Hello my white rabbits. 🐰
Before we start:
I want to thank you 500 people on the channel, I'm very happy about that 🎉❤️

I want to talk about mobile network forensics📡 and how this evidence will be used in court.

The post is divided into 3 for it is long, also below will be an archive with detailed material on this topic⭐️

Now literally everyone has a cell phone with the ability to use many Internet services, a similar and increased communication leads to a decrease in "normal" communication events (voice calls, text messages, etc.), recorded in disclosed CDR now has more events with the transfer of GPRS / mobile data recorded in billing data.
And this means that analysts are forced to analyze more and more scales of data which is quite time-consuming🧩
The impact of the uncertainty that exists with respect to CDR GPRS/mobile data, particularly with respect to the "starting cell" specified in the CDR and the correlation between that cell and cell site conclusions based on GPRS evidence often cannot be as certain as data that can be made from GPRS data.

First, a little bit about GPRS

GPRS offers a "packet-switched" data service. 

Services with PS usually only occupy a connection cell when they actually have something to send or receive (messages, calls, etc)
This makes it well suited for transmitting data traffic.

Most data applications - web browsing, email, etc, have data to be exchanged only periodically(packets)
But roughly speaking, the term "GPRS" (and the related term "EDGE") refers only to mobile data service provided in 2G networks.
In 3G, 4G, and 5G networks, this service is called simply "mobile data" or "packet-switched data," but the term "GPRS" has caught on and is mistakenly used as a generic term for all mobile data services.

In the following text, the terms "GPRS" and "PS data networks" will be used to refer to all generations of mobile network 🙃

2G GPRS data services use the same radio channels, cells, and access networks as GSM 2G voice services. 

GSM increases the capacity of its radio channels by separating
each into a set of 8 "timeslots" - up to 8 telephones using the same radio channel simultaneously, each of which periodically transmits/receives small amounts of data into its own
timeslot in a strict sequence.

The BSC in 2G handles traffic received in the "voice" and "data" time slots differently, redirecting voice traffic to the CS core network and data traffic to the PS
of the core network.

3G/4G/5G radio channels do not use timeslots, but do share the resources of the connections they use. The generic terms "connections" or "sessions" will
used to describe the PS data connections used by all network generations.

The core PS 2G/3G network consists of two basic elements known as the SGSN and GGSN .The SGSN communicates with the access network and manages the exchange of data packets

with mobile devices.
The SGSN receives requests to establish a data session from mobile devices and forwards them to the GGSN. Once the session is activated, the SGSN transmits data packets both upstream and downstream and keeps a count of the amount of data sent and received. The SGSN also periodically receives the cell information that each active mobile device is currently using and takes note of any changes to the cell or routing area.
The GGSN is essentially a router that communicates with external networks, such as the Internet
#GPRS #network #mobile #forensics

Each GGSN can connect to multiple external networks and includes a logical element, known as an APN element, 

to perform the duties of communicating with each specific external network. 😶‍🌫️

The name assigned to an APN usually reflects the network or service to which it connects, so typical APNs are 'Internet', 'MMS' and 'ims'. The SGSN and GGSN generate CDRs for each data session and transmit them to the network.

The 4G PS core network uses devices similar to the SGSN/GGSN, which are called S-GW and P-GW . Connection control and subscriber management in 4G networks is done with MME . Billing data for 4G data sessions are generated in S-GW and P-GW.

5G networks use similar mobile data processing methods as 4G networks, although the names of network nodes have changed again:
instead of packet data processing node types, the 5G network has only one type of device known as UPF . Connections and subscribers are managed by a node known as AMF (Access and Mobility Management Function). Billing data is generated in the UPF.

Voice and text events usually have a very clear temporal identity, in the sense that there is from the start time to the end time of the voice call and the transmission time or
delivery time of the text event. The call records for SMS events identify the cell ID that was used to transmit the text message.
SMS transmission usually takes only a few tens of milliseconds, there is no mechanism to allow switching during an SMS event, so SMS records usually only specify the identifier of the "start" cell.

In the case of both voice and SMS events, cell site analysts can be absolutely certain that the target phone was within coverage of the listed cells at the time the event began and (in the case of voice records) at the time the event began and at the time it ended. 👌

Thus, from the cell site reports, it can be concluded with respect to the cell serving the important location that the use of that cell is consistent with the possibility that the target phone may have been "in" that location GPRS/PS data CDRs may be much less certain about the correlation of their timestamps and starting cells, and therefore potentially less valuable in terms of the evidence about the cell site that they can provide.
A new GPRS/PS data CDR opens when the mobile device establishes a new logical session with the data network Internet📡 for example, there each new session is assigned a separate identifier.

