Die Veröffentlichung des Nzyme 1.2.0-Toolkits wurde eingeführt, das die Luft von drahtlosen Netzwerken überwachen soll, um böswillige Aktivitäten zu erkennen, unerwünschte Zugangspunkte und nicht autorisierte Verbindungen bereitzustellen und typische Angriffe durchzuführen. Der Projektcode ist in Java geschrieben und wird unter der SSPL (Server Side Public License) vertrieben, die auf AGPLv3 basiert, aber aufgrund diskriminierender Anforderungen hinsichtlich der Nutzung des Produkts in Cloud-Diensten nicht offen ist.
Der Datenverkehr wird erfasst, indem der WLAN-Adapter in den Überwachungsmodus für Transitnetzwerk-Frames geschaltet wird. Es ist möglich, abgefangene Netzwerkframes zur Langzeitspeicherung an das Graylog-System zu übertragen, falls die Daten für die Analyse von Vorfällen und böswilligen Aktionen benötigt werden. Das Programm ermöglicht es Ihnen beispielsweise, das Auftauchen nicht autorisierter Zugangspunkte zu erkennen, und wenn ein Versuch erkannt wird, das drahtlose Netzwerk zu kompromittieren, zeigt es an, wer das Ziel des Angriffs war und welche Benutzer kompromittiert wurden.
Das System kann mehrere Arten von Warnungen generieren und unterstützt außerdem verschiedene Methoden zur Erkennung anomaler Aktivitäten, einschließlich der Überprüfung von Netzwerkkomponenten mithilfe von Fingerabdruck-Identifikatoren und der Erstellung von Fallen. Es werden Warnungen unterstützt, wenn eine Netzwerkstruktur verletzt wird (z. B. das Erscheinen einer bisher unbekannten BSSID), sich sicherheitsrelevante Netzwerkparameter ändern (z. B. Änderung der Verschlüsselungsmodi), das Vorhandensein typischer Angriffsgeräte erkannt wird (z. B. WiFi Pineapple), Reparieren eines Anrufs zu einer Falle oder Erkennen einer abnormalen Verhaltensänderung (z. B. wenn einzelne Frames mit einem atypisch schwachen Signalpegel oder einer Verletzung von Schwellenwerten für die Intensität der Paketankunft erscheinen).
Zusätzlich zur Analyse bösartiger Aktivitäten kann das System zur allgemeinen Überwachung von drahtlosen Netzwerken sowie zur physischen Erkennung der Quelle erkannter Anomalien mithilfe von Trackern verwendet werden, die eine schrittweise Identifizierung eines bösartigen drahtlosen Geräts anhand seiner spezifischen Eigenschaften ermöglichen Signalpegel ändert sich. Die Verwaltung erfolgt über die Webschnittstelle.
In der neuen Version:
- Unterstützung für die Erstellung und den E-Mail-Versand von Berichten über erkannte Anomalien, Festnetze und den allgemeinen Status hinzugefügt.
- Unterstützung für Warnungen über die Erkennung von Angriffsversuchen zur Blockierung der Arbeit von Überwachungskameras basierend auf dem Massenversand von Deauthentifizierungspaketen hinzugefügt.
- Unterstützung für Warnungen zu bisher nicht sichtbaren SSIDs hinzugefügt.
- Unterstützung für Warnungen zu Fehlern im Überwachungssystem hinzugefügt, beispielsweise wenn der WLAN-Adapter vom Computer getrennt wird, auf dem Nzyme ausgeführt wird.
- Verbesserte Kompatibilität mit WPA3-basierten Netzwerken.
- Es wurde die Möglichkeit hinzugefügt, Callback-Handler so festzulegen, dass sie auf eine Warnung reagieren (sie können beispielsweise verwendet werden, um Informationen über Anomalien in eine Protokolldatei zu schreiben).
- Es wurde eine Ressourceninventarliste hinzugefügt, die die Parameter der bereitgestellten Netzwerke anzeigt, die überwacht werden.
- Es wurde eine Profilseite eines Angreifers hinzugefügt, die Informationen über die Systeme und Zugangspunkte bietet, mit denen der Angreifer interagiert hat, sowie Statistiken über die Signalstärke und gesendete Frames.
Source: opennet.ru