5G網絡安全滲透測試框架和方法

解曉青 余曉光 余瀅鑫 陽陳錦劍

1(華為技術有限公司松山湖研究所 廣東東莞 523808)2(華為技術有限公司西安研究所 西安 710075)(xxqworkl@163.com)

1 5G安全總體框架

1.1 5G安全框架

2018年6月被3GPP凍結的Release 15標準首次解決了構建安全網絡的問題.對于非可信拜訪網絡和家庭網絡之間的信令和用戶狀態傳輸，以及用戶身份和數據在非可信空口傳輸方面，5G提供了更全面的認證機制、更全面的數據安全保護、更嚴格的用戶隱私保護，實現更靈活的網間信息保護.5G安全設計第1階段填補了4G系統的安全漏洞，確保了5G網絡新空口和架構中現有保護機制的安全性和可用性，形成了5G安全基礎設施，解決了5G通信網絡的基本安全問題，實現對用戶接入5G網絡時使用的基本通信協議的保護[1-2].

與4G相比，5G網絡下主要有三大場景：eMBB(大帶寬)、mMTC(低時延)、uRLLC(廣連接)，這些場景下的UE通過基站接入5G RAN，進而接入下沉的MEC，MEC通過承載網與5G Core互聯，期間每個部分都存在大量的攻擊與重點防護點[3]，根據5G網絡的整體組網以及5G網絡數據存在控制面和用戶面2個面的數據分析，5G網絡安全滲透攻擊可大致從2個橫向面以及5個縱深點進行分析.2個橫向面是控制面和用戶面；5個縱深點是UE(終端)、RAN、MEC、承載網和核心網.5G安全總體框架如圖1所示:

圖1 5G安全總體框架

可以看出，在終端側控制面的主要安全威脅主要是對硬件本身的攻擊，通過非法啟動存儲運行等攻擊終端，用戶面威脅則大多是通過協議以及終端本身應用獲取用戶數據；RAN側控制面主要集中在空口接入、身份認證、空口算法加密保護、防DoS攻擊等，用戶面威脅則集中在攔截用戶上下行數據、非法終端接入等；MEC側由于其下沉導致威脅面增加，控制面攻擊可從近端威脅到企業的網絡，進而攻擊運營商核心網，進一步威脅到鄰近企業園區網絡，而對于用戶面，眾多企業應用將是攻擊的最佳入口；承載網控制面威脅主要來自非法報文、基站側以及互聯網DoS攻擊、切片間的隔離攻擊等，用戶面威脅主要來自對應用容器的威脅；核心網控制面威脅主要是各大DC區域的連接安全、虛擬化的資源層、3面隔離近端運維安全以及切片隔離傳輸安全等，用戶面威脅則是核心網網元的容器攻擊，由于目前都是采用云化部署，容器之間的相互隔離、容器與底層資源之間的安全隔離等都是攻擊的重點方向[4].

1.2 5G安全滲透框架

5G網絡滲透總體來說的路線可以是從攻擊發起端開始，入侵應用終端，應用終端可以是合法終端也可以是攻擊者偽造的非法終端，通過應用終端侵入基站，進一步滲透到MEC以及核心網，由于5G在企業上會大規模應用，可先入侵到企業應用，通過企業應用進一步入侵到核心網，之后可進行企業的內網滲透，包括放置后門，機密數據外發等.

滲透攻擊手段在發起端可通過信息搜集的方式獲取目標域名、真實IP、設備指紋信息等，進一步通過分析Web漏洞，方法有暴力破解、中間件漏洞、框架漏洞等獲得攻擊入口.后續可通過遠程溢出RCE、反序列化RCE、代碼/命令注入、SQL注入等獲取權限，之后便是權限的提升以及維持，同時可進一步進行內網橫向移動.總體滲透方法框架如圖2所示：

圖2 5G網絡滲透框架

2 5G終端安全滲透

5G時代，萬物互聯，除去我們常見的手機電腦等常見設備，5G網絡下的廣連接場景將會有更多的設備接入到5G網絡，終端的安全會變得尤其重要，本節主要從2個方面介紹5G網絡環境下終端所面對的安全滲透威脅.

2.1 啟動鏈簽名攻擊

任何設備都有啟動的時刻，在啟動時如果篡改其預設的簽名文件那么就有可能加載攻擊者的程序.中心思想是分析啟動鏈的安全機制，例如是否有基于簽名的完整性校驗，分析啟動鏈的代碼安全機制，通過探測常規代碼陷阱，識別安全風險，例如溢出攻擊.

通常啟動鏈的防護主要有2種，分別是安全啟動和可信啟動.

