De release van de Nzyme 1.2.0 toolkit wordt gepresenteerd, ontworpen voor het monitoren van de ethergolven van draadloze netwerken om kwaadaardige activiteiten te identificeren, valse toegangspunten en ongeautoriseerde verbindingen in te zetten en standaardaanvallen uit te voeren. De projectcode is geschreven in Java en wordt gedistribueerd onder de SSPL (Server Side Public License), die is gebaseerd op AGPLv3, maar niet open is vanwege de aanwezigheid van discriminerende eisen met betrekking tot het gebruik van het product in clouddiensten.
Verkeer wordt geregistreerd door de draadloze adapter in de bewakingsmodus te zetten voor transitnetwerkframes. Het is mogelijk om onderschepte netwerkframes over te dragen naar het Graylog-systeem voor langdurige opslag, voor het geval de gegevens nodig zijn om incidenten en kwaadaardige activiteiten te analyseren. Met het programma kunt u bijvoorbeeld de opkomst van ongeautoriseerde toegangspunten detecteren, en als er een poging wordt gedetecteerd om een draadloos netwerk te compromitteren, zal het laten zien wie het doelwit van de aanval was en welke gebruikers zijn gecompromitteerd.
Het systeem kan verschillende soorten waarschuwingen genereren en ondersteunt ook verschillende methoden voor het detecteren van afwijkende activiteiten, waaronder het controleren van netwerkcomponenten aan de hand van vingerafdrukken en het creëren van vallen. Het ondersteunt het genereren van waarschuwingen wanneer de netwerkstructuur wordt geschonden (bijvoorbeeld het verschijnen van een voorheen onbekende BSSID), veranderingen in beveiligingsgerelateerde netwerkparameters (bijvoorbeeld veranderingen in coderingsmodi), detectie van de aanwezigheid van typische aanvalsapparaten (bijvoorbeeld bijvoorbeeld WiFi Pineapple), het opnemen van een oproep naar een valstrik of het vaststellen van een afwijkende gedragsverandering (bijvoorbeeld wanneer individuele frames verschijnen met een atypisch zwak signaalniveau of overtreding van drempelwaarden voor de intensiteit van pakketaankomsten).
Naast het analyseren van kwaadaardige activiteiten kan het systeem worden gebruikt voor algemene monitoring van draadloze netwerken, maar ook voor het fysiek detecteren van de bron van gedetecteerde afwijkingen door het gebruik van trackers die het mogelijk maken om geleidelijk een kwaadaardig draadloos apparaat te identificeren op basis van zijn specifieke kenmerken. attributen en veranderingen in signaalniveau. Het beheer vindt plaats via een webinterface.
In de nieuwe versie:
- Ondersteuning toegevoegd voor het genereren en verzenden van e-mailrapporten over gedetecteerde afwijkingen, opgenomen netwerken en algemene status.
- Ondersteuning toegevoegd voor waarschuwingen over detectie van pogingen tot aanvallen om de werking van bewakingscamera's te blokkeren op basis van het massaal verzenden van deauthenticatiepakketten.
- Ondersteuning toegevoegd voor waarschuwingen over het identificeren van voorheen onzichtbare SSID's.
- Ondersteuning toegevoegd voor waarschuwingen over fouten in het monitoringsysteem, bijvoorbeeld wanneer de draadloze adapter wordt losgekoppeld van de computer waarop Nzyme draait.
- Verbeterde compatibiliteit met op WPA3 gebaseerde netwerken.
- De mogelijkheid toegevoegd om callback-handlers te specificeren om op een waarschuwing te reageren (ze kunnen bijvoorbeeld worden gebruikt om informatie over afwijkingen vast te leggen in een logbestand).
- Er is een resource-inventarislijst toegevoegd, die de parameters weergeeft van de geïmplementeerde netwerken die worden gemonitord.
- Er is een profielpagina voor aanvallers toegevoegd, die informatie biedt over de systemen en toegangspunten waarmee de aanvaller heeft gecommuniceerd, evenals statistieken over signaalsterkte en verzonden frames.
Bron: opennet.ru