Наведено випуск інструментарію Nzyme 1.2.0, призначеного для моніторингу ефіру бездротових мереж з метою виявлення шкідливої активності, розгортання підставних точок доступу, неавторизованих підключень та здійснення типових атак. Код проекту написаний мовою Java та поширюється під ліцензією SSPL (Server Side Public License), яка заснована AGPLv3, але не є відкритою через наявність дискримінаційних вимог щодо використання продукту у хмарних сервісах.
Захоплення трафіку здійснюється через переведення бездротового адаптера режим моніторингу за транзитними мережевими кадрами. Можлива передача перехоплених мережевих кадрів у систему Graylog для тривалого зберігання на випадок, якщо дані потрібні для аналізу інцидентів і шкідливих дій. Наприклад, програма дозволяє виявити появу несанкціонованих точок доступу, а у разі виявлення спроб компрометації бездротової мережі покаже, хто став метою атаки і які користувачі були скомпрометовані.
Система може генерувати кілька типів попереджень, а також підтримує різні способи визначення аномальної активності, включаючи перевірку компонентів мережі за fingerprint-ідентифікаторами та створення пасток. Підтримується генерація попереджень при порушенні структури мережі (наприклад, раніше невідомого BSSID), зміні пов'язаних з безпекою параметрів мережі (наприклад, зміна режимів шифрування), виявлення присутності типових пристроїв для проведення атак (наприклад, WiFi Pineapple), фіксації звернення до пастки або визначення аномальної зміни поведінки (наприклад, у разі окремих кадрів з нетиповим слабким рівнем сигналу чи порушенням порогових значень інтенсивності надходження пакетів).
Крім аналізу шкідливої активності, система може застосовуватися для загального моніторингу за бездротовими мережами, а також для фізичного виявлення джерела виявлених аномалій через використання трекерів, що дозволяють поступово визначити шкідливий бездротовий пристрій на підставі специфічних для нього атрибутів і зміни рівня сигналу. Управління провадиться через web-інтерфейс.
В новой версії:
- Додана підтримка генерації та відправки на email звітів про виявлені аномалії, зафіксовані мережі та загальний стан.
- Додано підтримку попереджень про виявлення спроб здійснення атак для блокування роботи камер спостереження, заснованих на масовому відправленні пакетів деаутентифікації.
- Додано підтримку попереджень про виявлення SSID-ідентифікаторів, що раніше не зустрічалися.
- Додана підтримка попереджень про збій у роботі системи моніторингу, наприклад, при відключенні безпроводового адаптера від комп'ютера, на якому виконується Nzyme.
- Поліпшено сумісність із мережами на базі WPA3.
- Додана можливість завдання callback-обробників для реагування на попередження (наприклад, можна використовувати для запису інформації про аномалії в лог-файл).
- Додано список інвентаризації ресурсів, де відображено параметри розгорнутих мереж, за якими здійснюється моніторинг.
- Додана сторінка з профілем атакуючого, що надає інформацію про системи та точки доступу з якими взаємодіяв атакуючий, а також статистику про рівень сигналу та відправлені кадри.
Джерело: opennet.ru