Bo0oM - Deanonymization and total espionage (ZeroNights, 2014)
Атаки с использованием сетей ОКС-7 - Zeronights...
Transcript of Атаки с использованием сетей ОКС-7 - Zeronights...
![Page 1: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/1.jpg)
Атаки с использованием
сетей ОКС-7
Мифы. Реальность. Защитные Меры
Ермаков Александр
![Page 2: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/2.jpg)
Сети ОКС-7
Сети ОКС-7
Ядро сети оператора связи
![Page 3: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/3.jpg)
Сети ОКС-7
Для хакера
![Page 4: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/4.jpg)
Сети ОКС-7
Для хакера
![Page 5: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/5.jpg)
Сети ОКС-7
Для хакера
![Page 6: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/6.jpg)
Сети ОКС-7
Для хакера
![Page 7: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/7.jpg)
Сети ОКС-7
Для хакера
![Page 8: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/8.jpg)
Сети ОКС-7
Как получить доступ
Для атак необходимо подключение к провайдеру SCCP-сообщений:
Варианты получения доступа:
1. Быть оператором связи с собственной номерной емкостью
2. Взломать оператора связи/подговорить сотрудника
3. Договориться с оператором связи (лизинг GT)
![Page 9: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/9.jpg)
Что говорит трафик?
![Page 10: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/10.jpg)
Рост
>10 раз
за 5 лет
Сети ОКС-7
Что показывает реальный трафик
![Page 11: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/11.jpg)
Классификация атак по сложности фильтрации*
• САТ1
• САТ2
• САТ3• CAT4
• CAT5
*Классификация GSMA
Атаки. Классификация
![Page 12: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/12.jpg)
Сети ОКС-7
Классификация атак по сложности фильтрации
САТ1 – Внутрисетевые запросы
![Page 13: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/13.jpg)
Сети ОКС-7
Классификация атак по сложности фильтрации
САТ1 – Внутрисетевые запросы
Может быть заблокировано на большинстве STP • анализ поля opCode (тип запроса)
![Page 14: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/14.jpg)
Сети ОКС-7
Классификация атак по сложности фильтрации
САТ2 - Направляются только домашней сетью абонента
![Page 15: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/15.jpg)
Сети ОКС-7
Классификация атак по сложности фильтрации
САТ2 – Направляются только домашней сетью абонента
Нетиповая функция STP, может потребовать покупки лицензийАнализ поля opCode и идентификаторов абонента – IMSI/MSISDN
Альтернатива: мониторинг и ручная блокировка
![Page 16: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/16.jpg)
Сети ОКС-7
Классификация атак по сложности фильтрации
САТ3 - Направляются сетью, в которой обслуживается абонент
![Page 17: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/17.jpg)
Сети ОКС-7
Классификация атак по сложности фильтрации
САТ2 – Направляются сетью, в которой обслуживается абонент
Дополнительные дорогостоящие функции STP, предоставляется не всеми вендорамиРешения SS7 FW
Требует анализа текущего статуса абонента и информации об обслуживающей сети
Альтернатива: мониторинг и ручная блокировка (требуется разработка/покупка решения мониторингу атак)
![Page 18: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/18.jpg)
Классификация по целям атакующих. Определение местоположения
![Page 19: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/19.jpg)
Классификация по целям атакующих. Определение местоположения
![Page 20: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/20.jpg)
Классификация по целям атакующихПерехваты SMS и голосовых вызовов
![Page 21: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/21.jpg)
Классификация по целям атакующихПерехваты SMS и голосовых вызовов
![Page 22: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/22.jpg)
98% неавторизованного трафика – запросы cat1
Сети ОКС-7
Что показывает реальный трафик
anyTimeInterrogation69%
sendRoutingInfo29%
Other2%
Полная активация HR и закрытие запросов cat1 снизило долю аномалий cat2 в несколько раз
![Page 23: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/23.jpg)
Из оставшихся 2% 1/3 –аномальный трафик, требующий более сложного анализа
Сети ОКС-7
Что показывает реальный трафик
Send Routing Info For LCS
Provide Subscriber
Info
sendIMSI21%
USSDNotify8%
USSD Request
Update Location
![Page 24: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/24.jpg)
Не весть аномальный трафик – это атаки на абонентов/сеть.
• Активация функций по всей нумерации
• Неверные параметры в пакете => ошибка в получателе (NAI/NP)
• Казахстан (коды +77, +76)
• MNP
![Page 25: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/25.jpg)
• Может ли абонент сам что-то сделать?
• Может!
![Page 26: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/26.jpg)
![Page 27: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/27.jpg)
Спасибо!
Вопросы?
![Page 28: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/28.jpg)
• Документы GSMA:• FS.07 SS7 and SIGTRAN Network Security,• FS.11 SS7 Interconnect Security Monitoring Guidelines,• IR.82,• IR.71 SMS SS7 Fraud Prevention v5.0,• IR.70 SMS SS7 Fraud v4.0.
• ITU Workshop on “SS7 Security” Geneva, Switzerland, 29 June 2016
• Документы по внедрению HR 3GPP TR 23.840 V7.0.0
• Массовая настройка мониторинга и активация доп. фич на оборудовании,
• Новый рынок решений SS7 FW, есть коммерческие инсталляции
коммерческие решения по фильтрации на базе STP, так и выделенные решения SS7 FW,
GSMA были разработаны рекомендации по фильтрации и мониторингу аномального трафика
Атаки. КлассификацияМеждународные документы, проведенные работы
![Page 29: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/29.jpg)
Особенности
Сети ОКС-7
Что показывает реальный трафик
– Category 4 (SMS)
MT FSM
Превентивно –запрос на разработку функции, дополнительные внешние решения (SS7 FW)Детективно – самостоятельные разработки, дополнительные внешние решения
Реализовано у 4 основных операторов СПС России.
![Page 30: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/30.jpg)
ОКС-7. Сети и протоколы
Источник https://www.dialogic.com
![Page 31: Атаки с использованием сетей ОКС-7 - Zeronights …...•Документы GSMA: •FS.07 SS7 and SIGTRAN Network Security, •FS.11 SS7 Interconnect Security](https://reader033.fdocuments.net/reader033/viewer/2022042414/5f2e096150cd5d1709259fa6/html5/thumbnails/31.jpg)
ОКС-7. Сети и протоколыСреди множества протоколов ОКС-7 для атак используется стек на базе
протокола MAP
Источник https://www.dialogic.com