0·Bytes·1
[ 👇 краткое введение для новичков ]
Да многие говорят: "ss7 устарел", хотя на практике он используется все довольно часто.
В особенности в странах снг, впрочем, не только в них. По прогнозам, объем мирового рынка SS7 достигнет 597 млн долларов США к 2028 году по сравнению с 531,2 млн долларов США в 2021 году при среднегодовом темпе роста 1,7% в период с 2022 по 2028 год.
Да и вообще он все еще в расцвете сил (так сказать) , во много регионах Европы даже в азии.
Вот более подробный матерьял про рынок ss7 : тык
По это причине будет резонно поговорить именно о нем его уязвимостях, в частности перехвате IMSI и dos атаках.🎯
Теперь следует поговорить про сам атаки на его уязвимости
Первое о чем я хочу рассказать это что-то вроде прослушивания 👂
Ибо злоумышленник может подслушивать данные абонента, отправлять/изменять текстовые сообщения жертве, действуя как MiTM. При этом жертва совершенно не подозревает об атаке , если кратко (подробнее будет в одной из статей ниже в архиве) и в посте в последствии.
Злоумышленник устанавливает мост между двумя вызывающими сторонами и направляет все звонки в свою систему мониторинга. Для этого используются MAP сообщения и функция переадресации вызовов.
Целевой пользователь обычно не знает об этой атаке. А злоумышленник может направить вызовы жертвы в систему мониторинга на уровне MAP-сообщений SS7.
Одной из причин этого , является отсутствие шифрования в сети что "на руку " для этих атак.
Еще есть атаки когда при атаке выдается MSC. Целью является получение текстовых сообщений или информации о банковском счете жертвы и подобные другие атаки. USSD используются для получения инфы к примеру банка . Счет жертвы может быть незаконно присвоен к примеру.
Так же есть DOS атаки 💣
Основным мотивом DOS является отказ в предоставлении услуг определенному абоненту.
Когда пользователь получает информацию о новое местоположение и регистрируется в последнем MSC/VLR, он сначала делает запрос на обновление MAP в HLR. После проверки полученного HLR выдает команду ISD новому MSC/VLR и DSD ,CL а так же нашему старым MSC/VLR .
Делая подобное, злоумышленник может изменить разрешенные услуги жертвы, например, запретить абоненту совершать телефонные звонки, отправлять SMS, или вообще удалить его из подключенного VLR абонента.
Это кажется не таким вредным, но может помочь более сложным атакам после 🫥
Так же не редкость какие-либо атаки по местоположению.
Злоумышленник может использовать либо MAP и ATI либо запросы сообщений PSI для отслеживания лактации.
Теперь поговрим про 4g или LTE 🔑
Все еще существуют некоторые уязвимости и проблемы в системе безопасности LTE, в частности на уровне MAC.
Плоская IP-архитектура сетей 3GPP LTE приводит к увеличению рисков безопасности, таких как уязвимость к атакам внедрения, модификации, подслушивания(типо тех атак, что были описаны выше).
Установлено, что архитектура LTE более уязвима к традиционным вредоносным атакам, таких как подмена IP-адреса, DoS-атаки, вирусы, черви, спам-письма и звонки, и так далее. 🩸
Есть еще несколько потенциальных слабостей, вызванных базовыми станциями, существующими в системах LTE.
Сеть all-IP предоставляет злоумышленникам прямой путь к базовым станциям.
Поскольку MME управляет многочисленными eNBs в плоской архитектуре LTE. Как только противник компрометирует базовую станцию, он может подвергнуть опасности всю сеть из-за IP-природы сетей LTE.
Более того, из-за внедрения небольших и недорогих базовых станций, HeNBs, которые легко получить злоумышленнику, он может таким образом создать свою собственную неавторизованную версию.
Используя неавторизованную базовую станцию, злоумышленник может выдать себя за настоящую базовую станцию, чтобы переманить законного пользователя. Кроме того, он может замаскировать легитимного пользователя для установления соединения с подлинной базовой станцией.
Архитектура LTE может породить некоторые новые проблемы в процедурах аутентификации при переходе.
Из-за внедрения простой базовой станции, HeNB, существует несколько различных сценариев мобильности в сетях LTE, когда UE перемещается от eNB/HeNB к новой HeNB/eNB.
