Добрый день мои зайчики 🐰

Добро пожаловать в страну чудес так сказать . Админ опять захотел затронуть мобильную связь📱
На этот раз VoLTE и VoWiFi а очнее в этом посте я хочу затронуть тему VoLTE и Wi-Fi Calling , и атак на них.
По свой структуре эти два сервиса схожи . Но давайте по порядку , пост будет разбит на 5 частей ибо он длинный . Так же архив с подробными матерьялами по этой теме будет ниже

Начнем с VoLTE.📞

Грубо говоря VoLTE - это схема передачи голоса поверх ip для PS.
Но только PS, полностью основанная на LTE . Она отказывается от CS- традиционного решения для звонков в сетях 2G/3G. Голосовые сообщения передаются в ip-пакетах на плоскости данных, а не по выделенной цепи. Чтобы облегчить голосовую связь, каждый VoLTE каждый вызов поддерживает отдельный сеанс сигнализации.
VoLTE предлагает очевидные преимущества по сравнению с традиционными 2G/3G включая улучшенное качество (например, звонки высокой четкости), больше возможностей (например, видео звонки, голосовая почта) , а также лучшую совместимость (например, в мобильных сетях, wifi).
Поскольку VoLTE меняет свою парадигму проектирования с CS на PS, нас интересует вопрос о том, могут ли такие существенные изменения могут нанести ущерб сети LTE, а также для пользователей.

VoLTE использует архитектурную структуру IMS

IMS обеспечивает повсеместный доступ к мультимедиа с использованием общего ip-интерфейса. Еще одним важным аспектом является поддержка VoLTE для UE, находящихся в роуминге.
Существуют две конкурирующие технологии для обеспечения роуминга VoLTE, а именно LBO и S8HR.



Архитектура VoLTE основана на 3GPP архитектуре и принципах для VoLTE UE,  LTE, EPC и IMS Core Network

Он состоит из следующих функций:
VoLTE UE содержит функциональные возможности для доступа к LTE RAN и EPC, чтобы обеспечить возможность мобильного широкополосного подключения. Для доступа к услугам VoLTE требуется встроенный стек IMS и приложение VoLTE IMS;
Сеть радио доступа E-UTRAN : Возможности радиосвязи в LTE для FDD LTE, TDD LTE или для FDD и TDD LTE применимы и для VoLTE;
Усовершенствованное пакетное ядро -EPC ;
Базовая сеть IMS в архитектуре VoLTE обеспечивает сервисный уровень обеспечения мультимедийной телефонии;
Думаю базовая структура вам понятна . Более подробно с архитектурой можете ознакомиться в сатьях в архиве ниже(так же там будет более подробно про атаки🙃 . )
VoLTE может вмешиваться в другие компоненты системы, тем самым создавая новые лазейки злоумышленникам в общей сети .
Основанные на PS операции для голоса и данных могут дать возможность для передачи данных по VoLTE..
Более того, поскольку ip-переадресация легко доступна мобильной ОС, VoLTE расширяет доступ к CS в рамках чипсета устройства до более открытого доступа к PS в программном обеспечении.
Это, вероятно, сводит на нет существующие механизмы защиты и средства безопасности для традиционной передачи голоса.
Наконец, в отличие от обычных услуг передачи данных, VoLTE имеет более высокий приоритет в распределении ресурсов для обеспечения лучшего качества. Как вы понимайте это может непреднамеренно послужить побочным каналом для утечки критически информации.
При отсутствии тарификации контрольных пакетов VoLTE, эксплуатация приводит к злонамеренному доступу к данным.

Такая "услуга" доступна как для связи Mobile-to-Internet, так и для связи Mobile-to-Mobile.
Сессии VoLTE по умолчанию не шифруются из конца в конец, следовательно, легко подслушать соединение, особенно со стороны MNO.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Теперь про Wi-Fi Calling Services 📡

Технология звонков по Wi-Fi, также известная как VoWiFi, поддерживается системой 3GPP IMS .
Она обеспечивает мобильных пользователей сотовыми звонками и текстовые сообщеними через Wi-Fi вместо базовых станций сотовой связи. Это альтернативное голосовое решение для мобильных пользователей, которые подключаются к базовым станциям со слабым сигналом.
Wi-Fi звонки используют протокол SIP для сигнализации вызова, как и обычные услуги VoIP ,но отличается от них технически.

Его сигнальная операция SIP представляет собой специфическую для 3GPP версию . 

По соображениям безопасности, и 3GPP, и GSMA предусматривают, что при звонках по Wi-Fi должны использовать хорошо изученные методы безопасности и аутентификации на основе SIM-карты, как и в уже знакомом нам VoLTE.
Они в основном включают защиту секретных ключей в физической SIM-карте и 3GPP AKA . Кроме того, все пакеты вызовов Wi-Fi, которые могут быть отправлены через незащищенные сети, должны доставляться по каналам IPSec с использованием туннельного режима ESP между устройствами вызова Wi-Fi и сотовой сетью .

Несмотря на то, что пакеты защищены IPSec туннелями, услуга Wi-Fi вызовов все равно может пострадать
Во-первых, механизмы выбора беспроводной локальной сети 3GPP WLAN, не предотвращают устройства от подключения к небезопасным сетям Wi-Fi, что может затруднить работу службы вызовов Wi-Fi. Во-вторых, трафик Wi-Fi вызовов, который защищен IPSec, уязвим для атак с использованием побочных каналов , что может привести к утечке конфиденциальной информации. В-третьих, механизм непрерывности услуг между Wi-Fi вызовом и голосовыми услугами на базе сотовой связи может не вступить в силу
Для поддержания и повышения безопасности в Wi-Fi звоночках используются два протокола IETF - IKEv2 и IPSec.