Separate CDRs are generated by the SGSN/S-GW and GGSN/P-GW nodes.
#GPRS #network #mobile #forensics

So that's what these technical details are for?

They are needed for you to understand how mobile networks work and how data is transmitted over them, so that you understand how you can be tracked.

What does our operator collect?

It collects everything we have, as you have read before:

from our exact location (even if you don't make any calls), to our search history and internet sites, calls and sms (but it is a bit more complicated as you read above), or that you use i2p, vpn or tor.

Because of this I sincerely advise not to use something like this with the phone.

More on data collection in the articles in the archive below✨🧩

But what of this can be applied in court?

Let's talk about the forensics of MNO operators and MVNO operators, but a remark all that is said here is relevant mainly to the USA nevertheless much of it is also relevant in other countries .
But as we probably know the activity of MNO/MVNO subscribers defined in 3G standards is CDR, it is a kind of "collection of information about the paid event" (for example, call setup time, duration of the call, the amount of data transferred, etc.)

CDR, belong to the class of independent evidence. That is, this evidence is presented in the courtroom primarily as evidence of business records. 

Usually the key pieces of evidence are CDR/CSLI and MNO may also use the mobile subscriber activity records (created during the usage of the subscriber's device while it is registered in the MNO/MVNO infrastructure and during the communication sessions), voice calls, text SMS, voice calls, SMS text messages and data usage.
Multiple mobile network elements including HLR, VLR , CGF, PCRF are documented as evidence of device usage , as well as sending activity records to the billing/billing gateway.

I think that's all✨
For more details see the archive with articles below. Lots of interesting stuff there 🙃

Thanks for reading❤️ .
And remember even if you are not a jack of hearts, you can also be judged by the queen of spades🃏♠️
#network #mobile #forensics

Статьи про форензику , сбор данных от мобильных операторов, про работу мобильно сети и про лояльность сбора приватной информации оператором. И так же еще много чего интересного .
Надеюсь вам будет полезно❤️🧩

Articles about forensic, data collection from mobile operators, the work of the mobile network and the loyalty of the collection of private information by the operator. And also many other interesting things.
I hope you will find it useful❤️🧩
#network #GPRS #tor #mobile #forensics #anonymity

Привет, мои Мерри эн 🐭🧩

Хочу предоставить вам автомобильную уязвимость CVE-2022-27254. 🚗

Она затрагивающая некоторые модели автомобилей Honda и Acura

В ней злоумышленник может получить полный и неограниченный доступ к запиранию, отпиранию, управлению окнами, открытию багажника и запуску двигателя целевого автомобиля

Атака состоит в том, что: злоумышленник перехватывает радиочастотные сигналы с вашего брелока, и повторно отправляет их, чтобы получить контроль над системой без ключа вашего автомобиля.

Подробнее CVE-2022-27254, представляет собой атаку MitM или, точнее, атаку повторного воспроизведения, при которой злоумышленник перехватывает РЧ-сигналы, обычно отправляемые с удаленного брелка в автомобиль.
Потом повторно отправляет их, чтобы разблокировать автомобиль по желанию.
Простого захвата сигнала, отправленного с FOB, достаточно, чтобы получить хоть какой-то контроль над транспортным средством, лол😶‍🌫️.
Если цель блокирует свою машину, все, что требуется, — это получить ее сигнал и сохранить его, чтобы получить возможность воспроизвести ту же команду и получить соответствующую реакцию машины.

Honda сообщила нам, что несколько автопроизводителей используют устаревшие технологии для реализации функций удаленной блокировки и разблокировки, и поэтому могут быть уязвимы для "решительных и очень технически продвинутых воров".

"В настоящее время кажется, что устройства работают только в непосредственной близости или физически прикреплены к целевому транспортному средству, что требует локального приема радиосигналов от брелка владельца транспортного средства, когда транспортное средство открывается и заводится поблизости"

Обратите внимание, что в своем заявлении Honda прямо упоминает, что не проверяла информацию, предоставленную исследователями, и не может подтвердить, действительно ли автомобили Honda уязвимы для такого типа атак.

И как вы понимайте они не сильно горят желанием устранять это. 

