SIM卡劫持攻击探索

渗透技巧 11个月前 admin
49 0 0

在这篇文章中,将深入研究一些与 SIM 卡相关的研究,其中将介绍一些可用的物理、软件和其他攻击途径。

仅使用电话号码进行攻击

考虑到 Facebook 数据泄露事件,们都知道这些信息将有助于构建一个可靠且有用的跳板来执行多种攻击,包括但不限于:

社会工程攻击 – 一种众所周知的技术,用于通过人际互动检索信息,攻击者在研究个人行为(在本例中是在网络上)后引导受害者泄露敏感信息。通常,受害者在被心理操纵策略欺骗后最终会泄露敏感信息。这可以通过一个(或多个)电话和/或短信来实现。这些攻击通常通过欺骗号码来执行,以便受害者将呼叫或短信发送者识别为合法的。

短信重新路由攻击 ——不久前,一位名为 Lucky225 的黑客强调了运营商的一个问题,该问题允许某人接收/访问发给另一个人的短信。不要与 SIM 卡交换 或 SMS 劫持相混淆,这一发现是由于 Sakari 平台中的一个错误而出现的。Sakari 是一家为企业提供 SMS 重新路由、SMS 营销和群发消息服务的贸易公司。显然,Sakari 平台缺乏双因素身份验证机制,使得 Lucky225 能够读取目标电话号码的所有短信。事实上,攻击者只需将受害者的电话号码添加到平台即可读取所有受害者的短信,并且只需几美元,他们就可以冒充所有者。老实说,直到看到这篇文章之前,并不知道此类攻击:https: //www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-网络号码 . 在好奇心的驱使下,尝试在 https://sakari.io 上创建一个帐户,但在这篇博文发表时,这已经不可能了。尽管事实上可能还有其他类似的公司,但 AT&T Verizon T-Mobile 等许多运营商已经弥补了这一漏洞。Sakari 还最终实现了多因素身份验证/验证解决方案。

SIM 交换 – 这是一种技术,不良行为者充当某个电话号码的所有者,并在虚假文件的帮助下操纵运营商,最终将所有权转移到新的 SIM 卡上,从而获得新的电话号码。此操作可能会导致账户被接管,或者在最坏的情况下导致非法金钱交易。    

SIM 劫持(SIM Jacker) – 这是 2019 年 宣布的漏洞 ,仍然影响许多 SIM 卡。该攻击涉及向受害者发送一条或多条短信,这些短信通过携带专门为攻击名为 S@T Browser(或其他)的 SIM 卡应用程序而设计的恶意指令,可能会触发 SIM 卡事件。结果,可以实现手持机(例如,移动电话)上的逻辑操作。花了一些时间研究这个问题以充分理解它,下面是在这段旅程中所理解的、成功完成的和没有做的总结。

 需要强调这样一个事实:在真实的电话系统 网络上执行测试需要许可证 。任何形式的未经请求的电话系统网络测试都是违法的。如果没有有效许可证,则不允许进行的测试范围包括涉及改变射频通道的测试、嗅探 电话系统 数据等。          
强烈建议您在进行任何类型的测试之前了解自己在做什么。不用说,这个博客也不纵容非法测试。

用户识别模块 (SIM)

SIM 卡(用户识别模块),也称为 UICC(通用集成电路卡),是一种小型计算机,尽管尺寸较大,但允许世界各地的用户之间进行非常快速且高效的无线通信。根据全球智能手机销量,下图足以让您了解当今使用了多少张 SIM 卡。

SIM 卡实际上是一台小型计算机,可以存储并管理各种数据。SIM 卡中存储的数据范围从身份验证密钥 (Ki)(用于对移动网络进行身份验证的 128 位值)到称为国际移动用户身份 (IMSI) 的唯一号码(64 位),该号码允许位于封闭蜂窝网络中的用户的识别。蜂窝网络由一个(或多个)蜂窝塔和/或基站收发站 (BTS) 组成,并允许语音和数据传输。有时,手机无线电信号覆盖范围可达 8 公里,具体取决于区域。

          

     

SIM卡劫持攻击探索

GSM 天线,英国。

          

     

SIM卡劫持攻击探索    

GSM 天线,意大利。

SIM 卡还可能包含电话联系人和其他用户特定数据。SIM 卡上还保存有 112、113 和/或 991 等紧急号码。

          

 

