Einbruch ins Heimnetz und Infektion

#1
PC und Netz meines Freundes wurden gehackt. MBR zerstört, Windows Services abgeändert, Event Log gelöscht, ja und dann halt Neuinstallation, WLAN Pwd geändert und so. Schaden behoben. Aber: der Hack ging offensichtlich via WLAN, ein fremdes Gerät hatte sich eingeloggt. Auch bei mir (ich wohne 2 Häuser weiter) hat sich ein Fremder eingenistet.
ich gehe von folgender Hypothese aus:

1. in Funkreichweite im Quartier befindet sich ein Wardriver, der versucht in die WLAN der Nähe einzudringen. Folgende Indizien sprechen dafür:1. im Netz meines Freundes hatte sich ein Geräte mit einer MAC Adresse eingeloggt, und zwar so, dass es sie sich nach dem rausputzen immer wieder selbst einloggte. Nachdem wir das WLAN Passwort änderten, verschwand das Gerät schlagartig. Es hat sich demnach um ein Gerät gehandelt dass sich mit Passwort einloggte. Um IoT geräte kann es sich nicht handeln, wir sind dem nachgegangen.

2. bei mir hat sich auch eine fremde MAC Adresse eingenistet, aber nur kurze Zeit, nach Pwd Änderung verschwand der natürlich. Also hat auch hier ein Passwort Hack stattgefunden. 3. Ich stelle fest, dass unsere WLAN Signale sehr stark schwanken. Das hat zur Folge, dass meine Smartphones und Tablets die Verbindung verlieren und sich automatisch wieder selbst einloggen. Die Tablets sind zeitweise kaum zu gebrauchen. Ein Jammer könnte so was wohl provozieren. Das sind somit beste Voraussetzungen für einen Wardriver die Initialisierung Sequenzen abzufangen und die div. Methoden zum WLAN Hack anwenden, wie sie ja auch in Youtube Videos beschrieben werden.

Ich habe mich nun selbst bewaffnet mit Vistumbler und Kali Linux. Dabei bin ich selber auf Probleme gestossen und hier bitte ich um Hilfe:Kali Linux habe ich auf meinem Laptop gebootet, und bekam einen Schock. Plötzlich sah ich ein weiteres Subnetz im Bereich von 192.168.0.1 bis ...255, mit fremdem Geräten drin!? Mein Standard NW ist 192.168.1.1, konfiguriert in meiner Internetbox. Wie ist das möglich? Hat Kali das gemacht, indem es ein eigenes Subnetz aufgetan hat, und wie ist das möglich, da der Router ja die IP vergibt. Wer weiss da Rat?

Bei Vistumbler kämpfe ich noch drum das GPS Interface zum laufen zu bringen, vorerst habe ich noch keinen Erfolg.
 
#2
Hallo

Man kann doch einem Client auch manuell eine IP vergeben ?

Wenn z.B. mehrere Fritten in deiner Nähe sind, haben die wohl im lokalen LAN jeweils diselbe Subnetzmaske.
also wo ist da dein Problem, das ein andere dasselbe Subnetz nutzt

mfg
schwedenmann
 
#3
1. Schritt: Deaktiviere WPS
2. Schritt: Aktiviere die Mac-Filterung, wechsle das Passwort, Lösche alle Geräte, die du nicht zuordnen kannst, aus der Liste der erlaubten Geräte.
3. Schritt: Stelle sicher, dass dein WLAN mit wpa2 verschlüsselt.

4. Schritt: Konfiguriere dein WLAN so, dass keine automatischen IP's vergeben werden, sondern du jedem Gerät eine feste IP zuweisen musst, bevor es beitreten darf. Bei Fritz-Boxen ( Netzwerkgerat immer die gleiche IP-Adresse von FRITZ!Box zuweisen lassen | FRITZ!Box 7390 | AVM Deutschland )


Über Kali würde ich erstmal mit NMAP mein eigenes Netzwerk nach aktiven Diensten scannen und die Tiefe der Scans weiter verfeinern, bis ich jedes Gerät eindeutig identifizieren konnte.

WPA2 ist soweit Berechnungssicher (jährliches PW wechseln), insofern du nicht von KRACK betroffen bist: KRACK - so funktioniert der Angriff auf WPA2 |
heise Security
 
#4
Danke Shalec,
1. ok, zeitweise schalte ich grad auch WLAN aus wenn ich es gerade nicht brauche.
2. Passwort wechseln, Geräte löschen, Router neu starten, DNS Release etc, klar haben wir das gemacht. MAC Filterung gibts beim Swisscom Router nicht. Laut Swisscom kein Sicherheitsgewinn.
3. WPA2 ist an, schon klar.
4. statische Adressen habe ich schon vergeben, z.B. NAS, Alarmanlage etc., Alle anderen Adressen überwache ich mit Advanced IP Scanner. Drum merke ich auch wenn da einer ein kommt.
NMAP, gute Idee, es gibt sogar ein Windows EXE. Ausser der Erkenntnis, dass da noch das Subnetz der Virtualbox existiert, hat das keine neue Erkenntnisse gebracht.
Alle bisherigen Ratschläge beziehen sich auf das Absichern des Eindringens, sagen aber nichts aus wie der Hack gelungen ist. Vor allem suche ich Antwort auf die Frage, wie beim Booten von Kali Linux plötzlich ein neues Subnetz sichtbar wird. Dass Kali einen eigenen DHCP Service hat würde ich ja noch verstehen, aber wie ist es möglich dass man über den Swisscom Router, geschützt mit einem starken Passwort, plötzlich fremde Geräte mit einem zwar eigenen Subnetz sieht, die man aber nicht da drin haben möchte. Wäre es denn sicher, dass die in meinem Netzwerk nichts dummes anstellen könnten? Ich bin mir da nicht so sicher.
 
Oben