А на этом все, будьте осторожнее с вашими авто. 🚘

Вот вам полезные ссылки на различные poc и статьи про эту уязвимость

Тык
Тык
Тык
Тык
Тык

Спасибо за прочтение❤️
И помните: Младенец которого качает герцогиня на самом деле поросенок 🐷
#car #attacks #cve #exploit #news

Hello, my Merry en 🐭🧩

I want to give you the automotive vulnerability CVE-2022-27254 . 🚗

It affects some models of Honda and Acura cars.

In it, an attacker can gain full and unrestricted access to lock, unlock, control windows, open the trunk, and start the engine of the target vehicle

The attack is this: the attacker intercepts radio frequency signals from your key fob, and re-sends them to gain control of the system without your car key.

Read more CVE-2022-27254, is a MitM attack or, more specifically, a replay attack in which an attacker intercepts RF signals normally sent from a remote key fob to your car.
Then re-sends them to unlock the car at will.
Simply capturing the signal sent from the FOB is enough to gain some control over the vehicle, lol😶‍🌫️.
If a target locks their car, all it takes is getting their signal and saving it to be able to replay the same command and get an appropriate response from the car.

Honda told us that several automakers are using outdated technology to implement remote locking and unlocking features, and therefore may be vulnerable to "determined and very technically advanced thieves."

"Currently, the devices seem to work only in close proximity or are physically attached to the target vehicle, requiring local reception of radio signals from the vehicle owner's key fob when the vehicle is opened and started nearby."

Note that in its statement, Honda explicitly mentions that it has not verified the information provided by the researchers and cannot confirm whether Honda vehicles are indeed vulnerable to this type of attack.

And as you can understand they're not too keen on fixing it. 

And that's it, be careful with your autos. 🚘

Here are some useful links to various poc and articles about this vulnerability

Link
Link
Link
Link
Link

Thanks for reading❤️
And remember: The baby the Duchess is rocking is actually a piggy 🐷
#car #attacks #cve #exploit #news

"Демократия" решила что будет вторая часть про телефоны- сейчас работаю над ней сегодня/завтра выйдет

"Democracy" has decided that there will be a second part about phones - now I'm working on it today /tomorrow it will be released

Добрый день, мои любопытные Алиски . 🧩✨

Извините за долгое отсутствие .
Пока я пишу про телефоны (там давольно большая тема , но думаю вам понравиться) , я решила седлать статью про мобильную связь📱 .
Точнее про атаки в SS7 (в 4g или LTE в частности) 📡

Да многие говорят: "ss7 устарел", хотя на практике он используется все довольно часто.
В особенности в странах снг, впрочем, не только в них. По прогнозам, объем мирового рынка SS7 достигнет 597 млн долларов США к 2028 году по сравнению с 531,2 млн долларов США в 2021 году при среднегодовом темпе роста 1,7% в период с 2022 по 2028 год.
Да и вообще он все еще в расцвете сил (так сказать) , во много регионах Европы даже в азии.
Вот более подробный матерьял про рынок ss7 : тык

По это причине будет резонно поговорить именно о нем его уязвимостях, в частности перехвате IMSI и dos атаках.🎯
Из привёдших постов по этой теме(если не читали их гляньте по тегу #ss7) вы уже помните что такое ss7 и как оно работает .

Теперь следует поговорить про сам атаки на его уязвимости

Первое о чем я хочу рассказать это что-то вроде прослушивания . 

Ибо злоумышленник может подслушивать данные абонента, отправлять/изменять текстовые сообщения жертве, действуя как MiTM. При этом жертва совершенно не подозревает об атаке , если кратко (подробнее будет в одной из статей ниже в архиве) и в посте в последствии .
Злоумышленник устанавливает мост между двумя вызывающими сторонами и направляет все звонки в свою систему мониторинга. Для этого используются MAP сообщения и функция переадресации вызовов.
Целевой пользователь обычно не знает об этой атаке. А злоумышленник может направить вызовы жертвы в систему мониторинга на уровне MAP-сообщений SS7.

Одной из причин этого , является отсутствие шифрования в сети что "на руку " для этих атак.

Еще есть атаки когда при атаке выдается MSC. Целью является получение текстовых сообщений или информации о банковском счете жертвы и подобные другие атаки. USSD используются для получения инфы к примеру банка . Счет жертвы может быть незаконно присвоен к примеру.

