started the tracking area update procedure, it received information from sib1 / sib7 and saw that the channel with the best absolute priority is available.
This forces the mobile phone to switch to the 2G channel assigned to SIB7 - for example, a fake base station.
All phones located in the same eARFCN with the attacking eNodeB are subject to the attack, all of them immediately reselect to the 2g channel, as soon as the signal level from the fake enodeb becomes greater than the signal level of the provider + intrаfreq resel hyst.

The advantage of this method in comparison with the well-known RRC Release is that to manipulate the SIB7 packet, it is enough to use only the transmitter (you don’t need to hear the answer from the phone, so you don’t need a complex transmitter design with an antenna duplexer filter, etc.) and this method works in any phone mode, not only in Idle.
 
gliderexpert сказал(а):
HellofWeb перевели первое сообщение из этой темы на англ.язык и опубликовали его у себя в блоге - за что им большое спасибо! Копирую сюда текст перевода для англоязычной части форума:
Хоть где-то ссылку на ресерчера дали ?
А перед этим несколько западных исследователей использовали эту штуку в своих целях + мельком показывали в роликах на ютубе.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
swap3r сказал(а):
Хоть где-то ссылку на ресерчера дали ?

хз - из паблика все старательно вычищено. Текст перевода вообще найден случайно и извлечен из кеша гугла.
На вебархиве даже почистили )

swap3r сказал(а):
А перед этим несколько западных исследователей использовали эту штуку в своих целях + мельком показывали в роликах на ютубе.
Пусть пользуются, не жалко. Я придерживаюсь принципа открытого доступа к информации.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
0x000 сказал(а):
Существуют ли примеры использования файлов для создания пакетов Sib ? Я установил matlab 2020, я хочу поэкспериментировать с hackrf great scott gadgets @gliderexpert
LTE toolbox, в варианте как есть он работает с USRP, но можно сгенерировать сигнал, записать в файл и воспроизвести при помощи hack rf.
Для hackrf вам так же понадобится термостатированный генератор опорной частоты 10mhz GPSDO .
 
Не будет ли достаточно, если я просто воспроизведу сгенерированный мной сигнал с помощью hackrf ? не могли бы вы поделиться примером созданного проекта lte toolbox.
gliderexpert сказал(а):
LTE toolbox, в варианте как есть он работает с USRP, но можно сгенерировать сигнал, записать в файл и воспроизвести при помощи hack rf.
Для hackrf вам так же понадобится термостатированный генератор опорной частоты 10mhz GPSDO .
 
Пожалуйста, обратите внимание, что пользователь заблокирован
hits сказал(а):
а чем можно вычислить помехи hackone rf?
Помниться была такая хрень году так еще в 1984)))), как панорманый индикатор, который подключался к приемнику, по которой на станцию глушащий передатчик наводили. На мониторе видно все гармоники от несущей и спокойно видно амплитуду и частоту сигнала гармоник. Думаю можно и вычислить, но это долго для этого надо много данных. Что-то подобное мы делали на курсовых проектах.
Дружище glidexpert у меня к тебя один вопрос, как без приемника ты можешь это получить? Как идет обмен? Что-то не могу вкурить по причине тупости. Как идет разговор станций, как идет станционный обмен ключами, информацией без приемника при запросах и на нескольких операторах, которые арендуют трафик?
Если я правильно понял, идет атака на телефон. Ты вынуждаешь телефон дать ответ на запрос фейковой станцией. Но как вбить все данные разных операторов, что бы телефон дал ответ на запрос?
Ведь телефон без корректного запроса просто не даст ответ?
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Veil сказал(а):
Дружище glidexpert у меня к тебя один вопрос, как без приемника ты можешь это получить? Как идет обмен?

Атака состоит из нескольких этапов.
Первый этап - разведка радиообстановки. Какие операторы на каких частотах в данной локации "вещают".

Второй этап - нужно скинуть телефоны с 4г на 2G. Для этого приемник не нужен - только передатчик. Теория атаки расписана в первом сообщении этой темы. Частоты earfcn и параметры канала мы узнали на этапе разведки радиообстановки, а ответ телефона слышать не обязательно . Поэтому приемник на этом этапе не нужен.

Третий этап - когда телефон работает на 2G, регистрируем его на своей "поддельной" базовой станции. ТУт разумеется уже нужен и приемник, и передатчик, и куча всего еще.

Но это старые методы атаки. Тот signal flow который я показал на примере с СМСками, работает по другому - но новую технологию на форуме описывать не хочу.