SIM卡劫持攻击探索

SUT 上存储的紧急号码。

因此,SIM 卡是生活在不同国家的数十亿人口袋中的一台计算机,根据管辖权,通信监管机构(例如 Ofcom 联邦通信委员会 AGCOM )充当主控机构,拥有自己的编码和不同的设置频率。

由于某些原因,手机变得越来越大,但 SIM 卡却随着时间的推移而不断缩小和演变。例如,这是多年来的尺寸演变:

1通用或全尺寸 SIM 1991/1992 (53.98 x 85.6mm)

1标准或迷你 SIM 1996(15 x 25 毫米)

1微型 SIM 2003(12 x 15 毫米)

1纳米 SIM 2012(8.8 x 12.3 毫米)

1嵌入式 SIM 或 eSIM 2016

          

     

SIM卡劫持攻击探索

测试的 SIM 卡类型。

SIM 卡的触点类型可能会根据制造商的偏好而变化。然而,出于显而易见的原因,SIM PIN 分配始终相同。

          

     

SIM卡劫持攻击探索

SIM 卡引脚分配。

当们谈论形状因素时,以“科学”的名义,也将 SIM 卡溶解在 丙酮 中。还没有得到任何有趣的结果,但这个过程非常有趣。

          

     

SIM卡劫持攻击探索

几分钟后,SIM 卡塑料部分开始溶解。

从丙酮溶液中取出干净的 SIM 卡芯片。

最后,SIM 卡上的每个 PIN 码都有特定的功能,其中一些用于传输电源,另一些用于数据传输。更多细节可以在这里看到:https ://pinoutguide.com/Memory/SmartCardIso_pinout.shtml 。    

由于对 SIM 卡的内容而不是其物理方面更感兴趣,使用 PC /SC 终端 Gemalto PC Twin Reader 以及名为 SIMspy II 的取证工具分析了随机卡的内容。通过检查该工具返回的输出,可以清楚地看出信息存储在目录结构中。

SIM卡劫持攻击探索

使用 SIMspy II 识别 SUT(测试中的 SIM)的目录结构。

          

     

SIM卡劫持攻击探索

使用 SIMspy II 从 SUT 提取加密密钥 (Kc) 和其他信息。

SUT(待测 SIM)上的数据被组织成由三种类型的文件组成的树形层次结构:

1主文件 (MF)

1基本文件 (EF)

1专用文件 (DF)    

类似的目录结构可以在智能卡或信用卡/借记卡中找到,因此,制造商通过名为 ATR(重置应答)的输出消息来配置每张卡。  该消息包含有关卡本身、其通信参数和协议的信息。ATR 在卡激活过程中用于识别支持的传输协议以及每个卡会话开始时的通信参数(例如,当访问 SIM 卡时)。

ATR 检查也可以使用在线解析器来完成。这可以方便地更好地了解 ATR 包含哪些信息以及与其关联的卡类型。检查以下 URL 以了解 ATR 的详细信息:https://smartcard-atr.apdu.fr/parse ?ATR=3B9F96801FC68031E073F62113675602220080010127

对于 的示例 ATR 3B9F96801FC68031E073F62113675602220080010127 ,以下列表是一些重要字节的细分。

1字节 1:TS = 0x3B – 正向连接

1字节 2:T0 = 0x9F – 格式字符

1字节 3:TA(1) = 0x96 – 接口字符

1字节 4:TD(1) = 0x80 – 接口字符(有关支持的协议的信息)

1字节 5:TD(2) = 0x1F – 接口字符(有关支持的协议的信息)

1字节 6:TA(3) = 0xC6 – 历史字符(SIM 卡类型(C2 普通 SIM + OTA、C3:STK SIM …))

1字节 7:0x27 – 卡功能

1字节 8:TCK = 0x27 – 校验和

有关 ATR 的更多详细信息,请访问此页面:https ://www.programmersought.com/article/85154738501/

正在分析的系统 (SUT) 的假设顶级目录由斜杠 ( / ) 指定,称为主文件 (MF)。它包含从属目录,也称为专用文件(DF)和基本文件(EF),其中可以找到大量移动网络运营商(MNO)和订户敏感信息。         
基本文件可以是透明的、线性的或循环的。它们非常容易理解:

1透明:一串字节

1线性固定长度:记录序列

1线性可变长度:记录序列,但也可以具有可变数量的字节

1循环:可以被覆盖的记录“环”    

接收到 ATR 后, 3F00 自动选择 MF ( ) 并成为当前目录。

          

 