2.1.1 安全啟動攻擊

安全啟動是指只有通過密碼學的手段驗證的代碼(具備完整性和合法性)才可加載和執行.安全啟動基本思想首先是建立一個硬件信任根，硬件信任根是信任鏈的起點，不可篡改，再建立一條信任鏈：從信任根開始到啟動代碼，到操作系統，再到應用，一級驗證一級，一級信任一級.從而把這種信任擴展到整個計算機，設備啟動時，先執行RoT，驗證公鑰的Hash值，基于公鑰對BIOS進行數據完整性和數據可信性驗證，確認BIOS完整可信后，再執行.按同樣的方式，逐級認證、執行.如圖3所示，安全啟動一開始就是驗證固件，在驗證通過之后就會將其加載，攻擊手法可在驗證之后加載之前替換為自定義的啟動固件.

圖3 安全啟動流程

2.1.2 可信啟動

可信啟動是指軟件和硬件能夠按照它們被設計的行為運行，首先建立一個硬件信任根.

硬件信任根是信任鏈的起點，不可篡改，再建立一條信任鏈，從硬件信任根開始到啟動代碼，到操作系統，再到應用，一級度量一級，一級信任一級.從而把這種信任擴展到整個計算機系統，本地設備啟動時逐級度量并將度量值拓展到TPM中，遠程證明服務器獲取本地設備TPM中的度量值，并與預置的度量值比較，整體流程如圖4所示：

圖4 可信啟動過程簡述

2.2 固件攻擊

通過逆向分析終端固件的執行程序，查找關鍵調用函數(認證、授權)，查找是否存在特殊的硬編碼密鑰，篡改固件;可在固件中植入后門，嘗試加載篡改后的固件;嘗試對設備進行復位操作，針對復位操作生成文件進行分析，提煉隱私信息.

比較經典的方法是：

1) 打開設備盒子，找到Flash器件；

2) 采用Flash讀寫工具直接從Flash讀取Firmware；

3) 利用binwalk工具對Firmware進行逆向分析；

4) 拆解Firmware后植入后門，再打包并燒錄到Flash；

5) 利用后門進一步攻擊上層設備，或者竊聽數據，或者在需要時發起攻擊.

3 5G RAN安全滲透

UE與gNB之間的Uu接口是公共開放的接口，攻擊者可以利用該接口對5G網絡或終端進行攻擊.圖5展示了5G空口面臨的主要安全威脅[5]：

圖5 5G空口安全威脅

主要有3種類型攻擊：一種是欺騙基站，攻擊者作為一個仿冒終端接入網絡；另外一種是仿冒基站，對終端提供虛假服務；最后一種是對空口中的數據流竊聽篡改攻擊.

3.1 非法用戶接入5G網絡

非法用戶接入網絡后會占用空口資源，也會存在非法入侵基站、入侵網絡設備竊取機密信息的風險.5G場景下大量企業會應用5G終端，這種情況下，非法用戶可仿冒正常的企業終端，接入企業的園區網絡，進行內部攻擊.比如企業園區5G監控攝像頭攻擊，可以利用1臺自己的5G攝像頭通過一定的手段接入企業園區5G網絡，如果認證端沒有對接入設備做鑒權，攻擊者可以對內部網絡做探測滲透等行為.攻擊手段多種多樣，包括大批量接入發送海量請求導致DDoS通過非法終端接入網絡入侵企業生產環境，甚至進一步橫向滲透入侵控制系統，竊取信息造成破壞等.

3.2 偽基站攻擊

攻擊者可使用簡易無線設備以及開源軟件架設偽基站，通常會仿冒模擬正常運營商網絡的無線信號，對運營商網絡性能造成影響，當正常注冊、通話、切換等受影響時，受害者終端有可能會被吸附到偽基站上.在用戶首次接入到運營商網絡時終端身份標識IMSI是采用明文傳輸，只有認證通過并建立空口上下文后IMSI才會加密傳輸，利用此漏洞，攻擊者可獲取IMSI信息，造成隱私信息泄露.

3.3 空口傳輸數據被監聽或者非法篡改

UE接入基站，與基站之間的通信全部通過空口傳輸，同時UE還與核心網AMF之間存在NAS信令通信.空口數據在無線空口傳播過程中，可能存在被竊聽的風險，造成終端IMSI、電話號碼、銀行賬號、網站密碼等個人用戶隱私信息泄露，被攻擊者利用對用戶進行非法跟蹤、電信詐騙等；同時，信令數據也存在被攻擊者篡改的風險，造成用戶無法入網、網絡設備無法正常服務等.

3.4 空口流加密攻擊

攻擊者可在5G終端和基站之間通過信息截獲方式獲得明文密文，相互異或得到keystream，而keystream可以用來解密密文.

3.5 TPE特性安全DoS攻擊

偽基站設置虛假小區，被ANR機制加入臨區關系表，導致無效X2；偽基站仿冒正常臨區ECGI，因大量UE切換失敗導致正常小區被加入黑名單；偽基站使用已存在的PCI，制造PCI沖突，導致原基站更新PCI，小區短暫斷服.