Так же есть DOS атаки .💣
Основным мотивом DOS является отказ в предоставлении услуг определенному абоненту.
Когда пользователь получает информацию о новое местоположение и регистрируется в последнем MSC/VLR, он сначала делает запрос на обновление MAP в HLR. После проверки полученного HLR выдает команду ISD новому MSC/VLR и DSD ,CL а так же нашему старым MSC/VLR .
Делая подобное, злоумышленник может изменить разрешенные услуги жертвы, например, запретить абоненту совершать телефонные звонки, отправлять SMS, или вообще удалить его из подключенного VLR абонента.

Это кажется не таким вредным, но может помочь более сложным атакам после.🫥
#lte #network #ss7 #mobile #attacks #dos

Так же не редкость какие-либо атаки по местоположению .
Злоумышленник может использовать либо MAP и ATI либо запросы сообщений PSI для отслеживания лактации.




Теперь поговрим про 4g или LTE🔑

Все еще существуют некоторые уязвимости и проблемы в системе безопасности LTE, в частности на уровне MAC.

Плоская IP-архитектура сетей 3GPP LTE приводит к увеличению рисков безопасности, таких как уязвимость к атакам внедрения, модификации, подслушивания(типо тех атак, что были описаны выше) .
Установлено, что архитектура LTE более уязвима к традиционным вредоносным атакам, таких как подмена IP-адреса, DoS-атаки, вирусы, черви, спам-письма и звонки, и так далее. 🩸

Есть еще несколько потенциальных слабостей, вызванных базовыми станциями, существующими в системах LTE.


Сеть all-IP предоставляет злоумышленникам прямой путь к базовым станциям. 

Поскольку MME управляет многочисленными eNBs в плоской архитектуре LTE. Как только противник компрометирует базовую станцию, он может подвергнуть опасности всю сеть из-за IP-природы сетей LTE.
Более того, из-за внедрения небольших и недорогих базовых станций, HeNBs, которые легко получить злоумышленнику, он может таким образом создать свою собственную неавторизованную версию.

Используя неавторизованную базовую станцию, злоумышленник может выдать себя за настоящую базовую станцию, чтобы переманить законного пользователя. Кроме того, он может замаскировать легитимного пользователя для установления соединения с подлинной базовой станцией.
Архитектура LTE может породить некоторые новые проблемы в процедурах аутентификации при переходе.
Из-за внедрения простой базовой станции, HeNB, существует несколько различных сценариев мобильности в сетях LTE, когда UE перемещается от eNB/HeNB к новой HeNB/eNB.

В EPS AKA отсутствует защита конфиденциальности . 

Существует множество случаев, приводящих к раскрытию IMSI.
Например, когда UE регистрируется в сети в первый раз или с текущим MME невозможно связаться, или IMSI не может быть получен из-за возможного сбоя синхронизации при роуминге к новому MME, текущий MME или новый
MME запрашивает IMSI UE, и таким образом, UE должно передать IMSI в открытом виде.
Раскрытие IMSI может повлечь за собой серьезные проблемы с безопасностью , доходя даже до перехвата смс.
Как только IMSI будет получен, злоумышленник может получить информацию об абоненте, местоположении и даже информацию о разговоре, а затем замаскировать настоящий UE и запустить другие атаки, такие как DoS-атаки, чтобы разрушить сеть.

Пример различных атак:

Отслеживание на основе C-RNTI

Поскольку C-RNTI в управляющем сигнале L1 можно прочитать, злоумышленник может узнать, продолжает ли UE использовать C-RNTI.


Он может узнать, находится ли UE, использующее C-RNTI, все еще, в той же соте или нет, а также может связать C-RNTI и соответствующие сообщения, если они не зашифрованы. 

Использование одной и той же CRNTI в пределах одной соты, предоставляет информацию о присутствии UE для злоумышленника.
Если он может сопоставить сигнализацию с услугами, где идентификатор пользователя виден, он может сопоставить идентификационные данные на уровне соты с идентификационными данными на уровне услуг пользователя. В процессе хэндовера новый CRNTI назначается UE с помощью команды хэндовера.
Это означает, что злоумышленник может связать новый C-RNTI в сообщении Handover Command и старый C-RNTI в управляющем сигнале L1, если только само назначение C-RNTI не защищено конфиденциальностью. Это позволяет отслеживать UE в нескольких сотах.