SIM卡劫持攻击探索

SIM卡树状层次结构。

 使用名为SIMTester 的开源安全工具对 SUT 进行了各种模糊攻击 ,希望能够识别更多文件、提取更多信息并最终

了解其用途。

          

          

     

SIM卡劫持攻击探索

使用 SIMTester 识别存储在 SUT 上的一些文件(及其相对路径) 的示例。

使用应用协议数据单元 (APDU) 命令(又名 C-APDU(命令请求 APDU))从识别的文件中提取存储在 SUT 内的数据。APDU 是一种命令响应协议,用于调用智能卡或类似设备上的功能。    

APDU命令结构由两部分组成:

1命令 – 4 字节头(类、指令、参数 1、参数 2)+ 数据体

1响应 – 2 字节(SW1、SW2)          
响应的数据字段中还可能包含一串字节。例如,当从智能卡或类似设备提取数据时。

以下是可能可用的 APDU 命令的列表。

1选择

1地位

1读取二进制文件

1更新二进制文件

1读取记录

1更新记录

1寻找

1增加

1验证 ADM

1验证CHV

1改变CHV

1禁用 CHV

1启用 CHV

1解锁CHV

1无效

1恢复

1运行 GSM 算法

1睡觉

1得到回应

这些命令是通过 PyAPDUTool 发送的,该工具用于通过读卡器与 SIM 卡进行通信,并

允许提取和更新 SUT 中存储的数据。         
作为示例,以下视频展示了如何访问主文件 ,然后访问专用文件“GSM”( ),最后访问基本文件“SPN”( ),从中 可以获取 十六进制格式的字符串“giffgaff”( ) 提取的。当时,SUT 被标记为“Giffgaff”(
Giffgaff 是一家总部位于英国的移动网络)。输出末尾的最后 两个字节 ( ) 是响应数据 (SW1、SW2),指示 APDU 命令已成功执行且没有错误。3F00 7F20  6F46  67 69 66 66 67 61 66 66  90 00    

          

使用 PyAPDUTool 发送 APDU 命令来访问文件 3F00/7F20/6F46 以从 SIM 卡检索 SPN。

相反,下一个视频将展示如何使用到目前为止提到的所有工具来更新 SUT 上的电话簿条目。请注意,需要对 SIM 卡进行物理访问。

使用 PyAPDUTool 发送 APDU 命令来更新电话簿条目号 5。

          

PyAPDUTool 提供了一个有用的实用程序,用它来解析部分响应数据,即定义为 SW1(状态字节 1 – 命令处理状态)和 SW2 (状态字节 2 – 命令处理限定符) 的 2 个字节的尾部。PyAPDUTool的软件查找实用程序在使用有效的软件预告片时返回参考消息,并帮助更好地了解在做什么。对于无效的 SW 预告片,返回的参考消息是“未知错误”。下面可以找到 PyAPDUTool 的 SW Lookup 实用程序如何解释 SW 响应的一些示例。

          

          

 

SIM卡劫持攻击探索

PyAPDUTool 的 SW Lookup 实用程序确认 APDU 命令的正确执行。

SIM卡劫持攻击探索

使用 PyAPDUTool 的 SW Lookup 实用程序解析 APDU 响应的示例。

              

 

SIM卡劫持攻击探索

PyAPDUTool 的 SW Lookup 针对无效 SW 跟踪 返回的参考消息的示例。

有关 APDU 命令的更多详细信息,请参阅以下 URL:https://cardwerk.com/smart-card-standard-iso7816-4-section-6-basic-interindustry-commands

AT命令

一些SIM卡数据也可以使用AT命令来操作,也称为注意命令(一种最初用于调制解调器的命令语言,请参见 Hayes命令集 )。对于此步骤,需要有调制解调器。下图是平时使用的:

          

     

SIM卡劫持攻击探索

Arduino 2009 + Hilo Sagem 或两个 USB 调制解调器之一(Tigo、TIM)。

尽管如此,任何支持 AT 命令的 ME 都可以工作。尽管如此,仍然需要对 SIM 卡进行物理访问。以下是有关如何确保设备兼容并支持 AT 命令的一些指导。    

/*          
1.通过USB将手机连接到电脑主机。         
2. 打开终端          
*/          
lsusb -v|less

          

 

