HITB2014AMS – 第2天 – 为女王陛下秘密服务：GRX与间谍机构

去年，Belgacom被一家情报机构（可能是GCHQ？）入侵，Rob说。“这次入侵有什么有趣之处？他们为什么入侵Belgacom？类似入侵的目的可能是什么？”在回答这些问题之前，我们需要快速了解移动网络的工作原理以及移动数据如何在网络中传输。

移动数据

在移动数据网络中，需要知道您的位置。KPN在全国约有5000个小区，每个站点都有一个小区标识符（CI）。为了将它们分组，使用路由区域代码（RAC）。每个国家都有自己唯一的号码。例如，MCC 204对应荷兰。此外，每个提供商也有一个唯一的号码。

要访问网络，您需要一个接入点名称（APN）、国际移动用户标识（IMSI）和通用集成电路卡（UICC），后者存储在SIM卡上。从网络角度来看，Rob解释说，还需要和使用更多组件。需要无线电（BTS/nodeB）、归属位置寄存器（HLR）、服务GPRS支持节点（SGSN）、网关GPRS支持节点和DNS服务器来提供连接。

当手机发送数据包时，它首先会击中数据网络。数据包到达SGSN/S-GW并进行身份验证（通过HLR/HSS）。成功验证后，设备将解析APN名称（使用DNS）。然后流量被发送到网关，网关之后的一切都是纯TCP/IP。

为了确保所有设备可以使用自己的隧道，创建了GPRS隧道协议，Rob解释说，允许设备拥有自己的GPRS隧道。该协议（GTPv0 GPRS、GTPv1 GPRS/UMTS、GTPv2 LTE）基于UDP。GTP规范可以在http://www.3gpp.org/DynaReport/29060.htm找到。

当电信公司被入侵时，GPRS协议中的一些字段可能对黑客感兴趣。IMSI可能很有趣，APN（如果隐藏）以及其他信息如MCC、MNC、LAC、CI和IMEI。

漫游移动数据

移动漫游的设置与国内设置非常相似。设备首先连接到本地网络，本地SGSN将连接到本国的HLR以验证设备。验证后，流量被发送到本国的网关……为了实现这一点，运营商使用GRX（GPRS漫游交换）。GRX是一个基于GSMA的概念，但应该与网络的其他部分分段/隔离。为了理解为什么访问GRX流量可能对间谍机构感兴趣，Stephen继续说，我们需要看看GTP流量的样子以及数据包内部有什么。

当前的大多数网络分析器并不真正理解GTP（除了电信专用的分析器），因此Wesley（KPN Cert团队的一员）编写了一个脚本来剥离GTP头并剖析流量。该脚本识别链路层头，检测VLAN标签，检查IP/UDP头等……基本上允许研究人员将剥离的PCAP文件加载到NetworkMiner（http://www.netresec.com/?page=NetworkMiner）中并检查实际的GTP流量内容。这也意味着您可以看到所有明文流量（包括凭据等）。能够访问GRX流量显然对间谍机构非常有价值。

此外，由于GTP头包含位置信息，间谍可以使用流量来收集某人的位置信息。www.numberingplans.com是一个网站，允许您分析IMEI号码，包括显示设备信息。http://unwiredlabs.com/api可用于获取位置信息。

简而言之，访问GRX流量是一件大事，也是间谍和攻击者的明显目标。

获取GRX网络访问权限？

Stephen想知道，如果您不是运营商/电信公司，获取GRX访问权限有多容易。为了确定其容易程度，他们使用了“杀伤链”方法，这是一种典型的渗透测试方法。他们通过查看GRX BGP路由表（MNO）开始审计，并识别了4.8K个子网（320K IP地址）。接下来，他们对所有IP执行了“masscan”（有限端口扫描），并使用zmap执行了GTP ping（UDP 2152、2123），从而发现所有启用GTP的设备。接下来，他们使用SGSNEMU（OpenGGSN的一部分）尝试连接到GGSN，执行ping请求，创建PDP上下文，并将数据包转发到Gn/Gp接口上的连接。

接下来，他们尝试发现各种电信公司使用的DNS服务器，GRX使用这些服务器来解析APN以建立GTP隧道。大多数运营商似乎运行（主要是）Bind和Microsoft DNS，其中一些发现的Bind版本似乎相当旧，容易受到DoS攻击。

此外，他们对网络内的SMTP服务器进行了扫描，并发现了各种各样的服务器（Exim、Microsoft、Sendmail、qmail等）。目前尚不清楚为什么这些SMTP服务器存在于网络上。接下来，他们执行了FTP扫描、Telnet扫描、SMB扫描、SNMP探测等……并检测到各种服务器和守护程序的旧版本和易受攻击版本。换句话说，GRX网络不仅包含GRX相关设备。简而言之，它似乎根本不是一个专用/隔离的网络。

更糟糕的是，在42K GRX活动主机中，来自15个运营商的5.5K主机可以从互联网访问。因此，如果连接到互联网的易受攻击机器之一被入侵，它可能被用来进入GRX网络。首先，发现的任何设备都不应该可以从互联网访问。

回到Belgacom入侵事件，似乎该漏洞是基于对管理员的直接攻击，而不是入侵外部机器。这可能意味着Belgacom没有任何暴露的系统，暴露的Belgacom系统（如果有）受到良好保护，或者通过入侵易受攻击服务器获得的访问类型可能太有限。通过攻击管理员，黑客将立即获得更多内部系统的访问权限。

GRX流量绝对有趣。它包含关于您是谁、您在哪里以及您做什么的信息。它应该与其他网络隔离，但事实并非如此。GRX流量绝对对攻击者和间谍机构感兴趣。为了防止问题，运营商可以：

• 从BGP表中删除GRX前缀
• 使用BGP身份验证
• 配置路由器仅从具有漫游协议的特定AS号码导入特定前缀
• 执行入口过滤（BGP会话，阻止欺骗IP地址，允许GTP、DNS、ICMP……基本上应用“最小可能权限”访问列表）

关于演讲者

Stephen Kho是荷兰最大电信提供商KPN的CISO团队内的渗透测试员。他担任专业渗透测试员超过10年，在网络基础设施、VoIP、ICS/SCADA和Web应用程序等多个领域拥有安全测试经验。他曾在2009年伦敦UC Expo上发表了题为“保护统一通信 – 漏洞分析和最佳实践”的技术简报。最近，他活跃于3G和4G移动通信安全测试领域，这项工作导致了在OHM 2013安全会议上的演讲“4G LTE安全 – 黑客知道什么而不想让您知道？”，他是合著者和演讲者。Stephen当前的研究重点是GRX（GPRS漫游交换）网络安全。

Rob Kuiters在荷兰最大电信提供商KPN的CISO团队中担任事件响应处理员。他从荷兰GSM的早期开始就参与移动网络。2007年，他加入KPN-CERT担任技术移动安全专家。Rob工作的主要重点目前仍在移动网络领域。他对新4G移动网络的研究贡献了在OHM 2013安全会议上的演讲“4G LTE安全 – 黑客知道什么而不想让您知道？”，他是合著者和演讲者。他当前研究的主要领域是GRX（GPRS漫游交换）和信令网络安全。

© 2014, Peter Van Eeckhoutte (corelanc0d3r)。保留所有权利。