Veil сказал(а):
Что-то не могу вкурить по причине тупости. Как идет разговор станций, как идет станционный обмен ключами, информацией без приемника при запросах и на нескольких операторах, которые арендуют трафик?

Вопросы грамотные. Подчеркну, что в этой теме описан лишь один из этапов атаки - РЕДИРЕКТ.
Для него не нужны ключи и прочее. Работает только на одном канале на который настроен передатчик.
Параметры канала, такие как частота, earfcn, lac-tac-cell id, physical cell id, mcc,mnc - предварительно нужно посмотреть в справочнике либо определить перехватывая сигнал БСки отдельным приемником или перепрошитым телефоном.

Опять же это все старый вариант. На практике работает так себе и имеет много недостатков.
Уже почти год прошел с того момента как я его обнаружил и "наука с того времени ушла далеко вперед".
Есть более прикольные уязвимости для редиректа.

Veil сказал(а):
Если я правильно понял, идет атака на телефон. Ты вынуждаешь телефон дать ответ на запрос фейковой станцией.

Тут ты уже пишешь про работу в 2г, это вообще отдельная история. Да, есть приемы как заставить перейти телефон на свою БС. Служебные данные-параметры каналов оператора известны, эта информация не секретная и передается по радиоканалу в открытом виде, а так же присутствует чуть ли не в википедии.

Я где то на форуме выкладывал мануал от американского интерцептора Stingray, почитай - там прям подробно описано как работает комплекс в 2g диапазоне.
 
gliderexpert сказал(а):
Атака состоит из нескольких этапов.
Первый этап - разведка радиообстановки. Какие операторы на каких частотах в данной локации "вещают".

Второй этап - нужно скинуть телефоны с 4г на 2G. Для этого приемник не нужен - только передатчик. Теория атаки расписана в первом сообщении этой темы. Частоты earfcn и параметры канала мы узнали на этапе разведки радиообстановки, а ответ телефона слышать не обязательно . Поэтому приемник на этом этапе не нужен.

Третий этап - когда телефон работает на 2G, регистрируем его на своей "поддельной" базовой станции. ТУт разумеется уже нужен и приемник, и передатчик, и куча всего еще.

Но это старые методы атаки. Тот signal flow который я показал на примере с СМСками, работает по другому - но новую технологию на форуме описывать не хочу.




Вопросы грамотные. Подчеркну, что в этой теме описан лишь один из этапов атаки - РЕДИРЕКТ.
Для него не нужны ключи и прочее. Работает только на одном канале на который настроен передатчик.
Параметры канала, такие как частота, earfcn, lac-tac-cell id, physical cell id, mcc,mnc - предварительно нужно посмотреть в справочнике либо определить перехватывая сигнал БСки отдельным приемником или перепрошитым телефоном.

Опять же это все старый вариант. На практике работает так себе и имеет много недостатков.
Уже почти год прошел с того момента как я его обнаружил и "наука с того времени ушла далеко вперед".
Есть более прикольные уязвимости для редиректа.



Тут ты уже пишешь про работу в 2г, это вообще отдельная история. Да, есть приемы как заставить перейти телефон на свою БС. Служебные данные-параметры каналов оператора известны, эта информация не секретная и передается по радиоканалу в открытом виде, а так же присутствует чуть ли не в википедии.

Я где то на форуме выкладывал мануал от американского интерцептора Stingray, почитай - там прям подробно описано как работает комплекс в 2g диапазоне.

C такими знаниями как у тебя в пору открывать сервис по перехвату смс по разным странам.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
К сожалению все эти атаки требуют присутствия квалифицированного специалиста с оборудованием недалеко от абонента. Поэтому модели бизнеса наподобие RaaS тут не прокатят )
Разве что удаленно перехватывать смску через SS7 ;)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Спасибо дружище, ты как всегда на высоте. Немного понял, остальное поробую понять. Если будут вопросы , обязательно спрошу. Тема для меня, как для связиста новая, не хочу быть в хвосте.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Там des обычный, ломается чем угодно, ускорителями на fpga, фермой видеокарт и т.п.

GitHub - thomascannon/sim-ota-updates: Extracting MAC from SIM cards to crack DES OTA key for SIM updates

Extracting MAC from SIM cards to crack DES OTA key for SIM updates - GitHub - thomascannon/sim-ota-updates: Extracting MAC from SIM cards to crack DES OTA key for SIM updates
github.com

многие интересные tar'ы кстати доступны без ключа
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх