Metasploit的射頻收發器功能 | Metasploit’s RF Transceiver Capabilities

https://community.rapid7.com/community/metasploit/blog/2017/03/21/metasploits-rf-transceiver-capabilities

物聯網興起

咱們花費大量時間來監控咱們的企業網絡，並使用許多工具來檢測異常的行爲。咱們不斷地掃描漏洞、公佈測試。然而，咱們常常不能認識到本身網絡，和家庭中的小型（有時是大型）物聯網（IoT）設備。使人震驚的是，考慮到它們的廣泛性 – 這些設備並非容易被測試的。

RF：(無線射頻識別(RadioFrequency))通常指無線射頻

雖然很困難，在技術上，能夠經過其以太網側的鏈接來發現和識別這其中的部分IoT設備。但這不能讓咱們全面瞭解這些設備對消費者或企業帶來的風險。當僅評估以太網鏈接的設備時，您可能會錯過對企業安全形成重大影響的無線系統。無線網絡一般會控制警報系統、監控、門禁、機房HVAC控制等諸多領域。

這給咱們帶來了一個很是關鍵的問題：如何真正肯定這些設備的風險？

從最基礎開始：

• 這些鏈接的設備能作什麼？
• 這些設備的做用範圍是多少？
• 設備是否具備無線功能？

傳統上，咱們常常對802.11無線網絡執行週期掃描，以確保接入點是否安全，網絡流量是否過大。咱們能夠監控並建立堆疊的AP以防止他們某一個掛掉或者被附近電磁干擾。固然，若是你問：其它頻率的無線頻段呢？而這偏偏是咱們要研究的領域和方向。

也許您因爲其餘緣由使用非802.11標準之外的其餘無線電頻。遙控車庫門？RFID讀卡器、無線安全系統、Zigbee控制燈或HVAC系統等。

這些設備的頻率範圍是多少？它們是否加密受保護？當受到干擾時會發生什麼？在封閉或開放的狀態下是否失敗？

沒法有效地回答這些問題，是咱們發佈Metasploit硬件橋射頻(RF)收發器的真正緣由，也說明爲何咱們認爲這將是安全研究人員和滲透測試人員瞭解其實際攻擊面的關鍵工具。

如今，安全團隊將可以對公司的安全情況進行更真實的評估。可以測試物理安全控制，並更好地瞭解物聯網及其餘設備的安全性。

以安全研究的名義進行的大部分活動多是有爭議的或難以理解的。 但RF測試確定是正確的，隨着咱們看到愈來愈多的技術利用RF通訊，研究領域變得愈來愈多和越廣泛。

對安全測試領域開發的任何技術最多見的批評是：容易被攻擊者利用。安全圈有個常見的反應：若是已經被攻擊者利用，那咱們惟有了解黑客在作什麼、有效地模擬攻擊方法，並展現攻擊潛在的影響，才能採起必要的措施來阻止他們。

這是Metasploit背後的邏輯，以及驅動了Rapid7大規模的漏洞研究工做。這也是RF 收發器出現的緣由。咱們堅信，RF測試是漏洞測試很是重要的的一部分(雖然目前仍被忽視)，隨着物聯網生態系統的發展，射頻測試的重要性將會持續增長。

咱們有這樣一個案例，2016年，Rapid7的Jay Radcliffe公佈了強生公司Animas OneTouch Ping胰島素泵的多個漏洞。

攻擊演示過程：

普通的泵具備血糖儀，其經過專有無線管理協議中的無線電頻做爲遙控器。泵和遙控器之間的通訊以明文而非加密的形式傳輸。這爲攻擊者創造了機會，使用適當的技術手段和資源來欺騙短距離遙控器將觸發未經受權的胰島素注射。

雖然Jay認爲攻擊者利用這些漏洞的可能性比較低，但可能會嚴重傷害使用該技術的患者。幸運的是，Jay及時發現了這個問題，並給強生公司提出建議，通知病患者使其減輕風險。 如若沒有RF測試，這些漏洞可能一直存在，患者將沒法作出選擇來保護本身。

Status-1
REMOTE: 00 00 00 04 A3 5A 92 B2 4C 00 0E 0F .....Z..L...
REMOTE: 00 00 00 04 A3 5A 92 B2 4C 00 0E 0F .....Z..L...
PUMP: 00 00 FF 00 1A D1 81 81 ........
REMOTE: 20 00 0E 00 BF DB CC 6F ......o
PUMP: 03 00 F1 04 16 B9 B9 87 2C 01 00 00 ........,...
REMOTE: 03 00 F8 00 31 FD C9 EE ....1...
PUMP: 03 00 07 04 88 76 DA DD 2C 01 00 00 .....v..,...
REMOTE: 03 00 12 00 F0 30 0E FC .....0..
PUMP: 20 00 ED 12 E7 BC 93 43 01 01 27 05 26 02 8F 00 ......C..'.&...
PUMP: 57 45 45 4B 44 41 59 00 00 00 WEEKDAY...
PUMP: 05 00 EA 00 D5 8F 84 B3

樣本數據包

工做原理

在解釋其工做原理以前，需作一個簡單申明： Rapid7不銷售RF測試所需的硬件。您能夠在任何地方得到。好比：Hacker Warehouse，Hak5，淘寶，京東，亞馬遜或任何無線設備的電子商店。

使用射頻(RF)收發器，安全專家可以製做並監控不一樣的RF數據包，以正確識別和訪問公司內除以太網之外的無線網絡系統。

第一個RF收發器版本支持TI cc11xx低功耗Sub-1GHz射頻收發器。 RF收發器能夠調整設備來識別和調製解碼信號。甚至能夠建立短期的干擾來識別故障狀態。該版本還提供了與TI cc11xx芯片組流行的RfCat python框架兼容的完整API。若是您現有的程序使用RfCat，您能夠輕易的將它們移植到Metasploit中。此版本附帶兩個後置模塊：基於暴力破解的振幅調製(rfpwnon) 和 通用發射器(transmitter)。

如何使用RF Transceiver

使用新的RF 收發器須要購買像Rard Stick One這樣兼容RfCat的設備。 而後下載最新的RfCat驅動程序，在這些驅動程序中，會有一個rfcat_msfrelay。這是RfCat中Metasploit Framework的中繼服務器，運行在附屬的RfCat兼容設備系統上。

您能夠鏈接硬件橋：

$./msfconsole -q
msf > use auxiliary/client/hwbridge/connect
msf auxiliary(connect) > run

[*] Attempting to connect to 127.0.0.1...
[*] Hardware bridge interface session 1 opened (127.0.0.1 -> 127.0.0.1) at 2017-02-16 20:04:57 -0600
[+] HWBridge session established
[*] HW Specialty: {"rftransceiver"=>true} Capabilities: {"cc11xx"=>true}
[!] NOTICE: You are about to leave the matrix. All actions performed on this hardware bridge
[!] could have real world consequences. Use this module in a controlled testing
[!] environment and with equipment you are authorized to perform testing on.
[*] Auxiliary module execution completed
msf auxiliary(connect) > sessions

Active sessions
===============

Id Type Information Connection
-- ---- ----------- ----------
1 hwbridge cmd/hardware rftransceiver 127.0.0.1 -> 127.0.0.1 (127.0.0.1)

msf auxiliary(connect) > sessions -i 1
[*] Starting interaction with 1...

hwbridge > status
[*] Operational: Yes
[*] Device: YARDSTICKONE
[*] FW Version: 450
[*] HW Version: 0348

要了解有關RF Transceiver的更多信息，在這裏下載最新的Metasploit：

https://www.rapid7.com/products/metasploit/download/community