SIM卡劫持攻击探索

根据 lsusb 命令的输出,的三星 S6 支持 AT 命令。

在此阶段,为了与调制解调器建立通信,使用了 Minicom

运行          
1.打开终端          
minicom -D /dev/ttyACM0

Minicom 命令可以通过按 CTRL+A来调用。

         
/* 打开 Minicom Helper */          
CTRL+AZ          
         
/* 打开/关闭 Echo(如果看到双输入,请重复此步骤两次) */          
E
   

下面是一些从SIM卡中提取信息的AT命令示例:

Plaintext                  
// Temporary Mobile Subscriber Identity (TMSI)                  
//                  
//                  
//Only first 8 characters (4 bytes)                  
AT+CRSM=176,28448,0,0,11                  
                 
// Ciphering key KcRemove last two characters (1 byte)                  
AT+CRSM=176,28448,0,0,9                  
                 
// ARFCNThe second value                  
AT+KCELL=0

          

 

SIM卡劫持攻击探索

在 Samsung S6 上使用 Minicom 从 SIM 卡中提取 TMSI 和 Kc。

有关 AT 命令的更多详细信息,请参阅以下页面:https://www. electronicsforu.com/resources/gsm-at-commands

一些 SIM 卡具有额外的功能,允许远程访问网络运营商以进行维护或提供旨在改善和促进用户体验的服务(例如信用、天气、银行业务等)。通常利用 SIM 小程序来完成这些任务。SIM小程序是安装在SIM卡内存上的应用程序,使用STK中的一组命令和过程,它提供了允许安装在SIM卡中的应用程序与使用中的任何兼容ME之间进行交互的机制;因此,它还提供了向外通信的能力。    

有时可以从 ME 的主菜单或设置菜单访问 STK 应用程序。在某些情况下,需要使用非结构化补充服务数据 (USSD) 代码来访问 STK 应用程序(通常是数字的组合,例如前面和/或后面带有散列 # 和星号的数字 * )。

          

     

SIM卡劫持攻击探索    

Pixel 4a 上的 SIM 工具包应用程序 (STK) 菜单图标示例。

          

     

SIM卡劫持攻击探索    

Nokia 3330 上的 SIM 工具包应用程序 (STK) 菜单项示例。

使用 USSD 代码访问 Samsung S6 上的 SUT STK 应用程序 *888#

STK提供的SIM卡也可以通过检查名为DF_GSM( 3F00/7F20 )的目录来识别,该目录包含“

GSM SIM服务表”,其中列出了所有与网络相关的信息。从这里还可以获得有关 SUT 使用的服务的知识。示例如下:

          

          

 

SIM卡劫持攻击探索

使用 SIMspy II 在 SUT 上识别 STK 相关服务。    

示例屏幕截图中的一些服务/应用程序是:

1SMS 小区广播数据下载用于将消息传送到特定区域内的所有移动设备 (ME)。

1SMS-点对点数据下载用于初始化SIM 卡。

1主动式 SIM 定义了 SIM 和 ME 之间的通信协议。它提供了 SIM 可以直接在手机上发出的各种命令,即:显示文本、播放提示音、按命令运行、设置呼叫、发送短信、发送 DTMF 等等。

为了准确识别工具包机制中的服务/应用程序(例如,SMS 小区广播数据下载、SMS 点对点数据下载、主动 SIM 等)并正确确定其生成的包的目的地,这些与称为工具包应用程序参考 (TAR) 的唯一数字或值范围相关联。这意味着 TAR 用于唯一标识服务和/或应用程序。TAR 的值范围可以是 000001FFFFFF 。有关 TAR 值及其相关类别的更多详细信息,请参阅以下列表:

1Tar: 000000 , 类别: 卡管理器

1Tar:000001AFFFFF ,类别:由第一级应用程序发行者分配

1Tar: B00000B0FFFF , 类别: 远程文件管理 (RFM)

1Tar: B10000B1FFFF , 类别: 支付应用

1Tar:B20000BFFEFF ,类别:RFU

1Tar:BFFF00 to BFFFFF ,类别:专有工具包应用程序

1Tar:C00000FFFFFF ,类别:由第一级应用程序发行者分配

TAR 触发网络运营商用来与 SIM 卡远程通信、在其上安装附加应用程序以及管理其内容的特性和服务/应用程序的功能。除非已知并提供 ADM 密钥,否则无法访问存储在这些 TAR 中的数据。暴力破解 ADM 密钥的能力也非常有限,事实上,通常最多允许 5-8 次尝试。未能提供有效的 ADM 密钥可能会导致不可逆转的故障。此外,服务/应用程序必须被激活和分配才能使用。

