通信人家园

标题: 4G伪基站已来且危害更大 [查看完整版帖子] [打印本页]

时间: 2016-6-21 10:39

作者: 燚先生 标题: 4G伪基站已来且危害更大

本号自2月中旬以来，差不多中断了近4个月时间。感谢两位行业内的朋友提供的一些信息，让我又重新激发了写作的欲望。

一、前文回望

前文《伪基站工作原理及其预防措施》中我们介绍了伪基站如何利用终端的漏洞，获得终端的标识信息，并向终端发送垃圾短信的技术方案。简单总结如下：

1、伪基站设置为一个异常的TAC，使处于RRC空闲态的终端重选到伪基站，并请求更新路由区（TAU Request），获取终端的GUTI或IMSI；

2、终端并不要求与网络进行双向的鉴权，使得伪基站在获取到GUTI或IMSI之后，可以构造出NAS消息DL Information Transfer伪装成路由接受（TAU Accept）消息直接发送给指定终端，并在其中携带CP-DATA（短信内容）给终端，完成垃圾消息的发送。

二、LTE伪基站来了

上文仅仅是基于GSM伪基站的工作原理去猜测LTE伪基站可能的实现技术方案。然而非常不幸的，在文章发出后不久就陆续听到有关LTE伪基站的存在。蒙一位朋友的协助，现将相关现场的信令截取情况发给大家共同学习。

1、与GSM伪基站一样，也是重选和TAU来实现与UE的第一次通信。相比于GSM通过设置CRO来增强伪基站的吸附能力。LTE更容易通过设置“系统内小区重选优先级”、“频点偏置值”和“小区偏置值”来增强伪基站的吸附能力。

2、一旦伪基站获取了UE的GUTI后，可以造出任何NAS消息（DLInformation Transfer）来伪装为TAU Accept消息用于传递数据（如CP-DATA）或要求终端上报其他信息（如UE IMSI）。

3、从信令上识别伪基站

从UE侧的空口信令：没有与TAURequest对应的TAU Accept，而是DL Information Transfer。

从MME侧的NAS信令：UE在同一个TA以IMSI发起TAU Request，且EPS updatetype 为"TA updating"。

4、实测确认采用高通芯片的苹果iphone6，海思芯片的Mate8和联发科芯片的红米Note3均存在类似的问题。

三、LTE伪基站危害更大

如上所述，伪基站除了能够被用于发送垃圾短信外。新型的伪基站更是实现了将伪基站与伪终端合体，“采用两头欺骗的方法，在移动网络和真正的用户终端之间建立起了联系，先冒充用户发起呼叫，当网络侧要验证用户身份时又诱骗真正的用户终端反馈身份信息，从而使得网络侧被欺骗”[1]，用于做长途呼叫或者拨打声讯电话直接实现盈利。具体方法如下：

1、  伪基站先伪装成正常的基站让终端重选到伪基站；

2、  伪基站广播系统消息，改变TA，使终端发起位置更新；

3、  伪基站给终端分配一条SDCCH信道，并向终端查询IMSI；

4、  伪基站变身为伪终端用获得的IMSI向正常的基站发起业务请求；

5、  利用终端完成鉴权SRES的计算，并回复给网络完成鉴权，同时获得加密密钥Kc；

6、  伪基站向任意的目标用户发起业务呼叫。

整个过程中有两处需要终端的配合，分别是获取终端的IMSI和鉴权、加密参数。可见，只要终端没有对网络进行鉴权，整个过程就会显得非常配合，那么这样的问题就不可避免。

由于盗打国际长途可以获得更大的利益，在这个案例中，伪基站主要布设在国际机场的国际到达出口，可以直接锁定目标客户——开通国际漫游通话，且有较大的花费预存。

四、小结

从上面的分析也可以看到，为了让终端保留SDCCH信道，伪基站一般不会给终端回复LA Response消息，以便伪基站可以利用SDCCH传递短信、获取IMSI和完成鉴权等操作。对于GSM来说，终端没有对网络做鉴权的机制，即使是LTE，目前也没有看到终端有对网络进行鉴权的案例。因此上述的问题将不可避免会发生，唯一的解决方案还是在于终端，即使终端被伪基站捕获了TMSI/GUTI或IMSI，只要不保留信令信道（SDCCH或SRB），伪基站就无法发送短消息或者通过网络鉴权。具体方案如下：

对于GSM终端：若UE之前发起了LAURequest消息，而接收Immediate Assignment的MM消息不是LAU Accept则直接做丢弃。

对于LTE终端：若UE之前发起了TAURequest消息，而接收DL Information Transfer消息不是TAU Accept则直接做丢弃。

附件: 1.webp (1).jpg (2016-6-21 10:38, 171.03 KB) / 下载次数 2
https://www.txrjy.com/forum.php?mod=attachment&aid=MjkwMTMxfDk0YjBmMDIwfDE3MzIzNzc2MzJ8MHww