В EPS AKA отсутствует защита конфиденциальности .
Существует множество случаев, приводящих к раскрытию IMSI.
Например, когда UE регистрируется в сети в первый раз или с текущим MME невозможно связаться, или IMSI не может быть получен из-за возможного сбоя синхронизации при роуминге к новому MME, текущий MME или новый
MME запрашивает IMSI UE, и таким образом, UE должно передать IMSI в открытом виде.
Раскрытие IMSI может повлечь за собой серьезные проблемы с безопасностью , доходя даже до перехвата смс.
Как только IMSI будет получен, злоумышленник может получить информацию об абоненте, местоположении и даже информацию о разговоре, а затем замаскировать настоящий UE и запустить другие атаки, такие как DoS-атаки, чтобы разрушить сеть.
Пример различных атак:
Отслеживание на основе C-RNTI
Поскольку C-RNTI в управляющем сигнале L1 можно прочитать, злоумышленник может узнать, продолжает ли UE использовать C-RNTI.
Он может узнать, находится ли UE, использующее C-RNTI, все еще, в той же соте или нет, а также может связать C-RNTI и соответствующие сообщения, если они не зашифрованы.
Использование одной и той же CRNTI в пределах одной соты, предоставляет информацию о присутствии UE для злоумышленника.
Если он может сопоставить сигнализацию с услугами, где идентификатор пользователя виден, он может сопоставить идентификационные данные на уровне соты с идентификационными данными на уровне услуг пользователя. В процессе хэндовера новый CRNTI назначается UE с помощью команды хэндовера.
Это означает, что злоумышленник может связать новый C-RNTI в сообщении Handover Command и старый C-RNTI в управляющем сигнале L1, если только само назначение C-RNTI не защищено конфиденциальностью. Это позволяет отслеживать UE в нескольких сотах.
Идентификация сообщений на основе небольших различий в длине сообщений не является очевидной атакой , да и провести ее сложновато и может даже невозможно💧 . Тем не мнение я решила упомянуть это 🙃🧩
Атака на ложный отчет о состоянии буфера 🍩
Отчет о состоянии буфера используется в качестве входной информации для алгоритмов планирования пакетов, распределения нагрузки и управления допуском.
Злоумышленник может изменить поведение этих алгоритмов, отправляя ложные отчеты о состоянии буфера от имени другого нормального UE.
Хотя влияние этой угрозы зависит от алгоритмов реализации, можно проиллюстрировать несколько возможных атак.
Первая атака заключается в краже пропускной способности путем изменения поведения планирования пакетов.
Используя C-RNTI другого UE, атакующий может отправлять отчеты о состоянии буфера от имени других UE. Это может заставить сеть поверить, что другим UE нечего передавать (буферы пусты). В результате алгоритм планирования пакетов в eNB не выделяет/меньше ресурсов этим другим UE, а больше ресурсов выделяет злонамеренному UE .
Вторая атака заключается в изменении поведение алгоритмов балансировки нагрузки/контроля доступа в eNBs.
От имени реальных UE атакующий утверждает, что у них больше данных в буферах отправки, чем на самом деле буферизовано в них.
Множество таких отчетов о состоянии буфера от различных UEs, заставляют сеть поверить, что существует нагрузка на этой ячейке.
Следовательно, новые прибывающие UE не могут быть приняты этой ячейкой.
Эти виды атак трудно обнаружить , они снижают пропускную способность/возможности системы.
Атака может даже считаться более вредной, чем глушения, поскольку для ее выполнения требуется меньше энергии.
Но на практике злонамеренному UE(или злоумышленику) трудно осуществить такую атаку.
Когда UE общается с обслуживающей его eNB, поддельный отчет буфера будет сталкиваться с пакетом от нормального UE.
Но, как обсуждалось выше, злоумышленник может внедрить поддельный отчет о состоянии буфера когда UE входит в длительный период DRX. Этот отчет не вызовет никакого конфликта с управляющим сигналом от обычного UE.
Еще пример атаки другой⚡️
Если плоскость пользователя (RLC, PDCP) или плоскость управления (RRC, NAS) номера последовательности пакетов непрерывны до и после хэндовера, злоумышленник может угадать отображение между старыми и новыми C-RNTI, основываясь на непрерывности номеров последовательности пакетов.