由于安全实施较差,有时无需提供 ADM 密钥即可远程访问某些 TAR(及其相关服务/应用程序)。这可以通过使用特制的短信来完成。这些消息可能非常大,因此由于 SMS 的字符限制(包括标头 140 个字节),有必要将它们连接起来。

通过到处寻找,希望至少能得到其中一张易受攻击的卡,最终得到了多家运营商的商业 SIM 卡的疯狂收藏。幸运的是,家里已经有一些以前研究过的SIM卡。尽管其中一些已经过期并且不再在蜂窝网络上使用,但它们仍然足以仔细研究。         
在网上买了很多SIM卡(有些等了好几个月)。其中一些是由居住在其他国家/地区的朋友发送的(根据合同并包含充值<3),更多的仍在路上(大流行情况+边境问题等)。买的几张SIM卡已经很旧了,只卖给“收藏家”;因此,不能在网络上使用,但有利于研究。对于大多数人来说,每张 SIM 卡都需要有一定的信用,否则无法进行激活过程和进一步的测试。
   

          

 

SIM卡劫持攻击探索

一些 SIM 卡。

          

     

SIM卡劫持攻击探索

更多 SIM 卡。

在本研究过程中,测试了 60 多张 SIM 卡。网络细分及其来源如下:

1吉夫加夫(英国)* 16

1莱巴拉(英国)* 8

1O2(英国)* 6

1T-Mobile(英国)* 5

1Lyca Mobile(英国)* 4

1Smarty(英国)* 3

1VOXY(英国)* 2

1EE(英国)* 2

1沃达丰(英国)* 2

13(英国)* 2    

1乐购移动(英国)* 2

1Wind Tre(意大利)* 2

1Talk Home(英国)* 1

1ASDA Mobile(英国)* 1

1沃达丰(意大利)* 1

1沃达康(坦桑尼亚)* 1

1盐车(瑞士)* 1

1纳特尔(瑞士)* 1

1科尔比(哥斯达黎加)* 1

由于应用程序不受保护,拥有的许多 SIM 卡似乎都容易受到 SIM 劫持攻击。

为了识别易受攻击的应用程序,查询了 SUT 中安装的应用程序使用的所有 TAR,以识别那些在不涉及任何安全机制的情况下返回响应的应用程序(例如 KIC 和 KIK)。使用 SIMTester 识别了各种易受攻击的 TAR。这些 TAR 与专用于远程文件管理 (RFM) 的值相关联,可以通过 OTA SMS 访问,但也可用于传输推送命令。不用说,每张SIM卡的生产和上市日期都不同。遗憾的是,仍有许多易受攻击的 SIM 卡可供购买。下面是一系列屏幕截图,显示了识别那些未受保护的 TAR 的过程,以及 SIMtester 在测试易受攻击的 SIM 卡时的输出。

          

 

SIM卡劫持攻击探索    

使用 SIMTester,TAR 扫描可能需要很长时间。

          

 

SIM卡劫持攻击探索

可能容易受到 RAM 攻击的 SIM 卡。

          

 

SIM卡劫持攻击探索

易受 RFM 攻击的 SIM 卡示例(B00001/2:SIM、B00010:USIM)。

          

 

SIM卡劫持攻击探索

SIM 卡容易通过 S@T 浏览器受到 SIMjacker 攻击。

          

     

SIM卡劫持攻击探索

测试设置

 使用了NowSMS 的有限演示版本 ,希望了解无线传输 (OTA) 以及如何使用短信远程触发易受攻击的 SIM 卡上的服务/应用程序。NowSMS 是一个 SMS&MMS 网关解决方案(完整版 449,00 美元,哈哈)。

          

 

SIM卡劫持攻击探索    

NowSMS SMS&MMS Gateway 软件 GUI 及其 Web 界面。

NowSMS 服务器软件安装在的笔记本电脑(网关)上,对于客户端,使用三星 S6(GSM 调制解调器)。

          

     

SIM卡劫持攻击探索    

NowSMS 调制解调器安装在三星 S6 上。

SMS 通过使用 F-BUS 数据线(型号 DAU-05B) USB 到 RS232 转换器 以及 dct3-gsmtap实用程序发送到连接到另一台笔记本电脑的 诺基亚 3330 (著名的诺基亚 3310 的变体) ,运行著名的 Wireshark 实用程序来嗅探流量。

          

 

SIM卡劫持攻击探索

诺基亚 3330 上的串行 PIN。

          

 