Хотя.. этой сети все равно можно успешно обмениваться поддельными и манипулируемыми пакетами с отправителем и получателем без какого-либо процесса подтверждения личности.
Путем создания неавторизованной точки доступа, оснащенной сервером IPSec, в Wi-Fi сетях, пользовательские устройства могут передавать IMSI, что может привести к проблемам конфиденциальности, таким как отслеживание местоположения . Более того, эти протоколы могут быть уязвимы к нескольким DoS-атакам.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Давайте более подробно поговорим про сами атаки.⚙️

Предисловие - потом будет тех подробности
В рассказе про VoWiFi атаки будет о перехватчике IMSI на базе WiFi, который использует неавторизованную точку доступа WiFi, чтобы получить личные данные пользователей, находящихся поблизости.
Атаки THDoS, которая может вызвать отказ в голосовом обслуживании для пользователей Wi-Fi звонящих пользователей. Так же про Dos атаки и много других уязвимостей .

Про атаки VoLTE мы разберем атаки которые в основном включают свободный канал передачи данных, DoS и атаки по побочным каналам на IMS и тд . Первый заключается в создании бесплатного канала передачи данных путем отправки каждого пакета который пересылается со шлюза 4G непосредственно в Интернет.
Приведу примеры атак .

Начнем с Wi-Fi Calling

Для начала поговорим про THDOS .
Чтобы бросить определенные пакеты между устройством и сетевой инфраструктурой, противнику необходимо идентифицировать зашифрованные пакеты IPSec. Пример: Пользователь устройства получает входящий Wi-Fi вызов, и отвечает на него примерно через 6 секунд после звонка пользователь ведет голосовой разговор в течение примерно 12 секунд. Что произошло за это время? Ну что видит юзер: 1 получение вызова; 2 ответ на вызов; 3 разговор; 4 вешание трубки. Что видим мы:

1: Первый входящий пакет, который перехватывается на 2-й секунде, представляет собой 1360-байтовый IPSec-пакет. Мы расшифровываем его на стороне абонента и идентифицируем его как сообщение SIP INVITE, что указывает на попытку вызова. На 2-ой секунде, абонент отправляет сообщение 180 RINGING на сервер вызовов Wi-Fi. После этого наблюдается, что несколько небольших IPSec-пакетов размером всего 176 байт получены, но адресат не отправляет никаких пакетов обратно.

1: Мы обнаруживаем, что это голосовые пакеты в протоколе RTP
2 : Абонент отвечает на звонок на 8 секунде, отправив сообщение 200 OK на сервер, а затем получает подтверждение на 9-й секунде. После этого начинается разговор, и абонент начинает отправлять/получать голосовые пакеты.
3: Во время разговора абонент продолжает отправлять/получать голосовые пакеты на/от вызывающего сервера Wi-Fi, но никаких SIP-сообщений не наблюдается. Далее мы обнаружили, что абонент получает по крайней мере 10 голосовых пакетов каждые две секунды от сервера.
4: Вызывающий абонент отправляет сообщение BYE на 20-й секунде после того, как звонок был положен на трубку. Входящие пакеты события "ответ на звонок" на Wi-Fi . После 20-й секунды больше не наблюдается IPSec пакетов . Обратите внимание, что если абонент положит трубку первым, сервер должен отправить сообщение BYE.

Теперь сам пример атаки:
Вызывающий абонент получает несколько входящих звонков от вызывающего абонента.
Существует два подхода. Во-первых, противник досит сообщение 183 сообщение о ходе сеанса, отправленных абонентом, а затем устройство Wi-Fi вызывающего абонента инициирует другой VoLTE вызов в сторону абонента. Во-вторых, злоумышленник досит сообщение 180 сообщение , отправленных абонентом, и затем он заставляет вызывающее устройство Wi-Fi вызывающего абонента застревать на экране набора номера. Звонящий не слышит никакого сигнала оповещения, но устройство вызывающего абонента зазвонит, а вызывающее устройство может продолжать набирать номер.

Звучит скучно - соглашусь . По этому приведу в пример
Атаку раскрытия информации
WiCA был разработан , для определения статистики звонков пользователя Wi-Fi, включая то, что кто инициировал звонок и кто первым повесил трубку, а также время звонка и разговора.
Статистика звонков широко используется для определения личных данных пользователя , включая личность , настроение (например, стрессовое ), вредоносное поведение (например, набор спамерские звонки) и тд . WiCA перехватывает из пакетов Wi-Fi вызовов WiCA извлекает статистику вызовов (например, время звонка и продолжительность вызова) для каждого IP-адреса устройства. Остальные пакеты отправляются на анализатор трафика в реальном времени.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

WiCA анализатор трафика, который анализирует идентификацию приложения и информацию об устройстве.

Еще есть система

 UCIA она идентифицирует статистику звонков каждого пользователя телефона на основе камеры наблюдения, используя методы распознавания лиц и обнаружения движения человека. CS-IP2U использует статистику вызовов от WiCA и UCIA для соотнесения каждого пользователя телефона с IP-адресом.

Он генерирует таблицу сопоставления с IP-адресом и идентификатором пользователя, а также со статистикой вызовов каждого пользователя.
Более подробно об этом и в целом на звонки по Wifi вы можете глянуть в архиве статей ниже✨.