Идентификация сообщений на основе небольших различий в длине сообщений не является очевидной атакой , да и провести ее сложновато и может даже невозможно💧 . Тем не мнение я решила упомянуть это🙃🧩
#lte #network #ss7 #mobile #attacks #dos

Атака на ложный отчет о состоянии буфера

🍩

Отчет о состоянии буфера используется в качестве входной информации для алгоритмов планирования пакетов, распределения нагрузки и управления допуском.
Злоумышленник может изменить поведение этих алгоритмов, отправляя ложные отчеты о состоянии буфера от имени другого нормального UE.
Хотя влияние этой угрозы зависит от алгоритмов реализации, можно проиллюстрировать несколько возможных атак.
Первая атака заключается в краже пропускной способности путем изменения поведения планирования пакетов.
Используя C-RNTI другого UE, атакующий может отправлять отчеты о состоянии буфера от имени других UE. Это может заставить сеть поверить, что другим UE нечего передавать (буферы пусты). В результате алгоритм планирования пакетов в eNB не выделяет/меньше ресурсов этим другим UE, а больше ресурсов выделяет злонамеренному UE .

Вторая атака заключается в изменении поведение алгоритмов балансировки нагрузки/контроля доступа в eNBs.

От имени реальных UE атакующий утверждает, что у них больше данных в буферах отправки, чем на самом деле буферизовано в них. 

Множество таких отчетов о состоянии буфера от различных UEs, заставляют сеть поверить, что существует нагрузка на этой ячейке.
Следовательно, новые прибывающие UE не могут быть приняты этой ячейкой.
Эти виды атак трудно обнаружить , они снижают пропускную способность/возможности системы.
Атака может даже считаться более вредной, чем глушения, поскольку для ее выполнения требуется меньше энергии💥.
Но на практике злонамеренному UE(или злоумышленику) трудно осуществить такую атаку.
Когда UE общается с обслуживающей его eNB, поддельный отчет буфера будет сталкиваться с пакетом от нормального UE.
Но, как обсуждалось выше, злоумышленник может внедрить поддельный отчет о состоянии буфера когда UE входит в длительный период DRX. Этот отчет не вызовет никакого конфликта с управляющим сигналом от обычного UE.

Еще пример атаки другой⚡️

Если плоскость пользователя (RLC, PDCP) или плоскость управления (RRC, NAS) номера последовательности пакетов непрерывны до и после хэндовера, злоумышленник может угадать отображение между старыми и новыми C-RNTI, основываясь на непрерывности номеров последовательности пакетов.
Чем больше битов используется для номера последовательности на радиоканале, тем выше вероятность эного.
Это особенно актуально для EUTRAN и подобных сетей с высокой пропускной способностью ,поскольку порядковый номер должен быть длиннее для правильной работы ARQ.
Этот тип отслеживания UE также применим к переходам состояния между холостым и активным, если конечно номера последовательности сохраняются непрерывными.
Злоумышленник радиоканала может отслеживать UE на основе непрерывных порядковых номеров пакетов в потоках пакетов.
Эта атака представляется особенно интересной для E-UTRAN, поскольку UE будут находиться в активном состоянии в течение длительных периодов времени.
Также ожидается, что UE будут получать больше пакетов из сети в E-UTRAN, чем например в UTRAN.


Это была теоретическая часть серии посто про ss7 для того чтобы вы понимали какие бывают атаки ,и как они работают . В бедующем я расскажу про более практическое применение этого.📱📡
Для более подробных матерьялов об атаках , архитектуре защиты , и многое другое смотре статьи в архиве ниже.🧩❤️‍🔥

А на этом все , спасибо за прочьение ❤️.
И помните : Если злая горлица говорит что вы змея она ошибается, даже если вы тоже едите яйца🐦🐍
#lte #network #ss7 #mobile #attacks #dos

Good afternoon, my curious Alice . 🧩✨

Sorry for the long absence .
While I'm writing about phones (it's a big topic, but I think you'll like it), I decided to write an article about mobile phones📱 .
More precisely about attacks in SS7 (in 4g or LTE in particular) 📡

Yes many people say "ss7 is obsolete" although in practice it is used all quite often.
Especially in cis countries, however, not only them. The global SS7 market is projected to reach $597 million by 2028, up from $531.2 million in 2021 at a compound annual growth rate of 1.7% from 2022 to 2028.
And it's still in its prime (so to speak) , in many regions of Europe, even in Asia.
Here is a more detailed article about the ss7 market: link

For this reason it would be reasonable to talk about his vulnerabilities, especially the IMSI hijacking and dos attacks.🎯

From the above posts on this subject (if you have not read them, go to #ss7) you remember already what ss7 is and how it works.