SIM卡劫持攻击探索    

诺基亚 F-BUS USB 电缆插在电池和串行 PIN 之间。

          

 

SIM卡劫持攻击探索

环境设置。

 这使得在诺基亚 3330 上启用名为NetMonitor 的秘密菜单后捕获 GSM 数据(来回)成为可能。此过程可以使用名为 gnokii 的工具来完成 。

          

 

SIM卡劫持攻击探索

收到的明文 SMS 示例。

NetMonitor 菜单可在各种诺基亚手机上使用,由一组显示屏组成,可以在其中访问有关 SIM 卡、手机和网络的大量信息。以下是可用显示器的列表;有关诺基亚 NetMonitor 菜单的更多详细信息,请访问:http://www.nobbi.com/download/nmmanual.pdf

1显示1:服务小区信息    

1显示2:有关服务小区的更多信息

1显示 3:服务小区、第一和第二邻居

1显示 4 和 5:第 3 到第 8 个相邻小区

1显示6:网络选择显示

1显示 7:服务小区的系统信息位

1显示 10:寻呼重复周期、TMSI、位置更新计时器、AFC 和 AGC

1显示 12:加密、跳频、DTX 状态和 IMSI

1显示13:上行DTX切换显示

1显示 14:切换筛选指示器

1显示 17:切换“BTS 测试”状态

1显示 18:灯状态控制

1显示 19:切换单元格禁止状态

1显示 20:充电状态

1显示21:恒压充电显示

1显示22:电池充满检测

1显示 23:电池和手机状态监视器

1显示 24:BSI 值

1显示30:音频API寄存器显示

1显示 34:FBUS 显示

1显示 35:软件复位的原因

1显示 36:重置计数器

1显示 39:有关呼叫清除原因的信息

1显示 40:重置切换计数器

1显示 41(单频段):切换显示

1显示 41(双频):切换显示、INTER CELL    

1显示 42(双频):切换显示、INTRA CELL

1显示 43 L2 显示

1显示 44:切换修订级别

1显示 45:切换发射机功能

1显示 51:SIM 信息

1显示 54:块显示 1

1显示 55:块显示 2

1显示 56:块显示 3

1显示 57:复位前的内存状态

1显示 60:将计数器重置为零

1显示 61:搜索和重选计数器显示

1显示 61(双频):搜索和重选计数器显示

1显示 62:相邻测量计数器显示

1显示 63:呼叫尝试计数器

1显示 64:位置更新尝试计数器

1显示 65:SMS 尝试计数器

1显示 66:SMS 超时计数器

1显示70:DSP临时计数器

1显示 71 和 72:控制 DSP 音频增强 1 和 2

1显示 73:DSP 音频增强的通用显示

1显示 74:DSP 音频增强 1 (DRC)

1显示 75:音频路径状态

1显示 76:Ear (= SonLink) 音频显示

1显示 77:麦克风(= UpLink)音频显示

1显示 78:DSP 音频增强 (AEC)    

1显示 79:音频均衡器显示

1显示 80:重置并重新启动计时器

1显示 81:启用或禁用计时器

1显示 82:测试计时器显示

1显示 83:任务信息显示控制

1显示 84、85 和 86:有关任务的信息

1显示87:有关OS_SYSTEM_STACK的信息

1显示 88:当前 MCU 和 DSP 软件版本信息

1Display 88 (Nokia 9210):管理器部分的版本信息

1显示 89:当前 HW 和 TXT 版本信息

1显示 89 (Nokia 9210):电话部分的版本信息

1显示 96(诺基亚 3210):接收器温度

1显示 99 (Nokia 7110):FBUS 模式和配件模式

1Display 100(诺基亚 7110、62XX):内部存储器使用情况,概述

1显示 102 (Nokia 9210):上次数据呼叫类型

1显示 103 (Nokia 9210):上次 MT 呼叫类型

1Display 107 (Nokia 62XX):语音拨号功能

1显示 110 至 115(诺基亚 7110、诺基亚 62XX):内部存储器使用情况、详细信息

1显示器 130 (Nokia 7110):滑开式计数器

1显示 132 (Nokia 3310):呼叫信息

1显示 133 (Nokia 3310):充电器信息

1显示 240(无输出):清除计数器并启动计时器

1显示 241(无输出):禁用 NetMonitor 菜单

1显示 242(无输出):禁用 R&D 现场测试显示

访问诺基亚 3310 上 NetMonitor 秘密菜单的 Display 01。

              

 