Теперь поговорим об атаках на VoLTE

Атака на отслеживание информации о местоположении телефонов VoLTE

Чтобы отследить информацию о местоположении телефонов VoLTE, злоумышленник сначала сканирует S-CSCF, чтобы найти S-CSCF, где зарегистрирован телефон VoLTE. После злоумышленник получает IP-адрес телефона VoLTE из S-CSCF.

Наконец, злоумышленник получает информацию о местоположении целевого телефона VoLTE.
Когда функция VoLTE на телефоне VoLTE включена, инициируется процесс регистрации IMS. В это время I-CSCF выполняет поиск в HSS для определения S-CSCF и назначения его телефону VoLTE.
Телефону VoLTE, злоумышленник может подтвердить IP-адрес S-CSCF , назначенный его телефону в пакете "SIP 200 OK" в процессе регистрации VoLTE и по нему определить диапазон IP-адресов S-CSCF. IP-адрес S-CSCF в пакете "SIP 200 OK" в процессе регистрации VoLTE
Сообщение SIP REFER может быть использовано для сканирования диапазона IP-адресов S-CSCF и анализа ответных пакетов для подтверждения IP-адреса S-CSCF, где зарегистрирован целевой VoLTE-телефон. Злоумышленник отправляет SIP REFER-пакеты в P-CSCF, в результате чего в поле From (MSISDN вызывающего абонента) и поля P-Preferred-Identity изменяются на MSISDN(800) VoLTE телефона, поле To (MSISDN абонента) и поле ReferTo на MSISDN(203) злоумышленника, а поле Route на IP-адрес S-CSCF потом P-CSCF получает пакеты, отправленные злоумышленником и пересылает их на IP-адрес, указанный в поле Route После он отправляет пакеты SIP REFER в P-CSCF, в результате чего поле From (MSISDN вызывающего абонента) и поля P-Preferred-Identity изменяются на поля MSISDN(800) целевого VoLTE телефона, а поле To (MSISDN абонента) злоумышленника, а поле Route (изменено) на IP-адрес S-CSCF .
Затем P-CSCF получает пакеты, отправленные злоумышленником, и пересылает их на IP-адрес в поле Route , атакующий получает три типа ответныех пакетов: ошибка 500 , ошибка 403, REFER
REFER указывает как раз на то, что сервер, отправляющий ответный пакет является S-CSCF, где зарегистрирован целевой телефон VoLTE
В этом случае поскольку IP-адрес назначения трафика сканирования, отправленного злоумышленником, является IP P-CSCF, IP источника ответного пакета также является IP P-CSCF.
Другими словами, атакующий не может подтвердить IP S-CSCF, на котором зарегистрирован целевой VoLTE с IP источника ответного пакета. Злоумышленник может подтвердить IP-адрес S-CSCF, на котором зарегистрирован целевой VoLTE-телефон , по значению тега в поле в пакете REFER .
Сообщение SIP SUBSCRIBE вызывает CSCF для получения информации о статусе телефона VoLTE.
В ответ CSCF отправляет сообщение SIP NOTIFY, содержащее текущие регистрационные данные, такие как IP-адрес для SUBSCRIBE что и нужно злоумышленнику !

После получения пакетов, отправленных злоумышленником, P-CSCF пересылает их на IP-адрес S-CSCF в поле Route, в то время как S-CSCF отправляет 200 OK и NOTIFY(он ему и нужен) злоумышленнику в ответ.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Теперь обсудим атаки "на то и то "

В этой атаке противнику необходимо находиться в радиодиапазоне радиусе действия жертвы и заранее знать IMSI жертвы, который можно получить с помощью IMSI catcher.
Противник посылает пакеты запроса на присоединение с IMSI жертвы в MME через SDR( оно кстати весьма дешёвое где то 300 долларов США).

Чтобы заставить UE жертвы инициировать переход между VoWiFi и VoLTE, противник может использовать атаку деаутентификации , чтобы прервать WiFi-соединение.

Наше SDR-устройство продолжает отправлять запрос на присоединение к MME.
Когда мы запускаем процедуру хэндовера на пострадавшем UE, мы обнаруживаем, что соединение между UE и основной сетью прервано.
UE не получает полезную нагрузку IKE Delete, которая является заключительным сообщением от основной сети, когда передача завершена.

При запуске хэндовера, согласно спецификации, ожидается, что хэндовер должен быть бесшовным для пользователя
Используя эту атаку, противник может остановить бесшовный переход от VoWiFi к VoLTE, что существенно снижает устойчивость сотовой связи.
После атаки в течение около двух секунд жертва достигает состояния, когда UE отключается от основной сети как через VoWiFi, так и через VoLTE.
После этого жертва может подключиться к VoLTE. Однако атака может быть запущена в цикле, чтобы держать UE в разрушительном состоянии хэндовера где оно не может подключиться к основной сети.

Думаю на этом можно заканчивать
Если хотите более подробно то можете заглянуть в архив ниже там много крутого .К примеру статьи про , работу Wifi Calling и VoLTE, про практику атак на них , про улучшение их безопасности🔥 .

В будующим могу сделать статьи про форензику и мобильные сети , просты про телефоны, мышление злоумышлиника и тд тоже будет .Просто сейчас у админа много дел и он не успевает "все и сразу" 🥲

А на этом все спасибо за прочтение . ❤️
Не забывайте идя по стране чудес, что чеширский кот улыбается даже когда вы его не видите🐈🧩
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Good afternoon my bunnies 🐰

Welcome to the wonderland so to speak. The admin wanted to touch mobile communications again
This time VoLTE and VoWiFi, or rather in this post I want to touch on VoLTE and Wi-Fi Calling , and attacks on them.
In their structure these two services are similar. But let us in order, the post will be divided into 5 parts because it is long. As well as an archive of detailed material on this topic will be below.

