Se presenta el lanzamiento del kit de herramientas Nzyme 1.2.0, diseñado para monitorear las ondas de redes inalámbricas con el fin de identificar actividad maliciosa, implementar puntos de acceso falsos, conexiones no autorizadas y llevar a cabo ataques estándar. El código del proyecto está escrito en Java y se distribuye bajo SSPL (Server Side Public License), que se basa en AGPLv3, pero no está abierto debido a la presencia de requisitos discriminatorios con respecto al uso del producto en servicios en la nube.
El tráfico se captura cambiando el adaptador inalámbrico al modo de monitoreo de tramas de red de tránsito. Es posible transferir tramas de red interceptadas al sistema Graylog para su almacenamiento a largo plazo en caso de que los datos sean necesarios para analizar incidentes y actividades maliciosas. Por ejemplo, el programa permite detectar la aparición de puntos de acceso no autorizados y, si se detecta un intento de comprometer una red inalámbrica, mostrará quién fue el objetivo del ataque y qué usuarios fueron comprometidos.
El sistema puede generar varios tipos de alertas y también admite varios métodos para detectar actividades anómalas, incluida la verificación de componentes de la red mediante identificadores de huellas dactilares y la creación de trampas. Admite la generación de alertas cuando se viola la estructura de la red (por ejemplo, la aparición de un BSSID previamente desconocido), cambios en los parámetros de red relacionados con la seguridad (por ejemplo, cambios en los modos de cifrado), detección de la presencia de dispositivos de ataque típicos (por ejemplo, por ejemplo, WiFi Pineapple), grabar una llamada a una trampa o determinar un cambio anormal en el comportamiento (por ejemplo, cuando aparecen cuadros individuales con un nivel de señal débil atípico o una violación de los valores umbral para la intensidad de la llegada de paquetes).
Además de analizar la actividad maliciosa, el sistema se puede utilizar para el monitoreo general de redes inalámbricas, así como para detectar físicamente el origen de las anomalías detectadas mediante el uso de rastreadores que permiten identificar progresivamente un dispositivo inalámbrico malicioso en función de sus características específicas. atributos y cambios en el nivel de la señal. La gestión se realiza a través de una interfaz web.
Versículos nuevos:
- Se agregó soporte para generar y enviar informes por correo electrónico sobre anomalías detectadas, redes registradas y estado general.
- Se agregó soporte para advertencias sobre la detección de intentos de ataques para bloquear el funcionamiento de cámaras de vigilancia basadas en el envío masivo de paquetes de desautenticación.
- Se agregó soporte para advertencias sobre la identificación de SSID no vistos anteriormente.
- Se agregó soporte para advertencias sobre fallas en el sistema de monitoreo, por ejemplo, cuando el adaptador inalámbrico se desconecta de la computadora que ejecuta Nzyme.
- Compatibilidad mejorada con redes basadas en WPA3.
- Se agregó la capacidad de especificar controladores de devolución de llamadas para responder a una advertencia (por ejemplo, se pueden usar para registrar información sobre anomalías en un archivo de registro).
- Se ha agregado una lista de inventario de recursos, que muestra los parámetros de las redes implementadas que se están monitoreando.
- Se ha agregado una página de perfil del atacante, que proporciona información sobre los sistemas y puntos de acceso con los que interactuó el atacante, así como estadísticas sobre la intensidad de la señal y las tramas enviadas.
Fuente: opennet.ru