SIM卡劫持攻击探索

访问诺基亚 3310 上 NetMonitor 秘密菜单的 Display 11。

          

     

SIM卡劫持攻击探索

访问诺基亚 3310 上 NetMonitor 秘密菜单的 Display 62。

显示 17 是 NetMonitor 菜单的后续隐藏选项,可以通过使用蜂窝塔 ID 号码作为联系电话号码在联系人列表的位置 33 处创建名为“BTS TEST”的 SIM 电话簿条目来启用它。这也可以通过使用 gnokii 使用以下内容作为电话簿条目来完成:

Plaintext                  
// 条目名称;小区 ID、位置;位置; 捷径                  
BTS TEST;113;SM;33;5

Display 17 可以将 ME“绑定”到单个蜂窝塔,并且在使用此功能时,不会与相邻蜂窝共享任何信息,同时仍然可以毫无问题地发送和接收数据。由于 IMSI 捕获者通过制造假手机信号塔来获利,而受害者由于信号强度更强而连接到它们,因此 Display 17 肯定需要更多调查。

              

 

SIM卡劫持攻击探索

参考显示 3,当 BTS TEST 关闭时,相邻小区之间共享信息。

          

     

SIM卡劫持攻击探索

启用“BTS TEST”功能以在通道 113 上运行(上一张屏幕截图中可见 ID 为 113 的蜂窝塔)。

          

     

SIM卡劫持攻击探索

一旦 ME 被迫连接到 ID 为 113 的蜂窝塔,蜂窝塔之间就不再共享数据。

短信服务 (SMS)

SMS 可以通过 ME、计算机或服务器发送,并传输到

短消息服务中心 (SMSC),最后由 SMSC 将其路由到目的地。虽然发送/接收短信的整个过程可能给人的印象很简单,但涉及到一些角色和路由来区分短信类型,事实上,短信服务由两项服务组成:

          

1短消息移动终止(SM MT),该服务涉及订户 ME 上接收的 SMS。在本例中,SMS 类型定义为 SMS-DELIVER。    

1移动短信 (SM MO),该服务涉及从 ME 用户发送的 SMS。此操作将生成的 SMS 类型定义为 SMS-SUBMIT。

在某些情况下,SMSC 会向 ME 发送方发送定义为 SMS-STATUS-REPORT 的后续 SMS,以确认目标地址 (DA) 已成功接收到 SMS。

          

 

SIM卡劫持攻击探索

SMS-SUBMIT 和 SMS-DELIVER 过程。

更多详细信息请参见 https://en.wikipedia.org/wiki/GSM_03.40

使用 NowSMS 发送的所有出站 SMS 都会在管理员的 Web 界面中列出,并按照 GSM 7 位标准 以协议数据单元 (PDU) 格式进行编码。这意味着所有 PDU SMS 都可以被分析、反转、定制和重用。

PDU 消息可以使用 Minicom 通过 USB 调制解调器(或兼容的电话)发送。下面是如何使用 Minicom 发送包含文本“Hello SensePost”的 SMS-SUBMIT PDU 的示例。

Plaintext                  
AT+CMGS=27// Octet长度(70 个字符/2 – 8 SMSC)                  
> 079144872000626001000C9144573227562000000FC8329BFD064DCBEE7919FA9ED301// 这里需要按Ctrl+Z而不是按ENTER

下表描述了上述有效负载的每个部分(八位位组)。SMS PDU 解码器也可以在网上轻松找到 – 例如 https://www.diafaan.com/sms-tutorials/gsm-modem-tutorial/online-sms-submit-pdu-decoder/ 。构建正确有效负载的一个方便工具也是 python 模块 SMS PDU ( pip install smspdu )。    

1Octet:07,参考:地址长度

1Octet:91,TP 字段:地址类型,参考号:91 国际(81 国内)

1Octet:国际 448720006260 国内 7008022660F(F == 填充),TP 字段:SMSC,参考:国际 (+447802002606)

1Octet:01,TP 字段:TP-MTI,参考:消息类型指示符 – SMS-SUBMIT(21 SMS-SUBMIT + 请求报告状态)

1Octet:00,TP 字段:TP-MR,参考:消息参考

1Octet:0C,参考:半Octet中的地址长度

1Octet:91,TP 字段:地址类型,参考号:91 国际

1Octet:441122334455,TP 字段:TP-DA,参考:目标地址 (+441122334455)