Let's start with VoLTE..📞

Roughly speaking VoLTE is a voice-over-IP scheme for PS.
But only PS based entirely on LTE . It does away with CS- the traditional solution for calls on 2G/3G networks. Voice messages are transmitted in ip packets on the data plane, not on a dedicated circuit. To facilitate voice communications, each VoLTE each call supports a separate signaling session.
VoLTE offers obvious advantages over traditional 2G/3G including improved quality (e.g., high definition calls), more features (e.g., video calls, voicemail) , and better compatibility (e.g., in mobile networks, wifi).
As VoLTE changes its design paradigm from CS to PS, we are interested in the question of whether such a significant change could be detrimental to the LTE network as well as to the users.

VoLTE uses the architectural structure of IMS

IMS provides ubiquitous media access using a common ip interface. Another important aspect is VoLTE support for UEs that are roaming.
There are two competing technologies for providing VoLTE roaming, namely LBO and S8HR.



The VoLTE architecture is based on 3GPP architecture and principles for VoLTE UE, LTE, EPC and IMS Core Network

It consists of the following features:
VoLTE UE contains functionality to access LTE RAN and EPC to enable mobile broadband connectivity. Access to VoLTE services requires an embedded IMS stack and a VoLTE IMS application;
E-UTRAN radio access network : LTE radio capabilities for FDD LTE, TDD LTE or for FDD and TDD LTE apply to VoLTE as well;
Enhanced packet core : EPC ;
The underlying IMS network in the VoLTE architecture provides the service layer of providing multimedia telephony;
I think the basic structure is clear to you. For more details about the architecture see the articles in the archive below (as well as more details about attacks🙃 )

VoLTE can interfere with other system components, thus creating new loopholes for attackers on the general network . 
PS-based operations for voice and data can enable data transmission over VoLTE . 

Moreover, because ip forwarding is readily available to the mobile OS, VoLTE extends access to CS within the device chipset to more open access to PS in the software.
This likely negates existing security mechanisms and security features for traditional voice transmission.
Finally, unlike conventional data services, VoLTE has a higher priority in resource allocation to ensure better quality. As you understand this can inadvertently serve as a side channel for leaking critical information.
In the absence of VoLTE control packet billing, exploitation leads to malicious data access.

Such "service" is available for both Mobile-to-Internet and Mobile-to-Mobile communications.
VoLTE sessions are not encrypted end-to-end by default, hence it is easy to eavesdrop on the connection, especially from the MNO side.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Now about Wi-Fi Calling Services 📡

Wi-Fi calling technology, also known as VoWiFi, is supported by 3GPP IMS .

It provides mobile users with cellular calls and text messages over Wi-Fi instead of cellular base stations. It is an alternative voice solution for mobile users who connect to base stations with weak signals.

Wi-Fi calls use the SIP protocol for signaling a call just like regular VoIP services, but differs from them technically. 

Its SIP signaling operation is a 3GPP-specific version. 

For security reasons, both 3GPP and GSMA stipulate that Wi-Fi calls have to use well-established SIM-based security and authentication methods, as in familiar VoLTE.

They basically include secret key protection in the physical SIM card and 3GPP AKA . In addition, all Wi-Fi call packets that can be sent over unsecured networks must be delivered over IPSec channels using ESP tunnel mode between the Wi-Fi call devices and the cellular network . 

Even though the packets are protected by IPSec tunnels, Wi-Fi calling service can still suffer
First, 3GPP WLAN selection mechanisms do not prevent devices from connecting to insecure Wi-Fi networks, which can hamper Wi-Fi calling service. Second, Wi-Fi call traffic, which is protected by IPSec, is vulnerable to side-channel attacks , which can lead to leakage of sensitive information. Third, the service continuity mechanism between Wi-Fi calling and cellular-based voice services may not take effect
Two IETF protocols, IKEv2 and IPSec, are used to maintain and enhance security in Wi-Fi calling.

Although... this network can still successfully exchange spoofed and manipulated packets with the sender and receiver without any identity verification process.
By creating an unauthorized access point equipped with an IPSec server on Wi-Fi networks, user devices can transmit IMSI, which can lead to privacy issues such as location tracking . Moreover, these protocols can be vulnerable to multiple DoS attacks.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Let's talk in more detail about the attacks themselves.⚙️

Preface - then there will be tech details
The VoWiFi attack story will be about a WiFi-based IMSI hijacker that uses an unauthorized WiFi access point to get the personal data of nearby users.
THDoS attacks, which can cause voice service denial for Wi-Fi calling users. Also about Dos attacks and many other vulnerabilities .

About VoLTE attacks we will break down the attacks which mainly involve free data channel, DoS and side channel attacks on IMS etc . The first is to create a free data channel by sending every packet that is forwarded from the 4G gateway directly to the Internet .
Here are some examples of attacks.

Let's start with Wi-Fi Calling.