Чем больше битов используется для номера последовательности на радиоканале, тем выше вероятность эного.
Это особенно актуально для EUTRAN и подобных сетей с высокой пропускной способностью ,поскольку порядковый номер должен быть длиннее для правильной работы ARQ.
Этот тип отслеживания UE также применим к переходам состояния между холостым и активным, если конечно номера последовательности сохраняются непрерывными.
Злоумышленник радиоканала может отслеживать UE на основе непрерывных порядковых номеров пакетов в потоках пакетов.
Эта атака представляется особенно интересной для E-UTRAN, поскольку UE будут находиться в активном состоянии в течение длительных периодов времени.
Также ожидается, что UE будут получать больше пакетов из сети в E-UTRAN, чем например в UTRAN.
Это была теоретическая часть серии посто про ss7 для того чтобы вы понимали какие бывают атаки ,и как они работают . В бедующем я расскажу про более практическое применение этого.📱📡
Для более подробных матерьялов об атаках , архитектуре защиты , и многое другое смотре статьи в архиве ниже:
🇬🇧
[ 👇 a quick introduction for novices ]
Yes many people say "ss7 is obsolete" although in practice it is used all quite often.
Especially in cis countries, however, not only them. The global SS7 market is projected to reach $597 million by 2028, up from $531.2 million in 2021 at a compound annual growth rate of 1.7% from 2022 to 2028.
And it's still in its prime (so to speak) , in many regions of Europe, even in Asia.
Here is a more detailed article about the ss7 market: link
For this reason it would be reasonable to talk about his vulnerabilities, especially the IMSI hijacking and dos attacks. 🎯
Now we should talk about the attack itself on its vulnerabilities
The first thing I want to talk about is something like eavesdropping 👂
For the attacker can eavesdrop on the subscriber's data, send/change text messages to the victim, acting like a MiTM . The victim is completely unaware of the attack, in short (more details will be in one of the articles below in the archive) and in a post in the aftermath .
The attacker establishes a bridge between the two callers and routes all calls to his monitoring system. This uses MAP messages and the call forwarding feature.
The target user is usually unaware of this attack. And the attacker can route the victim's calls to the monitoring system at the level of MAP messages SS7.
One reason for this, is the lack of encryption on the network which is "handy" for these attacks.
Then there are attacks where the attack is performed with the MSC. The goal is to obtain text messages or bank account information from the victim and other similar attacks. USSDs are used to obtain information about a bank for example. The account of the victim can be misappropriated for example.
There are also DOS attacks 💣
The main motive of DOS is to deny service to a certain subscriber.
When a user receives information about a new location and registers in the last MSC/VLR, it first makes a request to update the MAP in the HLR. After checking the received HLR gives ISD command to the new MSC/VLR and DSD, CL as well as to our old MSC/VLR.
By doing this, the attacker can change the allowed services of the victim, for example, prohibit the subscriber to make phone calls, send SMS, or even remove him from the connected VLR subscriber.
This does not seem as damaging, but can help more sophisticated attacks afterwards. 🫥
Location-based attacks are also not uncommon.
An attacker can use either MAP and ATI or PSI message requests to track location.
Now let's talk about 4g or LTE 🔑
There are still some vulnerabilities and issues in LTE security, particularly at the MAC level.
The flat IP architecture of 3GPP LTE networks leads to increased security risks such as vulnerability to infiltration, modification, eavesdropping attacks (like the attacks described above).
The LTE architecture has been found to be more vulnerable to traditional malicious attacks such as IP spoofing, DoS attacks, viruses, worms, spam emails and calls, and so on. 🩸
There are several other potential weaknesses caused by the base stations that exist in LTE systems.
The all-IP network gives attackers a direct path to the base stations.
Since the MME manages numerous eNBs in the flat LTE architecture. Once an adversary compromises a base station, it can expose the entire network because of the IP nature of LTE networks.
Moreover, because of the introduction of small and inexpensive base stations, HeNBs, which are easy for an attacker to obtain, he can thus create his own rogue version.
Using a rogue base station, the attacker can impersonate a real base station in order to poach a legitimate user. He can also disguise a legitimate user to establish a connection with a genuine base station.