Now we should talk about the attack itself on its vulnerabilities

The first thing I want to talk about is something like eavesdropping . 

For the attacker can eavesdrop on the subscriber's data, send/change text messages to the victim, acting like a MiTM . The victim is completely unaware of the attack, in short (more details will be in one of the articles below in the archive) and in a post in the aftermath .
The attacker establishes a bridge between the two callers and routes all calls to his monitoring system. This uses MAP messages and the call forwarding feature.
The target user is usually unaware of this attack. And the attacker can route the victim's calls to the monitoring system at the level of MAP messages SS7.
One reason for this, is the lack of encryption on the network which is "handy" for these attacks.

Then there are attacks where the attack is performed with the MSC. The goal is to obtain text messages or bank account information from the victim and other similar attacks. USSDs are used to obtain information about a bank for example. The account of the victim can be misappropriated for example.

There are also DOS attacks .💣

The main motive of DOS is to deny service to a certain subscriber.
When a user receives information about a new location and registers in the last MSC/VLR, it first makes a request to update the MAP in the HLR. After checking the received HLR gives ISD command to the new MSC/VLR and DSD, CL as well as to our old MSC/VLR.
By doing this, the attacker can change the allowed services of the victim, for example, prohibit the subscriber to make phone calls, send SMS, or even remove him from the connected VLR subscriber.

This does not seem as damaging, but can help more sophisticated attacks afterwards.🫥
#lte #network #ss7 #mobile #attacks #dos

Location-based attacks are also not uncommon. 

An attacker can use either MAP and ATI or PSI message requests to track lactation.




Now let's talk about 4g or LTE🔑

There are still some vulnerabilities and issues in LTE security, particularly at the MAC level.

The flat IP architecture of 3GPP LTE networks leads to increased security risks such as vulnerability to infiltration, modification, eavesdropping attacks(like the attacks described above) .
The LTE architecture has been found to be more vulnerable to traditional malicious attacks such as IP spoofing, DoS attacks, viruses, worms, spam emails and calls, and so on. 🩸

There are several other potential weaknesses caused by the base stations that exist in LTE systems.
The all-IP network gives attackers a direct path to the base stations. 

Since the MME manages numerous eNBs in the flat LTE architecture. Once an adversary compromises a base station, it can expose the entire network because of the IP nature of LTE networks.
Moreover, because of the introduction of small and inexpensive base stations, HeNBs, which are easy for an attacker to obtain, he can thus create his own rogue version.

Using a rogue base station, the attacker can impersonate a real base station in order to poach a legitimate user. He can also disguise a legitimate user to establish a connection with a genuine base station.
The LTE architecture may create some new problems in the authentication procedures for switching.
Because of the introduction of a simple base station, HeNB, there are several different mobility scenarios in LTE networks when a UE moves from an eNB/HeNB to a new HeNB/eNB.

There is no privacy protection in EPS AKA . 

There are many instances that lead to IMSI disclosure.

For example, when a UE registers on the network for the first time, or the current MME cannot be contacted, or the IMSI cannot be obtained due to a possible synchronization failure while roaming to the new MME, the current MME or new
MME requests the IMSI of the UE, and thus the UE must transmit the IMSI in plaintext. 

Disclosure of the IMSI can lead to serious security problems, going as far as texting interception.
Once the IMSI is obtained, an attacker can get the subscriber, location, and even conversation information, and then disguise the real UE and launch other attacks, such as DoS attacks, to destroy the network.

Example of different attacks:

C-RNTI-based tracking.

Since the C-RNTI in the L1 control signal can be read, an attacker can find out if the UE continues to use C-RNTI.
He can find out whether the UE using the C-RNTI is still in the same cell or not, and can also associate the C-RNTI and the corresponding messages if they are not encrypted.

Using the same CRNTI within the same cell, provides information about the presence of the UE to an attacker.
If he can map the signaling to services where the user ID is visible, he can map the identity at the cellular level to the identity at the user's service level. During the handover process, a new CRNTI is assigned to the UE using the handover command.
This means that an attacker can associate the new C-RNTI in the Handover Command message and the old C-RNTI in the L1 control signal, unless the C-RNTI assignment itself is privacy-protected. This allows UEs to be tracked across multiple cells.