Let's start by talking about THDOS .
In order to drop certain packets between a device and the network infrastructure, the adversary needs to identify the IPSec encrypted packets. Example: A device user receives an incoming Wi-Fi call, and answers it about 6 seconds after the call, the user has been engaged in a voice conversation for about 12 seconds. What happened during this time? Well what does the user see: 1 receiving the call; 2 answering the call; 3 talking; 4 hanging up. What we see:

1: The first incoming packet, which is intercepted at second 2, is a 1360-byte IPSec packet. We decrypt it on the subscriber side and identify it as a SIP INVITE message, indicating a call attempt. On the 2nd second, the subscriber sends a 180 RING message to the Wi-Fi call server. We then observe that several small IPSec packets as small as 176 bytes are received, but the recipient does not send any packets back.

1 : We detect that these are voice packets in the RTP protocol
2 : The caller answers the call at 8 seconds by sending a 200 OK message to the server, and then receives an acknowledgement at 9 seconds. After that the conversation starts and the subscriber starts to send/receive voice packets.
3: During the call, the subscriber continues to send/receive voice packets to/from the calling Wi-Fi server, but no SIP messages are observed. We further find that the caller receives at least 10 voice packets every two seconds from the server.
4: The caller sends a BYE message at the 20th second after the call was placed on the handset. Incoming packets of the "answering the call" event on the Wi-Fi . No more IPSec packets are observed after the 20th second . Note that if the caller hangs up first, the server must send a BYE message.

Now the attack example itself:
The caller receives several incoming calls from the caller.
There are two approaches. First, the adversary delivers a 183 message about the progress of the session sent by the caller, and then the caller's Wi-Fi device initiates another VoLTE call towards the caller. Second, the attacker delivers a message 180 message , sent by the caller, and then it causes the caller's Wi-Fi device to get stuck on the dial screen. The caller doesn't hear any notification tone, but the caller's device rings and the caller can continue dialing.

Sounds boring - I agree . For that reason, I'll give you an example
Disclosure Attack

WiCA was designed , to determine the call statistics of a Wi-Fi user, including who initiated the call and who hung up first, as well as the time of the call and the conversation. 

Call statistics are widely used to determine a user's personal information including personality, mood (e.g., stressed out), malicious behavior (e.g., dialing spam calls), and so forth. WiCA intercepts from Wi-Fi call packets WiCA extracts call statistics (such as call time and call duration) for each IP address of the device. The remaining packets are sent to a real-time traffic analyzer.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

WiCA traffic analyzer, which analyzes the identification of the application and information about the device.

Then there's the

UCIA it identifies each phone user's call statistics based on the surveillance camera, using facial recognition and human motion detection techniques. CS-IP2U uses call statistics from WiCA and UCIA to map each phone user to an IP address.
It generates a mapping table with the IP address and user ID as well as each user's call statistics. 

For more on this and on Wifi calls in general, you can look at the article archive below✨.

Now let's talk about VoLTE attacks

Attack on tracking location information of VoLTE phones

To track the location information of VoLTE phones, the attacker first scans the S-CSCF to find the S-CSCF where the VoLTE phone is registered. The attacker then obtains the VoLTE phone's IP address from the S-CSCF.
Finally, the attacker gets the location information of the target VoLTE phone. 

When the VoLTE feature on the VoLTE phone is enabled, the IMS registration process is initiated. At this time, the I-CSCF searches the HSS to identify the S-CSCF and assign it to the VoLTE phone.
The VoLTE phone, the attacker can confirm the S-CSCF IP address assigned to its phone in the "SIP 200 OK" packet during the VoLTE registration process and use it to determine the S-CSCF IP address range. S-CSCF IP address in the "SIP 200 OK" package during the VoLTE registration process
The SIP REFER message can be used to scan the S-CSCF IP address range and analyze reply packets to confirm the S-CSCF IP address where the target VoLTE phone is registered. The attacker sends SIP REFER packets to the P-CSCF, resulting in the From (caller's MSISDN) and P-Preferred-Identity fields being changed to the VoLTE phone's MSISDN(800), the To (caller's MSISDN) and ReferTo fields to the attacker's MSISDN(203), and the Route field to the S-CSCF IP address then P-CSCF receives packets, sent by the attacker and forwards them to the IP address specified in the Route field It then sends the SIP REFER packets to the P-CSCF, resulting in the From (caller MSISDN) and P-Preferred-Identity fields being changed to the target VoLTE phone MSISDN(800) and the To (caller MSISDN) field and the Route field being changed to the S-CSCF IP address .
The P-CSCF then receives the packets sent by the attacker and forwards them to the IP address in the Route field , the attacker receives three types of response packets: error 500 , error 403 , REFER
REFER indicates precisely that the server sending the reply packet is an S-CSCF, where the VoLTE target phone is registered
In this case, since the destination IP address of the scan traffic sent by the attacker is IP P-CSCF, the source IP of the reply packet is also IP P-CSCF.

In other words, the attacker cannot validate the S-CSCF IP on which the target VoLTE is registered with the reply packet source IP. The attacker can validate the S-CSCF IP address on which the target VoLTE phone , by the tag value in the field in the REFER packet . 

The SIP SUBSCRIBE message calls the CSCF for VoLTE phone status information.

In response, the CSCF sends a SIP NOTIFY message containing the current registration data, such as the IP address for the SUBSCRIBE, which is what the attacker needs ! 

After receiving the packets sent by the attacker, the P-CSCF forwards them to the S-CSCF IP address in the Route field, while the S-CSCF sends 200 OK and NOTIFY(which is what it needs) to the attacker in response.
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Now let's discuss the attack "on this and that"

In this attack, the adversary must be in the range of the victim and know in advance the IMSI of the victim, which can be obtained through the IMSI catcher. 