附件: 2.webp (1).jpg (2016-6-21 10:38, 171.63 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=MjkwMTMyfDYwZmUyMjE0fDE3MzIzNzc2MzJ8MHww

附件: 3.webp (1).jpg (2016-6-21 10:38, 79.25 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=MjkwMTMzfDhlYjExYjUwfDE3MzIzNzc2MzJ8MHww

时间: 2016-6-21 10:53

作者: fei4977

支持技术大牛！

时间: 2016-6-21 14:17

作者: zhb66

严厉打击

时间: 2016-6-21 18:46

作者: hzmimic

请教一下伪基站怎么跟核心网连接的，按理说LTE系统里边有IPsec，怎么轻易能连接到核心网呢。

时间: 2016-6-22 08:46

作者: meteorsky

hzmimic 发表于 2016-6-21 18:46
请教一下伪基站怎么跟核心网连接的，按理说LTE系统里边有IPsec，怎么轻易能连接到核心网呢。

伪基站是独立的，不和核心网直接连接。

时间: 2016-6-22 09:24

作者: yvtou

干货技术贴，必须顶！

时间: 2016-6-22 09:29

作者: qh6678

技术牛

时间: 2016-6-22 10:00

作者: hzmimic

meteorsky 发表于 2016-6-22 08:46
伪基站是独立的，不和核心网直接连接。

你仔细看下楼主发的图，伪BTS和MSC之间的流程图

时间: 2016-6-22 11:30

作者: meteorsky

本帖最后由 meteorsky 于 2016-6-22 11:32 编辑

hzmimic 发表于 2016-6-22 10:00
你仔细看下楼主发的图，伪BTS和MSC之间的流程图

还是你仔细看看吧。。。。。

那个图是信令流程图，有信令交互并不代表与核心网直接相连。
并且楼主文里面说的很清楚了，伪基站变身为伪终端，向正常的基站发起业务请求。。。。。

时间: 2016-6-23 08:46

作者: fl00der

“二、LTE伪基站来了”，配的两张截图很有意思，真有这个漏洞就好玩了。

“三、LTE伪基站危害更大”，这一节标题党了。说的内容和配的图都不是LTE，而是GSM的中间人攻击，这个我已经编程实现了。

LTE伪基站我也实现了，但是不是用来发短信，而是用来降级手机。

时间: 2016-6-28 22:05

作者: 南风阙

槽点太多，垃圾公司拿来骗钱的产品，前两个截图有明显漏洞

时间: 2016-7-4 14:06

作者: gongxinzu2010

很搞笑，只问一点：
5、利用终端完成鉴权SRES的计算，并回复给网络完成鉴权，同时获得加密密钥Kc；

伪基站如何做到获取SIM/AuC中的Kc？这个参数永远不会通过空口发送。

时间: 2016-8-4 09:00

作者: manyzhao

fl00der 发表于 2016-6-23 08:46
“二、LTE伪基站来了”，配的两张截图很有意思，真有这个漏洞就好玩了。

“三、LTE伪基站危害更大”， ...

请问LTE伪基站怎么降级手机的？

时间: 2016-8-9 16:00

作者: pandama

技术不断在进步，5G，量子通信，我们以后肯定可以用到

时间: 2016-8-23 15:56

作者: susefu

技术牛,人才

时间: 2016-11-23 16:19

作者: jielovey

学习下了。。。

时间: 2016-11-27 17:05

作者: yuxivv321

挺好的学习一下感谢分享

时间: 2016-12-25 18:33

作者: datouyu111

挺不错，顶楼主！

时间: 2016-12-30 11:57

作者: 张小棠

技术大牛，
膜拜

时间: 2018-2-7 23:00

作者: harvey_win

hzmimic 发表于 2016-6-21 18:46
请教一下伪基站怎么跟核心网连接的，按理说LTE系统里边有IPsec，怎么轻易能连接到核心网呢。

如果伪基站有双发双收能力，可以同时和手机及正常基站通信，这样可以选择性的把真基站的信息透传给终端。

时间: 2018-2-7 23:03

作者: harvey_win

hzmimic 发表于 2016-6-21 18:46
请教一下伪基站怎么跟核心网连接的，按理说LTE系统里边有IPsec，怎么轻易能连接到核心网呢。

如果伪基站有双发双收能力，可以同时和手机及正常基站通信，这样可以选择性的把真基站的信息透传给终端。

时间: 2018-2-7 23:03

作者: harvey_win

meteorsky 发表于 2016-6-22 11:30
还是你仔细看看吧。。。。。

那个图是信令流程图，有信令交互并不代表与核心网直接相连。

确实有点扯，伪基站和核心网咋发消息的，没有实体链接，难道通过空口发送？或者伪基站要具有双发双收功能，同时和UE及接入网交互，那流程图也不应该是图上那样的。

通信人家园 (https://www.txrjy.com/)