一、前言
在這篇文章中,我們將向讀者介紹如何使用Attify ZigBee框架,對基于ZigBee的IoT(物聯網)設備和智能設備進行滲透測試并發現漏洞。
二、關于Zigbee
ZigBee是目前IoT設備中最常見的通信協議之一。自2004年誕生以來,ZigBee迅速普及,已經成為在自動化或短距離無線控制場景中最常用的協議之一。
ZigBee具備一些附加功能,比如低功耗、原生支持網狀網絡以及低帶寬占用率等,這些優點進一步推動了這項新技術的普及。
到目前為止,ZigBee已經成為IoT設備中最常用的協議之一,廣泛應用在包括三星智能設備以及飛利浦的Hue智能照明設備在內的許多熱門產品中。
ZigBee聯盟負責ZigBee設備的認證,同時也負責維護經過聯盟認證的產品列表。
人們對ZigBee的安全普遍缺乏意識,因此我們經常會碰到某些缺乏最基本安全防護的ZigBee設備。這些設備在很多方面存在漏洞,比如攻擊者可以嗅探通信傳輸中的敏感信息,也可以奪取關鍵基礎設施的控制權。
我們希望通過這篇文章以及其他IoT安全產品(比如這個工具包),能夠提高IoT產品的安全性,使IoT生態系統更加健康。
三、Attify Zigbee框架
Attify ZigBee框架(以下簡稱AZF)是一款具備GUI操作界面的產品,對RiverLoop Security出品的KillerBee工具進行了封裝,可以讓初涉IoT以及無線電安全領域的初學者更加輕松掌握KillerBee工具的整個使用流程。隨著時間的推移,我們計劃在AZF中添加更多的功能,擴展整個框架,使其能夠更加高效識別ZigBee通信中存在的漏洞。
在開始使用AZF之前,首先你需要克隆GitHub上的AZF代碼倉庫,運行其中的installer.sh開始安裝過程。
這個安裝腳本同時還將安裝KillerBee工具,順便解決工具運行所需要的其他依賴項。
四、設置AZF
要運行這個工具,我們需要進入AZF所在文件夾,運行如下命令,啟動AZF。
python main.py
你可以對AZF進行配置,定制KillerBee工具包中的哪些工具可以在AZF的GUI界面中顯示。你可以在“Settings”菜單中,選擇需要顯示的工具列表,也可以通過Ctrl+S彈出配置菜單進行定制。
KillerBee框架由幾種工具組成,但這些工具沒有全部包含在AZF中。目前來說,AZF已經包含ZigBee滲透測試所需要用到的必備工具,在將來發布的新版中,會將其他工具添加進來。
你可以參考此鏈接,了解KillerBee工具包的更多功能。
五、開始工作
我們認為最好是通過具體案例來介紹工具的使用方法。因此,本文中我們將使用AZF,黑掉某個IoT智能燈泡,在這個過程中,向大家展示AZF的使用方法。
在開始工作前,你需要準備如下環境:
1、已刷入KillerBee的Atmel RzRaven U盤。你可以參考KillerBee在GitHub上的說明,按步驟完成刷入過程,也可以到這里購買一個已刷好的RzRaven U盤。
2、存在漏洞的IoT設備。
3、已安裝AZF的虛擬機或系統。
環境準備完畢后,你可以將Atmel RzRaven U盤插入系統中并啟動工具。對于本文的演示案例來說,我們需要使用以下工具:
1、Zbid
2、Zbstumbler
3、Zbdump
4、Zbreplay
在AZF的工具配置菜單中選擇以上工具,點擊“save configuration”,保存配置。
六、查找Atmel RZRaven U盤
插入RZRaven U盤后,你可以在zbid選項卡中檢測到U盤的插入信息,如下所示:
現在,我們的RzRave U盤已插入,并被AZF成功識別,我們所需要做的就是找到目標設備所用的信道(channel),利用該信息進一步對設備進行滲透測試。
七、查找目標設備的信道
ZigBee總共使用了2.4GHz頻帶中的16個信道用于通信。作為一名安全研究員,我們最初的目標是確定目標設備正在使用的具體信道。我們可以使用zbstumbler工具完成這一任務。
Zbstumbler是專門針對ZigBee設備的網絡發現工具,它的工作原理是通過發送信標請求幀,根據收到的響應信標幀判斷設備的存在情況。Zbstumbler每隔2秒變換一次信道,自動進行信標幀的發送動作。通過這一過程,我們就可以發現這16個信道中存在的任何ZigBee設備。
如果你已經知道目標設備在ZigBee通信中可能使用的具體信道,你可以單獨指定這個信道來發送和接受信標幀。
如上圖所示,zbstumbler成功識別出信道20上的ZigBee設備。
八、導出Zigbee通信數據包
成功識別設備使用的信道后,下一步工作是捕獲設備發送和接收的數據包。
如果你在安全領域是個新手,我必須向你強調通信數據包分析的重要性,它在許多場合下都能幫助我們發現許多有趣的信息。在本例中,我們會使用某種方法捕捉通信報文,重放相同的數據包,通過數據包控制目標設備的行為。
在使用zbdump工具捕獲數據包之前,我們需要設置以下參數值:
1、接口(Interface):該值可從zbid中獲得。
2、信道號(Channel):我們之前使用zbstumbler獲得的信道號。
3、個數(Count):這是個可選項,用來設置我們想要捕獲的數據包個數。本例中,我們設置該值為100。
4、輸出文件名(Output File):目標文件名,用來保存已捕獲的數據包。本例中,我們將所
現在我們已經輸入了所有的參數,一旦我們點擊“Start Capture”按鈕,我們就能開始捕獲通信數據包(最多捕獲100個),并保存到輸出文件中。
本文案例中,在點擊“Start Capture”按鈕按鈕后,我們將通過移動應用程序打開和關閉燈泡、更換燈光顏色,并執行其他操作。之后我們停止抓包,將嗅探的數據包保存到“IoTbulb.pcap”文件中。
九、通過重放Zigbee數據包控制IoT設備
經過上一步,我們已經成功捕獲了通信數據包,接下來我們可以重放數據包,開展針對IoT設備的重放攻擊。
抓包文件全部保存在AZF上一層文件夾中的pcap目錄。我們可以通過zbreplay菜單,選擇pcap目錄中的pcap文件。
選擇我們在上一步驟中生成的pcap文件,選擇正確的信道,然后選擇重放攻擊所用的延遲時間。
這一切配置完畢后,點擊“replay”按鈕,開始重放數據包。攻擊完成后,你可以看到燈泡的顏色會發生變化,這些行為與我們之前在抓包過程中看到的行為一致。
因此,在這個案例中,IoT設備不能防御重放攻擊,這也是我們攻擊能夠奏效的原因。
重放攻擊目前仍然是IoT設備中最為常見的基于無線電的漏洞之一,但這種漏洞對你來說只是個開頭,還有很多其他漏洞可待挖掘。
捕獲的數據包存為“IoTbulb.pcap”文件。
| 