The adversary sends the connection request packets with the IMSI of the victim to the MME via SDR (which is by the way quite cheap, about 300 USD).

To make the victim's UE initiate the switch between VoWiFi and VoLTE, the adversary can use a deauthentication attack to break the WiFi connection.

Our SDR device continues to send a request to join the MME.
When we run the handover procedure on the affected UE, we find that the connection between the UE and the main network is terminated.
The UE does not receive the IKE Delete payload, which is the final message from the core network when the transfer is complete.

When running a handover, the specification expects the handover to be seamless to the user
Using this attack, the adversary can stop the seamless transition from VoWiFi to VoLTE, significantly reducing cellular resilience.
After attacking for about two seconds, the victim reaches a state where the UE disconnects from the main network through both VoWiFi and VoLTE.

The victim can then connect to VoLTE. However, the attack can be run in a loop to keep the UE in a destructive handover state where it cannot connect to the main network.

I think that would be enough
If you want more details you can check the archive below and read lots of cool articles about Wifi Calling and VoLTE, how to practice attacks on them and how to improve their security🔥 .

In the future I can make articles about forensics and mobile networks, simple about phones, thinking of a malicious user and so on. Just now the admin has a lot to do and he does not have time "all at once" 🥲

That's all, thanks for reading. ❤️
Don't forget walking through Wonderland that the Cheshire cat is smiling even when you can't see him🐈🧩
#wifi #lte #mobile #network #traffic_analysis #dos #attacks

Архив со статьями про атаки , структуру , безопасность VoLTE и VoWiFi . 📱📡

И еще много чем интересным: к примеру решение безопасности VoLTE с технологией блокчейн или атаки на VoLTE и VoWiFi на практике с подробным обьяснение и скринами с wireshark .
Настоятельно советую заглянуть .✨
Надею вам буде полезно ❤️

Archive with articles about attacks , structure , security of VoLTE and VoWiFi . 📱📡

And many more interesting articles: for example, VoLTE security with blockchain or practical attacks on VoLTE and VoWiFi with detailed explanations and screenshots from wireshark.
I encourage you to check it out.✨
I hope you will find it useful. ❤️
#wifi #lte #mobile #network #traffic_analysis #dos #attacks #gps #protection

Добрый день мои Алисы . 🧩

Админ не умер, админ пишет большой пост про форензику в сети тор(на 3-х разных уровнях: самой сети , ос , железа) 💜

А пока я это пишу, я решила дать вам архив крутых матерьялов по пост квантовой криптографии🔑

Это криптография защищающая от квантовых компов , которые должны появиться в скором бедующем.
Они без труда смогут ломать какой-нибудь алгоритм RSA (который мне в целом не нравиться и за большого числа его уязвимостей , тем не мнение он много где используется ).
Так что это очень интересная тема, для тех кто хочет сделать относительно безопасную систему , которая останется таковой и в ближайшем бедующем .

Там будет матерьял про нужность этой криптографии и про технический прогресс , про последние достижение энной ,про работу некоторых ее алгоритмов и работу с блокчейн и много еще чего крутого .

Надеюсь вам будет полезно❤️✨


Good afternoon my Alice. 🧩

The admin is not dead, the admin is writing a big post about forensics in tor network (on 3 different levels: network itself, os, iron) 💜

And while i'm writing this, i decided to give you an archive of cool stuff on post quantum cryptography🔑

This is cryptography protecting against quantum computers which will appear in the near future. 

They can easily break RSA (which I don't like because of its many vulnerabilities, but nevertheless it is used everywhere).
It is a very interesting topic, for those who want to make a relatively safe system, that will remain so in the near future.

There will be a material about the necessity of this cryptography and the technical progress, about the last achievements of the ennoy, about the work of some of its algorithms and work with blockchain and many other cool things.

I hope you will find it useful❤️✨
#news #cryptography #anonymity

#news #cryptography #anonymity

Еще раз добрый день мои чеширские котики 🐈🎩

Вот вам пост-сборник про windows . 🎯

Точнее про различные эксплоиты для различных ее уязвимостей ,и  инструменты и статьи по безопасности энной .

Пост сделан исключительно в ознакомительных целях и для улучшения вашей безопасности .

Надеюсь вам будет полезно:
Windows-RCE-эксплоиты
Windows-эксплоиты на многие cve от 2012 до 2017
Эксплоиты на CVE-2022-21907 еще тык
Эксплоиты на CVE-2022-21999
Эксплоиты на CVE-2022-29072
Сборник различных эксплоитов на cve 2022 года
Исследование безопасности от Microsoft Security Response Center (MSRC)
Privatezilla -интструмент безопасности


Good afternoon again my Cheshire cats 🐈🎩

Here's a post-collection for you about windows . 🎯

More precisely about the different exploits for its various vulnerabilities , and tools and articles on security enna .

This post is only for introductory purposes and to improve your security.

I hope you will find it useful:
Windows-RCE-exploits
Windows exploits for many cve from 2012 to 2017
Exploits for CVE-2022-21907 more link
Exploits for CVE-2022-21999
Exploits for CVE-2022-29072
A collection of various exploits for cve 2022
Security research from Microsoft Security Response Center (MSRC)
Privatezilla security tool
#windows #attacks #cve #exploit #polymorphic #pentest

Добрый день мои дорогие улыбчивые котики и шляпники 🐈🎩
С хеллоуином вас.👻

Я хотела плотно заниматься постом про тор, но в честь праздника как многие хотели я решила сделать пост про динамический анализ вирусов .🦠

Напомню динамический анализ вирусов это когда мы анализируем уже не посредственно сработавший и запущенный вирус , статический анализ это анализ не посредственно , без запуска самого вируса . Гибридный анализ это - смесь динамического и статического анализа .