4 5G承載網安全滲透

5G承載網的組網圖大致可如圖6所示.

圖6 5G承載網簡圖

5G承載傳輸網按照位置可以劃分成前傳網絡和回傳網絡.不同的網絡采用的傳輸技術也不同：前傳網絡大部分直連或者無源波分，主要采用CPRI，eCPRI組網傳輸；回傳網主要是IP組網傳輸[6].承載傳輸網面臨的主要安全風險有以下幾種：非法接入、數據竊聽、數據篡改、https/http攻擊、數據重放、DDoS攻擊[5]等，下面簡單介紹3種攻擊方法.

4.1 非法接入

非法接入有點類似RAN側的攻擊滲透，只是目標不一樣，非法攻擊者使用合法或者非法終端接入5G網絡，對承載傳輸網使用嗅探工具進行嗅探、滲透攻擊等動作，以進行更高危害行為.

4.2 數據竊聽

攻擊者可對5G網絡中傳輸的數據進行攔截，攔截數據多種多樣，如用戶的隱私數據、通信內容等.此類風險多發生于N3接口的數據面數據、Xn接口的用戶秘鑰和O&M通道的用戶名密碼等.

4.3 數據篡改

網絡攻擊者主動對5G網中傳輸的內容進行攔截，對所傳輸的數據進行篡改、插入、刪除等惡意攻擊，導致目標設備收到錯誤的數據而出現系統遭受破壞、服務無法正常運行、系統被植入惡意代碼或惡意指令等威脅.

4.4 https/http攻擊

在SSL通信過程中未嚴格實現證書合法性校驗函數；在SSL通信過程中未嚴格實現主機名校驗函數，通過中間人方式，在http傳輸時插入攻擊代碼，使遠程受害者受到攻擊.

5 5G MEC安全滲透

多接入邊緣計算(multi-access edge computing, MEC)為典型的資源邊緣化模式，在移動網絡邊緣提供IT服務環境和云計算能力，實時完成移動網絡邊緣的業務處理.MEC就近提供邊緣智能服務，以滿足行業數字化在敏捷聯接、實時業務、數據優化、智能應用、安全與隱私保護等方面的關鍵需求，以上MEC要完成的功能就意味著MEC更易受攻擊者青睞[7].

5.1 MEC APP應用仿冒攻擊

系統(應用)中通過指定包名的方式顯式調用了某一應用程序，但是此應用程序并沒有被預裝.攻擊者發現此調用接口后，可以仿冒此應用程序，并被系統(應用)啟動起來.攻擊者通過模仿的方式，開發相同的界面，誘導用戶使用,攻擊者通過仿冒對應的展示內容，誘導用戶去點擊操作.

5.2 容器內應用攻擊

同主機安全一樣，容器中運行的應用側漏洞(如Web應用RCE漏洞、Redis未授權訪問等)也會成為攻擊者的突破口，攻擊者可以利用這些漏洞進入容器內部并達成初始訪問.

5.3 MEC portalWeb登錄爆破

分析利用驗證碼產生的不同機制特點進行破解，把每一次返回包的token更新放入每一次的請求包實現循環暴力破解，可嘗試對用戶名和密碼進行加載弱口令字典.

6 5G Core安全滲透

5G核心網，即5G Core Network，與5G接入網、5G承載網一同構成5G網絡(第5代移動通信網絡).5G核心網創新性地使用服務化架構，包含基于微服務架構的各個控制面NF以及用戶面UPF，主要負責處理終端用戶的移動管理、會話管理、認證鑒權、策略控制及數據傳輸等.其重要性不言而喻，以下介紹幾點關于5G Core的安全滲透點.

6.1 故障注入攻擊

利用故障(電壓、時鐘等)引起電路出現異常，根據異常信息分析芯片內部的敏感信息或者直接利用引起的電路異常來改變程序運行等.

6.2 Web前端攻擊

網絡攻擊者可惡意使用XSS跨站腳本攻擊，CSRF跨站請求偽造攻擊、SSRF服務器端請求偽造等手段攻擊核心網系統，也可以在頁面中利用SCRIPT標簽等來完成攻擊.

6.3 注入類攻擊

可以利用SQL、命令注入等攻擊，做到：

1) 查詢數據庫中的數據；

2) 執行任意數據庫命令；

3) 上傳下載任意文件；

4) 獲取管理員權限.

7 總 結

5G時代來臨，萬物互聯，不同運營商、不同的終端廠家都需要直面安全問題，而安全問題是非常核心的問題，關系到政府、企事業的正常運行，以上內容是5G安全所面臨的一小部分攻擊滲透點，不同的終端設備廠商會采取不同的方案與技術防御攻擊者，這對于資源來說是一種較大的浪費，5G安全應該由各個行業都參與進來，制定統一安全標準，解決互信互認的問題.