1Octet:00,TP 字段:TP-PID,参考:协议标识符

1Octet:00,TP 字段:TP-DCS,参考:数据编码方案

1Octet:0F,TP 字段:TP-UDL,参考:用户数据长度

1Octet:C8329BFD064DCBEE7919FA9ED301,TP 字段:TP-UD,参考:用户数据 (Hello SensePost)

SMSC 也可以省略 ( 00 )。在这种情况下,将使用默认值。它保存在 SIM 卡上( EFsmsp – SM 服务参数)。

通常,从 ME 收到短信后,短信会自动保存到 SIM 卡上。订户可以在稍后阶段删除或保留 SMS。但是,SMS 类可用于确定 SMS 的保存位置。

1类别 0:使用此类,SMS 将显示在接收者的移动屏幕上,无需用户交互。该短信将在很短的时间(默认为 5 分钟,但也可以设置为 0 秒,导致不可见的短信)后自动删除,除非用户决定保存它。要使用此类,数据编码方案 (TP-DCS) 字段必须设置为 10

1Class 1:该类别表示短信将存储在设备内存或SIM卡中。TP-DCS 字段必须设置为 11

1类别 2:当 SMS 消息包含 SIM 卡数据时使用该类别。对于此类,数据编码方案 (TP-DCS) 必须设置为 12    

1第 3 类:此类表示短信一旦收到就会转发到外部设备。在这种情况下,TP-DCS 字段必须设置为 13

下面是一个简单的 0 类 PDU SMS( 没有对其他 SMS 类类型进行额外的测试 ),后面是如何滥用此功能的示例。

AT+CMGS=280001000C9144112233445500 10 114676788E064D9B53500B34A7D7E96D

          

     

SIM卡劫持攻击探索    

普通 0 类短信。

          

     

SIM卡劫持攻击探索    

具有 0 类 SMS 的 SMiShing 示例。(请不要汇款,这不是真实的银行帐户)。

虽然以下内容仅适用于旧手机(主要是诺基亚),但下面是也可以使用 SMS 发送的 WAP OTA 服务设置示例。

<!-- TP-USER-DATA --><?xml version="1.0"?><!DOCTYPE CHARACTERISTIC-LIST SYSTEM "file://c:/settingspush/settings.dtd" ><CHARACTERISTIC-LIST><CHARACTERISTIC TYPE="ADDRESS"><PARM NAME="BEARER" VALUE="GSM/CSD"/><PARM NAME="PROXY" VALUE="52.85.104.62"/><PARM NAME="CSD_DIALSTRING" VALUE="+44123456"/><PARM NAME="PPP_AUTHTYPE" VALUE="PAP"/><PARM NAME="PPP_AUTHNAME" VALUE="stutm"/><PARM NAME="PPP_AUTHSERCRET" VALUE="password123"/><PARM NAME="CSD_CALLTYPE" VALUE="ANALOGUE"/><PARM NAME="CSD_CALLSPEED" VALUE="AUTO"/></CHARACTERISTIC><CHARACTERISTIC TYPE="URL" VALUE="https://sensepost.com"/><CHARACTERISTIC TYPE="NAME"><PARM NAME="NAME" VALUE="SensePost:)"/></CHARACTERISTIC><CHARACTERISTIC TYPE="BOOKMARK"><PARM NAME="NAME" VALUE="Wap"/><PARM NAME="URL" VALUE="https://sensepost.com"/></CHARACTERISTIC></CHARACTERISTIC-LIST>


           
                     

// 第一个 PDU 短信                      
AT+CMGS=155                      
>0051000C9144571651228900F5A78C
0B0504C34FC002000304020101062C1F2A6170706C69636174696F6E2F782D7761702D70726F762E62726F777365722D73657474696E67730081EA01016A0045C60601871245018713110335322E38352E3130342E36320001872111032B343431323334353600018722700187231103737475746D00018724110370617373776F726431323300018728720187                                        
// 第二条 PDU 短信                                        
AT+CMGS=123                                        
>0051000C9144571651228900F5A75D
0B0504C34FC0020003040202296A01018607110368747470733A2F2F73656E7365706F73742E636F6D0001C608018715110353656E7365506F73743A29000101C67F0187151103737475746D3A2900018717110368747470733A2F2F73656E7365706F73742E636F6D00010101                  

WAP OTA 服务设置。    

原文始发于微信公众号(暴暴的皮卡丘):SIM卡劫持攻击探索

版权声明:admin 发表于 2023年12月12日 下午11:10。
转载请注明:SIM卡劫持攻击探索 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...