Чаще всего если у нас уже есть зловредный файл и первым выступает статический анализ-декрипт обнаружение вредоносной программы и анализ работы , потом уже динамический - запуск молваря и анализ его работы в запущенном виде . В прочем как их чередовать уже зависит от ситуации 🙃

Динамический анализ вредоносных программ , включает в себя множество задач, например: Мониторинг сетевой активности: процессы, файловая система, ключи реестра и тд .

Для начала еще хотелось бы упомянуть про то как вредоносное по скрывается от анализа . От анализа можно скрываться по-разному: вредоносным dll запросами ,shell кодами, шифрование самого кода вируса, полиморфизм - код вируса не должен быть постоянным , должна быть постоянная и видоизменяется при каждом новом заражении. Тут часто "скачут по коду на ассемблер" к примеру:

start_code :
    push  plimorf         ; заносим адрес возврата
    inc   di              ; мусор..
    ret                   ; jmp next
    xor   dx,dx           ; 
    dec   bp              ; 
    retf
plimorf: 
 *еще код*    

Метаморфизм - создание различных копий вируса , перестановки местами кусков кода, вставки между значащими кусками кода мусорных команд, которые практически ничего не делают, к примеру добавление не нужных байтов и различного кеша в регистры на ассемблере ,или более умных методов обманка регистры к примеру, воспользоваться нулевым дескриптором из GDT:
sgdt [esp-6]
mov r, [esp-4]
mov r, [r]

Теперь поговорим именно о самом анализе более подробно:
Сам динамический анализ чаще всего проходит в программах для анализа сети , одна из них пожалуй самая популярная и моя любимая это wireshark . Но есть и другие: PeStudio, ProcMon, Autoruns, FakeNet-NG, Ghidra.

Хочу привести пример такого анализа вируса .
Данное действие происходит на windows . Допусти у нас есть Вася . Вася загружает вредоносный файл вируса кейлогера(который будет отправлять данные на сервер Васи) на какой: либо сайт и ждет пока его скачает кто-либо . Для простоты структура вируса довольно проста и вирус загружает данные лога простой txt без его шифрования и тд

Маша работает в компании "Тыковка"🎃 (Сегодня хеллоуин же как не как) качает вирус Васи .
Вирус собирает данные , но в один прекрасный миг замечается подозрительная активность , и обнаруживается вирус .
Другие специалисты проводят статический анализ , после дают нужные данные для динамического .
Мы запускаем Васин вирус , и мы смотрим что случилось.

Сразу после запуска мы заходим какой-нибудь в Wirehark, смотрим пост запросы с нашего пк http.request.method=="POST" .
Видим подозрительный пост запрос на сайт xxx_virus.net, смотрим в данные запроса и там отправляется key.txt . Заглянув в этот файл и мы видим лог наших клавиш.
Еще можно было посмотреть процессы( В прогах типа PeStudio) и похожим образом обнаружь наши функции кейлогера , и уже с помощью салического анализа найти хост .
Собственно во мы и поняли как работает вирус .

Да на практике все в разы труднее и этот пример в сильно упрощает анализ вируса .⚙️

Для более подробных примеров ,можете заглянуть в архив со статьями там много чего интересного

, так же есть статьи про метоморфзм и полиморфизм✨🎯

В будующем могу найти конкретный вирус(можете предлагать в комментариях интересные вирусы🔥 зареверсить его и оформить это как пост для вас)

А на этом все . Спасибо за прочьтение❤️
И помните не кто не будет есть черепаху Квази , а она все равно исполняет гарусную песню про то как ее съедят☠️🐢
#network #forensics #virus #revers #malware #windows

Good afternoon my dear smiling cats and hats 🐈🎩
Happy Halloween to u.👻

I was going to do a heavy tor post, but in honor of the holiday like many wanted I decided to do a post about dynamic virus analysis .🦠

Let me remind you, dynamic virus analysis is when we analyze a triggered virus, static analysis is when we analyze a virus which is not triggered directly, without triggering it. Hybrid analysis is a mix of dynamic and static analysis.

Usually if we already have a malicious file and the first act is a static analysis-decrypt detects a malicious program and analyzes its work, next is a dynamic analysis - runs the malware and analyzes its work in running form. By the way how to alternate depends on the situation 🙃

Dynamic malware analysis, includes many tasks, such as: Monitoring network activity: processes, file system, registry keys, etc. .

We would also like to start by mentioning how malware escapes analysis. There are different ways to hide from analysis: with malicious dll queries, shell codes, encryption of the virus code itself, polymorphism - the virus code should not be constant, it should be constant and change with every new infection. It is often "jumping around in the assembly code" for example:

start_code :
    push plimorf ; write the return address
    inc di ; garbage
    ret ; jmp next
    xor dx,dx ; 
    dec bp ; 
    retf
plimorf: 
 *more code*    

Metamorphism is creating different copies of the virus, rearrangements of pieces of code, inserting between the meaningful pieces of code garbage instructions which do almost nothing, for example adding unnecessary bytes and different caches in the registers in the assembler, or cleverer register tricks like using the null descriptor from the GDT:
sgdt [esp-6]
mov r, [esp-4]
mov r, [r].

Now let's talk about the analysis itself in more detail:
Dynamic analysis itself is often held in programs for network analysis, one of them is probably the most popular and my favorite is wireshark. But there are also others: PeStudio, ProcMon, Autoruns, FakeNet-NG, Ghidra.

I would like to give an example of such a virus analysis.
This action is performed on windows. Let's say we have Vasya. He uploads a key logger virus file (which will send the data to his server) to a site and waits until someone else downloads it. For simplicity, the structure of the virus is simple enough and the virus downloads the logger data in a simple txt file without encrypting it, etc.

Masha works at "Pumpkin" 🎃 (it's Halloween night) she downloads Vasya's virus.
The virus collects data, but at one point she notices suspicious activity, and the virus is detected.
Other specialists do static analysis, then they give us the data we need for dynamic analysis.
We start Vasin's virus and we look what happened.

Immediately after we run it we go to Wirehark and see the post requests from our pc http.request.method=="POST".
We see a suspicious post request to xxx_virus.net, we look at the request data and there the key.txt is sent . Looking into this file and we see the log of our keys .
It is also possible to look at our processes (in programs like PeStudio) and to find our keylogger functions, and to find the host with the help of salic analysis.
In fact we have understood how the virus works.

In practice it is much more difficult and this example simplifies the virus analysis.⚙️

For more detailed examples you can take a look at the archive with articles there is a lot of interesting things.
There's also articles about metomorphism and polymorphism✨🎯 

I can find a particular virus (you can offer me interesting viruses in the comments 🔥, turn it over and write it as a post for you)

That's all for now. Thank you for reading❤️
And remember no one will eat the turtle Kwazy, and it still sings a harrowing song about being eaten☠️🐢
#network #forensics #virus #revers #malware #windows

В архиве есть:

Статьи про анализ вирусов - с подробными примерами и скринами, так же подробное обьяснение про динамический анализ .

Несколько статей про мероморфизм и борьбу с ним , так же про полиморфизм. На практике с примерами ассемблерного кода .

Надеюсь вам будет полезно.❤️
Так же напомненною , в следующем посте про реверс я хочу проанализировать какой-нибудь интересный вирус и ваши предложения в комментариях тоже рассматриваются🎯


The archive contains:

Articles about virus analysis - with detailed examples and screenshots, as well as a detailed explanation of the dynamic analysis.
Several articles about meromorphism and fight against it, as well as about polymorphism. In practice with examples of assembler code. 

I hope you will find it useful.❤️
Just as a reminder , in the next post about reverse I want to analyze some interesting virus and your suggestions in the comments are also considered🎯
#network #forensics #virus #revers #malware #windows

Добрый день, белые кролики мои🐰
Сегодня я хочу сделать небольшой пост про форензику и чуть-чуть про атаки на тор 🧅

Начнем с расследований

Я покажу директории где может быть полезная информация для расследованей . 
Для более подробных расследований загляните в архив ниже .

✨

Для начла windows .

В расследованиях нам важно когда запускался браузер , винда отслеживает, как запускается система и какие программы обычно открывает пользователь. Эта информация сохраняется в виде нескольких небольших файлов в папке Prefetch:

 C:\Windows\Prefetch\START TOR BROWSER.EXE-F5557FAC.pf
 C:\Windows\Prefetch\TBB-FIREFOX.EXE-350502C5.pf
 C:\Windows\Prefetch\TOR-BROWSER-2.3.25-6_EN-US.EX-1354A499.pf 
 C:\Windows\Prefetch\TOR.EXE-D7159D93.pf
 C:\Windows\Prefetch\VIDALIA.EXE-5167E0BC.pf

Файлы кэша, скорее всего, похожи на файлы prefetch. Они могут содержать следы Tor Browser Bundle:

 C:\Users\runa\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
 C:\Users\runa\AppData\Local\Microsoft\Windows\Caches{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000006.db
 C:\Windows\AppCompat\Programs\RecentFileCache.bcf

Microsoft Windows использует файл pagefile.sys, для хранения кусочков памяти, которые не размещены в физическую память. Он содержит информацию о подключенном внешнем диске, а также имя исполняемого файла Tor Browser Bundle.


C:\Windows\Prefetch так же возможно полезная директория 

Здесь возможно важная информация и дата тор

C:\Users\username\Desktop\Tor Browser\Browser\TorBrowser\Data\Tor

здесь torrc


C:\Users\User\ Desktop\Tor Browser\Browser\TorBrowser\Data\Tor

Файлы extensions.ini и compatibility.ini находятся тут:

C:\Users\Username\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

Чтобы получить информацию о посещенных сайтах, и тд., откройте файл places.sqlite от сюда:

C:\Users\Username\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default

Теперь поговорим о linux и его возможно важных нам директориях

Важная дата и логи


/var/log/tor/
/var/lib/tor/ 

или

/usr/local/var/lib/tor

браузер и его данные

~/.local/share/tor-browser/

файл настройки torrc


/etc/tor/

Теперь про mac и важные директории на нем

лог ASL :

/var/log/asl/
/var/log/asl/

Возможно важные файлы

/var/log/asl/StoreData
/var/log/asl/SweepStore

Путь к пакету Tor на рабочем столе и путь к пакету браузера Tor в корзине:

/.fseventsd/0000000000172019

Еще важные директории

var/folders/fb/v5wqpgls029d8tp_pcjy0yth0000gn/C/ 
/var/folders/zz/zyxvpxvq6csfxvn_n0000000000000/C/

Более подробно именно про форензику и расследования советую почитать в статьях ниже в архиве 🔥
#network #linux #tor #forensics #windows