El documento describe una herramienta llamada Acrylic WiFi que permite la captura de tráfico WiFi en Windows a través de una biblioteca NDIS. La herramienta integra drivers NDIS para admitir más tarjetas WiFi y emula Airpcap para permitir que herramientas como Airodump, Wireshark y Cain & Abel funcionen sin modificaciones en Windows. El objetivo final es proporcionar capacidades de monitorización y auditoría de redes inalámbricas nativas en Windows.
investigación de los Avances tecnológicos del siglo XXI
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]
1. 1
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Captura de tráfico WiFi
en modo monitor
2. 2
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Modo monitor WiFi
Disponible en sistemas Linux/BSD/..
– Suite aircrack-ng.
Plataforma Windows
– Microsoft Network Monitor 3.4
– Productos comerciales muy cerrados.
– Wireshark, Cain, Elcomsoft,..
• Hardware dedicado: Airpcap (a/b/g/n)
– Windows XP (drivers parcheados de Prism y Atheros)
3. 3
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo funciona NDIS
Capa de abstracción de
hardware
Se sitúa entre el driver del
fabricante y el gestor de
paquetes de windows
4. 4
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Acrylic WiFi v1.0
Integrado driver NDIS 6
Parser detallado de paquetes
Extensible (APIs)
Captura nativa (APIs)
5. 5
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
API de captura TRLNDIS_Interface.dll
6. 6
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Ventajas de librería TRLNDIS
Especificaciones de la API abiertas
Permite captura nativa en Windows.
– Vista, 7, 8
Captura de 802.11ac! (Airpcap no lo soporta)
¿Inyección?
– Estamos trabajando en ello ;)
8. 8
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Y mis herramientas favoritas?
Acrylic mola, pero.. ¿Qué pasa con el resto?
Airodump
Wireshark
Cain & Abel
Otras…
9. 9
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Integración con Airodump
Carga dinámica de interfaces.
– usage: airodump-ng <options> <interface>[,<interface>,...]
10. 10
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Interfaces Airodump
No es todo tan automático:
– Problemas/features en cygwin (Visual Studio v Gcc)
– Bug soporte de Airodump bajo cygwin (recv vs read)
Descripción del parche:
https://www.acrylicwifi.com/soporte-airodump-suite-aircrack-nativo-en-windows/
11. 11
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Integración con Airodump
Creamos un wrapper TRLNDISWrapper.dll
Cargamos la librería por línea de comandos.
airodump-ng.exe “TRLNDISWrapper.dll|2”
12. 12
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Integración con Wireshark
Opciones:
– Bucear por el código de wireshark y modificarlo (fork)
– Crear una interfaz de red virtual
Wireshark soporta Airpcap
– Carga dinámica de la librería airpcap.dll
– Instalada por los drivers de Airpcap
¿Y si emulamos ser un airpcap ? ;-)
13. 13
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Estructura Airpcap
Las especificaciones de airpcap.dll son abiertas
14. 14
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Airpcap MITM
Emulamos Airpcap con cualquier tarjeta WiFi
Podemos usar tarjetas 802.11ac
Wireshark funciona sin modificaciones tras
instalar Acrylic WiFi
15. 15
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Wireshark funcionando
Selección de interfaces de red WiFi
16. 16
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Captura con Wireshark
Última versión - Version 1.10.5
17. 17
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Integración con Cain & Abel
Cain soporta Airpcap
– Pero no se creía que tuviesemos un Airpcap
¿ Por qué ?:
– Cain solo acepta como interfaces de Airpcap válidas
aquellas cuyo nombre comienza por “.airpcap “
Solución:
– Parcheamos y devolvemos .airpcap como
comienzo del nombre de la interfaz.
18. 18
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Integración con Cain & Abel
Podemos capturar tráfico y romper claves
Cain funciona sin modificaciones tras instalar
Acrylic WiFi
19. 19
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Futuro
Compatibilidad NDIS del driver WiFi
– Aumentar el número de chipsets soportados.
Inyección de tráfico
– Esperamos tenerlo en los próximos meses ;)
Versiones: Professional y Pentester
20. 20
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Agradecimientos
@RootedCon
A todos los betatesters
Equipo de desarrollo de @AcrylicWiFi
– Especialmente:
• Angel Vidal
• Jaime Fábregas
21. 21
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Preguntas? / Gracias
Website:
https://www.AcrylicWiFi.com
Twitter:
@AcrylicWiFi / @Tarlogic
Email:
Info@AcrylicWiFi.com