Message identification based on small differences in message lengths is not an obvious attack, and it is difficult and maybe even impossible💧 . Nevertheless, I decided to mention it🙃🧩
#lte #network #ss7 #mobile #attacks #dos

Attack on false buffer status report🍩

The buffer state report is used as input to the packet scheduling, load balancing, and tolerance management algorithms.

An attacker can modify the behavior of these algorithms by sending false buffer state reports on behalf of another normal UE. 

Although the impact of this threat depends on the implementation algorithms, several possible attacks can be illustrated.
The first attack is to steal bandwidth by changing the packet scheduling behavior.
Using the C-RNTI of another UE, the attacker can send buffer status reports on behalf of other UEs. This can make the network believe that the other UEs have nothing to transmit (buffers are empty). As a result, the packet scheduling algorithm in eNB does not allocate/allocate less resources to these other UEs, but allocates more resources to the malicious UE .

The second attack is to change the behavior of load balancing/access control algorithms in eNBs.



On behalf of real UEs, the attacker claims that they have more data in their sending buffers than is actually buffered in them. 

Multiple such buffer status reports from various UEs, lead the network to believe that there is a load on that cell.
Consequently, new incoming UEs cannot be accepted by this cell.
These types of attacks are difficult to detect , they reduce the throughput/capacity of the system.

The attack may even be considered more harmful than jamming, since it requires less energy to perform. 💥

But in practice, it is difficult for a malicious UE(or a malicious user) to execute such an attack.

When a UE communicates with the eNB serving it, a fake buffer report will collide with a packet from a normal UE. 

But, as discussed above, an attacker can inject a fake buffer report when the UE enters a long DRX period. This report would not cause any conflict with the control signal from the normal UE.

Another example of a different attack⚡️

If the user plane (RLC, PDCP) or control plane (RRC, NAS) packet sequence numbers are continuous before and after handover, an attacker can guess the mapping between old and new C-RNTIs based on the continuity of packet sequence numbers.


The more bits used for the sequence number on the radio channel, the higher the probability of an enogo. 

This is especially true for EUTRAN and similar high bandwidth networks since the sequence number must be longer for ARQ to work properly.
This type of UE tracking is also applicable to state transitions between idle and active, as long as the sequence numbers are kept continuous of course.
A radio link attacker can track UEs based on continuous sequence numbers of packets in packet streams.
This attack seems particularly interesting for E-UTRAN because UEs will be active for long periods of time.
It is also expected that UEs will receive more packets from the network in E-UTRAN than in UTRAN, for example.


This was just a theoretical part of the ss7 series to give you an idea about the attacks and how they work. In the future I will describe more practical applications.
For more details about the attacks, defense architecture, and more, read the articles in the archive below.🧩❤️‍🔥

And that's it, thanks for reading ❤️.
And remember : If the evil dove says you are a snake she is wrong, even if you also eat eggs🐦🐍
#lte #network #ss7 #mobile #attacks #dos

Статьи про атаки на ss7 , lte ,gsm в частности📡❤️‍🔥
Так же там есть их архетектура безопасности, защита и еще много чего еще крутого . 📱
Настоятельно советую почитать статьи от туда . Надеюсь это будет вам полезно🧩

Articles about attacks on ss7 , lte , gsm in particular📡❤️‍🔥
So there's also their security architecture, protection and a lot more cool stuff . 📱
I strongly advise you to read articles from there . I hope it will be useful to you🧩
#lte #network #ss7 #mobile #attacks #gsm #bts #protection

Добрый день дорогие мои шляпники , давайте приступим пить чай 🧩☕️.

Давно не было постов про форензику . 🔎
Сегодня я хочу показать вам крутую статью про анализ зашифрованного трафика Signal🔑

Так как его данные коммуникации зашифрованы, становится трудно или часто невозможно получить открытый текст, поскольку ключи неизвестны.
В статье ниже продемонстрировано как артефакты, представляющие потенциальную ценность, могут быть извлечены из анализа зашифрованного сетевого трафика .
Приложение Signal шифрует все сообщения с помощью протокола Signal .
В последнее время известные IM приложения, такие как WhatsApp, Facebook Messenger и Skype (в режиме приватной беседы) используют протокол Signal Protocol .
Протокол состоит из алгоритма Double Ratchet, XEdDSA и VXEdDSA, X3DH и Sesame.