The LTE architecture may create some new problems in the authentication procedures for switching.
Because of the introduction of a simple base station, HeNB, there are several different mobility scenarios in LTE networks when a UE moves from an eNB/HeNB to a new HeNB/eNB.
There is no privacy protection in EPS AKA .
There are many instances that lead to IMSI disclosure.
For example, when a UE registers on the network for the first time, or the current MME cannot be contacted, or the IMSI cannot be obtained due to a possible synchronization failure while roaming to the new MME, the current MME or new MME requests the IMSI of the UE, and thus the UE must transmit the IMSI in plaintext.
Disclosure of the IMSI can lead to serious security problems, going as far as texting interception.
Once the IMSI is obtained, an attacker can get the subscriber, location, and even conversation information, and then disguise the real UE and launch other attacks, such as DoS attacks, to destroy the network.
Example of different attacks:
C-RNTI-based tracking.
Since the C-RNTI in the L1 control signal can be read, an attacker can find out if the UE continues to use C-RNTI.
He can find out whether the UE using the C-RNTI is still in the same cell or not, and can also associate the C-RNTI and the corresponding messages if they are not encrypted.
Using the same CRNTI within the same cell, provides information about the presence of the UE to an attacker.
If he can map the signaling to services where the user ID is visible, he can map the identity at the cellular level to the identity at the user's service level. During the handover process, a new CRNTI is assigned to the UE using the handover command.
This means that an attacker can associate the new C-RNTI in the Handover Command message and the old C-RNTI in the L1 control signal, unless the C-RNTI assignment itself is privacy-protected. This allows UEs to be tracked across multiple cells.
Message identification based on small differences in message lengths is not an obvious attack, and it is difficult and maybe even impossible💧 . Nevertheless, I decided to mention it 🙃🧩
Attack on false buffer status report 🍩
The buffer state report is used as input to the packet scheduling, load balancing, and tolerance management algorithms.
An attacker can modify the behavior of these algorithms by sending false buffer state reports on behalf of another normal UE.
Although the impact of this threat depends on the implementation algorithms, several possible attacks can be illustrated.
The first attack is to steal bandwidth by changing the packet scheduling behavior.
Using the C-RNTI of another UE, the attacker can send buffer status reports on behalf of other UEs. This can make the network believe that the other UEs have nothing to transmit (buffers are empty). As a result, the packet scheduling algorithm in eNB does not allocate/allocate less resources to these other UEs, but allocates more resources to the malicious UE .
The second attack is to change the behavior of load balancing/access control algorithms in eNBs.
On behalf of real UEs, the attacker claims that they have more data in their sending buffers than is actually buffered in them.
Multiple such buffer status reports from various UEs, lead the network to believe that there is a load on that cell.
Consequently, new incoming UEs cannot be accepted by this cell.
These types of attacks are difficult to detect , they reduce the throughput/capacity of the system.
The attack may even be considered more harmful than jamming, since it requires less energy to perform. 💥
But in practice, it is difficult for a malicious UE(or a malicious user) to execute such an attack.
When a UE communicates with the eNB serving it, a fake buffer report will collide with a packet from a normal UE.
But, as discussed above, an attacker can inject a fake buffer report when the UE enters a long DRX period. This report would not cause any conflict with the control signal from the normal UE.
Another example of a different attack⚡️
If the user plane (RLC, PDCP) or control plane (RRC, NAS) packet sequence numbers are continuous before and after handover, an attacker can guess the mapping between old and new C-RNTIs based on the continuity of packet sequence numbers.
The more bits used for the sequence number on the radio channel, the higher the probability of an enogo.
This is especially true for EUTRAN and similar high bandwidth networks since the sequence number must be longer for ARQ to work properly.
This type of UE tracking is also applicable to state transitions between idle and active, as long as the sequence numbers are kept continuous of course.
A radio link attacker can track UEs based on continuous sequence numbers of packets in packet streams.
This attack seems particularly interesting for E-UTRAN because UEs will be active for long periods of time.
It is also expected that UEs will receive more packets from the network in E-UTRAN than in UTRAN, for example.
This was just a theoretical part of the ss7 series to give you an idea about the attacks and how they work. In the future I will describe more practical applications.
For more details about the attacks, defense architecture, and more, read the articles attached below: