Bemutatjuk az Nzyme 1.2.0 eszközkészlet kiadását, amely a vezeték nélküli hálózatok rádióhullámainak figyelésére szolgál a rosszindulatú tevékenységek azonosítása, hamis hozzáférési pontok telepítése, jogosulatlan kapcsolatok és szabványos támadások végrehajtása érdekében. A projekt kódja Java nyelven íródott, és az AGPLv3-on alapuló SSPL (Server Side Public License) alatt kerül terjesztésre, de a termék felhőszolgáltatásokban való felhasználásával kapcsolatos diszkriminatív követelmények miatt nem nyitott.
A forgalom rögzítése a vezeték nélküli adapter figyelési módba kapcsolásával történik a tranzithálózati keretekhez. Lehetőség van az elfogott hálózati keretek átvitelére a Graylog rendszerbe hosszú távú tárolás céljából, arra az esetre, ha az adatokra incidensek és rosszindulatú tevékenységek elemzéséhez lenne szükség. Például a program lehetővé teszi az illetéktelen hozzáférési pontok felbukkanásának észlelését, és ha egy vezeték nélküli hálózat feltörésére irányuló kísérletet észlel, megmutatja, hogy ki volt a támadás célpontja, és mely felhasználókat veszélyeztették.
A rendszer többféle riasztást tud generálni, és támogatja a rendellenes tevékenységek észlelésének különféle módszereit is, beleértve a hálózati összetevők ujjlenyomat-azonosítókkal történő ellenőrzését és csapdák létrehozását. Támogatja a riasztások generálását a hálózati struktúra megsértése esetén (például egy korábban ismeretlen BSSID megjelenése), a biztonsággal kapcsolatos hálózati paraméterek megváltozása (például a titkosítási módok változása), a tipikus támadóeszközök jelenlétének észlelése (pl. például WiFi Pineapple), csapdahívás rögzítése vagy rendellenes viselkedési változás meghatározása (például amikor az egyes keretek atipikusan gyenge jelszinttel vagy a csomagérkezések intenzitásának küszöbértékeinek megsértésével jelennek meg).
A rendszer a rosszindulatú tevékenységek elemzése mellett használható a vezeték nélküli hálózatok általános monitorozására, valamint az észlelt rendellenességek forrásának fizikai észlelésére olyan nyomkövetők segítségével, amelyek lehetővé teszik a rosszindulatú vezeték nélküli eszköz fokozatos azonosítását annak sajátosságai alapján. attribútumok és a jelszint változásai. A kezelés webes felületen keresztül történik.
Az új verzióban:
- Támogatás hozzáadva az észlelt anomáliákról, a rögzített hálózatokról és az általános állapotról szóló e-mail jelentések generálásához és küldéséhez.
- Támogatás hozzáadva a támadási kísérletek észlelésére vonatkozó figyelmeztetésekhez, amelyek blokkolják a térfigyelő kamerák működését a hitelesítés-eltávolító csomagok tömeges küldése alapján.
- Támogatás hozzáadva a korábban nem látott SSID-k azonosítására vonatkozó figyelmeztetésekhez.
- Támogatás hozzáadva a figyelőrendszer hibáira vonatkozó figyelmeztetésekhez, például amikor a vezeték nélküli adaptert leválasztják az Nzyme-ot futtató számítógépről.
- Továbbfejlesztett kompatibilitás a WPA3 alapú hálózatokkal.
- Hozzáadtuk a visszahívási kezelők megadásának lehetőségét, hogy válaszoljanak a figyelmeztetésekre (például felhasználhatók az anomáliákkal kapcsolatos információk rögzítésére egy naplófájlba).
- Egy erőforrás-leltár lista került hozzáadásra, amely megjeleníti a megfigyelt telepített hálózatok paramétereit.
- Egy támadóprofil oldalt adtunk hozzá, amely információkat tartalmaz azokról a rendszerekről és hozzáférési pontokról, amelyekkel a támadó interakcióba lépett, valamint statisztikákat tartalmaz a jelerősségről és az elküldött keretekről.
Forrás: opennet.ru