XEdDSA создает пару ключей, которая используется в эллиптической кривой Диффи-Хеллмана и подписях. VXEdDSA это расширение XEdDSA для превращения его в проверяемую случайную функцию (VRF) . X3DH (расширенный Диффи-Хеллмана) используется для взаимной аутентификации пользователей и обеспечивает прямую секретность .

После совместного использования общего секретного ключа, сообщения передаются между пользователями с помощью алгоритма шифрования Double Ratchet . Для управления сеансами сообщений используется Sesame (асинхронное управление сессиями) с алгоритмоми Double Ratchet и X3DH

Как может быть понятно , благодаря зашифрованной полезной нагрузке, могут быть использованы только размеры пакетов, частота пакетов и повторяющиеся шаблоны пакетов. Поэтому определенные размеры полезной нагрузки могут помочь определить конкретные типы активности
Общий анализ размеров пакетов (шаблонов, частот) позволяет выявить "подозрительную" деятельность приложения. Чтобы выявить закономерности трафика, связанные с соответствующими действиями.

Разберемся какие данные нам вообще можно, и нужно найти:
Пользователь A - это целевое устройство, на котором выполняются действий
Его соответствующие действия в приложении выглядят следующим образом: 1) Доступ/открытие приложения Signal, 2) Шаблоны набора текста на целевом устройстве, 3) Шаблоны набора текста пользователя B, 4) Вызов, инициированный пользователем А (звонящий), 5) Вызов, принятый пользователем А (абонент), 6) Медиа-сообщения, 7) Видеовызовы.

В статье ниже подробно разобрано получение информации о каждом пункте действий пользователя с наглядными скриншотами в wireshark и неплохими объяснёнными . 

А на этом все . Надеюсь вас заинтересовала эта статья и вам будет полезно ее прочитать 🎯.

Еще , на счет "больших постов"  я не забыла про пост про телефоны или вирусы , и пока что постепенно делаю их,  и в скором времини выпущу.❤️

И помните , даже если мыш соня любит поспать во время чаепития, она все равно может рассказать вам сказку✨🐭
#traffic_analysis #network #messenger #mobile #forensics

Good afternoon my dear hatter, let's start drinking tea 🧩☕️.

It's been a long time since I've had a post about forensics. 🔎
Today I want to show you a cool article about Signal encrypted traffic analysis 🔑

Since its communication data is encrypted, it becomes difficult or often impossible to get the plaintext because the keys are unknown.
The article below demonstrates how artifacts of potential value can be extracted from analysis of encrypted network traffic .

The Signal application encrypts all messages using the Signal protocol .

Recently, well-known IM applications such as WhatsApp, Facebook Messenger and Skype (in private conversation mode) use the Signal Protocol.
The protocol consists of the Double Ratchet algorithm, XEdDSA and VXEdDSA, X3DH and Sesame.

XEdDSA creates a key pair that is used in elliptic Diffie-Hellman curve and signatures. VXEdDSA is an extension of XEdDSA to turn it into a verifiable random function (VRF) . X3DH (extended Diffie-Hellman) is used for mutual user authentication and provides direct secrecy .

After sharing a shared secret key, messages are transferred between users using the Double Ratchet encryption algorithm . For message session management, Sesame (asynchronous session management) with Double Ratchet and X3DH algorithms is used.

As can be understood , due to the encrypted payload, only packet sizes, packet frequencies and repeating packet patterns can be used. Therefore, certain payload sizes can help to identify specific types of activity
General analysis of packet sizes (patterns, frequencies) can identify "suspicious" application activity. To identify traffic patterns associated with related activities.

Let's understand what data we can, and should, find in general:

User A is the target device on which the actions

His corresponding actions in the application are as follows: 1) Access/open Signal app, 2) Typing patterns on the target device, 3) Typing patterns of User B, 4) Call initiated by User A (caller), 5) Call received by User A (caller), 6) Media messages, 7) Video calls.

In the article below, getting information about each user action item is explained in detail, with clear screenshots in wireshark and a good explanation .

And that's it . I hope you found this article interesting and useful 🎯.

Also, about the "big posts" I have not forgotten about the post about phones or viruses, and so far I am gradually making them, and will release them soon ❤️

And remember , even if the sleepy mouse likes to sleep during tea time , she can still tell you a story✨🐭
#traffic_analysis #network #messenger #mobile #forensics