GRX网络与移动通信安全：间谍机构的攻击目标

HITB2014AMS - 第2天 - 女王的秘密服务：GRX与间谍机构

去年，比利时电信公司Belgacom遭到情报机构（可能是GCHQ）的黑客攻击。Rob提出：“这次黑客攻击有什么特别之处？他们为什么要入侵Belgacom？类似攻击的目的可能是什么？“在回答这些问题之前，我们需要快速了解移动网络的工作原理以及移动数据如何在网络中传输。

移动数据

在移动数据网络中，需要知道用户的位置。KPN在全国约有5000个基站，每个站点都有一个小区标识符（CI）。为了将它们分组，使用了路由区域码（RAC）。每个国家都有自己唯一的号码，例如MCC 204对应荷兰。此外，每个运营商也有一个唯一的号码。

要访问网络，您需要APN（接入点名称）、IMSI（国际移动用户识别码）和存储在SIM卡上的UICC（通用集成电路卡）。Rob解释说，从网络角度来看，还需要和使用更多组件。需要无线电（BTS/nodeB）、归属位置寄存器（HLR）、服务GPRS支持节点（SGSN）、网关GPRS支持节点和DNS服务器来提供连接。

当手机发送数据包时，它首先会到达数据网络。数据包到达SGSN/S-GW并进行身份验证（HLR/HSS）。成功验证后，设备将解析APN名称（使用DNS）。然后流量被发送到网关，网关后面的一切都是纯TCP/IP。

Rob解释说，为了确保所有设备都可以使用自己的隧道，创建了GPRS隧道协议，允许设备拥有自己的GPRS隧道。该协议（GTPv0 GPRS、GTPv1 GPRS/UMTS、GTPv2 LTE）基于UDP。GTP规范可以在http://www.3gpp.org/DynaReport/29060.htm找到

当电信公司被黑客攻击时，GPRS协议中的许多字段可能对黑客很有价值。IMSI可能很有价值，APN（如果是隐藏的）以及其他一些信息，如MCC、MNC、LAC、CI和IMEI。

漫游移动数据

移动漫游的设置与国内设置非常相似。设备首先连接到本地网络，本地SGSN将连接到本国的HLR以验证设备。验证后，流量被发送到本国的网关…为了实现这一点，运营商使用GRX（GPRS漫游交换）。GRX是基于GSMA的概念，但应该与网络的其余部分分段/隔离。Stephen继续说，要理解访问GRX流量为什么对间谍机构有吸引力，我们需要看看GTP流量的样子以及数据包内部有什么。

当前的大多数网络分析器并不真正理解GTP（除了电信专用的分析器），因此Wesley（KPN Cert团队的成员之一）编写了一个脚本来剥离GTP头部并剖析流量。该脚本识别链路层头部，检测VLAN标签，检查IP/UDP头部等…基本上允许研究人员将剥离后的PCAP文件加载到NetworkMiner（http://www.netresec.com/?page=NetworkMiner）中并检查实际的GTP流量内容。这也意味着您可以看到所有明文流量（包括凭据等）。能够访问GRX流量显然对间谍机构非常有价值。

此外，由于GTP头部包含位置信息，间谍可以利用流量收集某人的位置信息。www.numberingplans.com是一个允许您分析IMEI号码的网站，包括显示有关设备的信息。http://unwiredlabs.com/api可用于获取位置信息。

简而言之，访问GRX流量是一件大事，通常是间谍和攻击者的明显目标。

访问GRX网络？

Stephen想知道，如果您不是运营商/电信公司，获取GRX访问权限有多容易。为了确定其难易程度，他们使用了"杀伤链"方法，这是一种典型的渗透测试方法。他们通过查看GRX BGP路由表（MNO）开始了审计，并识别了4.8K个子网（320K IP地址）。接下来，他们对所有IP执行了"masscan”（有限端口扫描），并使用zmap执行了GTP ping（UDP 2152, 2123），从而发现了所有启用GTP的设备。接下来，他们使用SGSNEMU（OpenGGSN的一部分）尝试连接到GGSN，执行ping请求，创建PDP上下文，并将数据包转发到Gn/Gp接口上的连接。

接下来，他们尝试发现各个电信公司使用的DNS服务器，GRX使用这些服务器来解析APN以建立GTP隧道。大多数运营商似乎（主要）运行Bind和Microsoft DNS，其中一些发现的Bind版本似乎相当旧，容易受到DoS攻击。

此外，他们对网络内的SMTP服务器进行了扫描，并发现了各种各样的服务器（Exim、Microsoft、Sendmail、qmail等）。目前尚不清楚为什么这些SMTP服务器存在于网络上。接下来，他们执行了FTP扫描、Telnet扫描、SMB扫描、SNMP探测等…并且他们检测到了各种服务器和守护程序的旧版本和易受攻击版本。换句话说，GRX网络不仅包含GRX相关设备。简而言之，它似乎根本不是一个专用/隔离的网络。

更糟糕的是，在42K个GRX活动主机中，来自15个运营商的5.5K台主机可以从互联网访问。因此，如果连接到互联网的易受攻击的机器中的任何一台被攻陷，它可能被用来进入GRX网络。首先，发现的任何设备都不应该可以从互联网访问。

回到Belgacom黑客攻击事件，似乎该漏洞是基于对管理员的直接攻击，而不是通过入侵外部机器。这可能意味着Belgacom没有任何暴露的系统，暴露的Belgacom系统（如果有的话）保护得很好，或者通过黑客攻击易受攻击的服务器可能获得的访问类型太有限。通过攻击管理员，黑客将立即获得对更多内部系统的访问权限。

GRX流量绝对有趣。它包含关于您是谁、您在哪里以及您在做什么的信息。它本应与其他网络隔离，但事实并非如此。GRX流量绝对对攻击者和间谍机构有吸引力。为了防止问题，运营商可以：

从BGP表中删除GRX前缀
使用BGP身份验证
配置路由器仅从具有漫游协议的特定AS号码导入特定前缀
执行入口过滤（BGP会话，阻止伪造的IP地址，允许GTP、DNS、ICMP…基本上应用"最小可能权限"访问列表）

关于演讲者

Stephen Kho是荷兰最大电信提供商KPN的CISO团队内的渗透测试员。他担任专业渗透测试员超过10年，在网络基础设施、VoIP、ICS/SCADA和Web应用程序等多个领域的安全测试方面拥有经验。他曾在2009年伦敦UC Expo上发表了题为"保护统一通信 - 漏洞分析和最佳实践"的技术简报。最近，他一直活跃于3G和4G移动通信安全测试领域，这项工作导致了他在OHM 2013安全会议上共同撰写和发表了题为"4G LTE安全 - 黑客知道什么而不想让您知道？“的演讲。Stephen目前的研究重点是GRX（GPRS漫游交换）网络安全领域。

Rob Kuiters在荷兰最大电信提供商KPN的CISO团队担任事件响应处理员。他从荷兰GSM的早期开始就参与移动网络。2007年，他加入KPN-CERT担任技术移动安全专家。Rob工作的主要重点目前仍在移动网络领域。他对新4G移动网络的研究为他在OHM 2013安全会议上共同撰写和发表的演讲"4G LTE安全 - 黑客知道什么而不想让您知道？“做出了贡献。他目前研究的主要领域是GRX（GPRS漫游交换）和信令网络安全。