Статья Беспроводной пентест в 2025: атаки на Wi-Fi, Bluetooth и ZigBee

На Red Team-проекте для розничной сети в начале 2025 года скоуп включал стандартное «проверить беспроводной периметр». В документации - WPA3, на площадке - Cisco WLC. Казалось, дело закроется рекомендацией «всё в порядке». На деле все AP работали в WPA3 Transition Mode, параллельно принимая WPA2-подключения. Три минуты hcxdumptool - PMKID захвачен без единого deauth-фрейма, 40 минут hashcat с правилами - PSK подобран, к обеду я был в корпоративном VLAN. Но настоящее открытие ждало дальше: 14 BLE-замков на складских дверях без аутентификации на GATT-запись и ZigBee-датчики температуры с дефолтным ключом шифрования, подключённые к тому же сегменту, что и СКУД. Один объект - три радиопротокола - три незакрытых вектора initial access. И эта картина повторяется из проекта в проект.

Ниже - разбор техник, которые реально работают в беспроводном пентесте сейчас: конкретные команды, ограничения каждого метода и контекст обнаружения.

Требования к окружению для беспроводного пентеста​

Прежде чем выезжать на объект, нужен комплект под три протокола: Wi-Fi (802.11), Bluetooth Low Energy (BLE) и ZigBee (802.15.4).

Железо:

• Wi-Fi адаптер с поддержкой monitor mode и packet injection - Alfa AWUS036ACH (2.4/5 GHz) или AWUS036ACHM. Перед выездом обязательно проверяйте совместимость с ядром: airmon-ng покажет, видит ли драйвер адаптер в monitor mode
• Ubertooth One для BLE-сниффинга на уровне link layer (последний релиз прошивки - 2020, проект живёт на энтузиазме сообщества, реальных альтернатив на рынке всё ещё нет)
• CC2531 USB-стик с прошивкой KillerBee для ZigBee-перехвата, или HackRF One для SDR-подхода к 802.15.4

Софт (Kali Linux 2024.4+, минимум 8 ГБ RAM, для GPU-крекинга - дискретная видеокарта с VRAM от 6 ГБ):

• Aircrack-ng suite - airodump-ng, aireplay-ng, aircrack-ng (активно поддерживается, последний релиз - 2024)
• hcxdumptool + hcxpcapngtool для PMKID-атак (активно развивается, GitHub: ZerBea/hcxdumptool)
• hashcat 6.2.6+ для GPU-брутфорса
• Kismet - пассивный анализ Wi-Fi/BLE/ZigBee (обновляется регулярно)
• Bettercap 2.x - MITM, BLE-enumeration, Wi-Fi модули
• eaphammer - Evil Twin для WPA2-Enterprise (последний коммит - 2023, работает стабильно)
• KillerBee (zbstumbler, zbdump, zbreplay) - ZigBee-тулкит (поддерживается River Loop Security, обновления нечастые, но инструмент стандартный)

Инструмент	Преимущества	Ограничения	Когда использовать
Alfa AWUS036ACH	2.4/5 GHz, injection, широкая совместимость	Драйверы нестабильны на отдельных ядрах	Wi-Fi recon и атаки WPA2/WPA3
Ubertooth One	Полный BLE-сниффинг, raw-фреймы	Только BLE 4.x, дальность до 10 м	Перехват BLE-трафика IoT
CC2531 + KillerBee	ZigBee capture, injection, replay	Только 802.15.4, требует перепрошивки	ZigBee-пентест, автоматизация зданий
hcxdumptool	PMKID без клиентов, пассивный захват	Только WPA2-PSK, не Enterprise	Быстрый initial access через Wi-Fi
eaphammer	Полный Evil Twin для Enterprise	Ручная настройка сертификатов, шумный	WPA2-Enterprise credential harvest

GPU-крекинг WPA2 на ноутбуке в поле - плохая идея. На объекте я запускаю только захват, а брутфорс гоню удалённо на рабочей станции с RTX 3060 и выше. Разница на порядок: RTX 3060 выдаёт порядка 400 тысяч хешей/с для WPA2, встроенная графика ноутбука - десятки тысяч. Тратить часы на месте, когда можно слить .pcapng и уехать - нерационально.

Разведка в радиоэфире: от wardriving до BLE-сканирования​

Первый этап kill chain в беспроводном пентесте - разведка (Wi-Fi Discovery, T1016.002, Discovery). Задача: получить полную карту радиоэфира объекта до начала активных атак.

Wi-Fi сканирование: airmon-ng start wlan0 для перевода адаптера в monitor mode, затем airodump-ng wlan0mon. В выводе фиксируем BSSID всех точек доступа, каналы, тип шифрования, наличие подключённых клиентов и скрытые SSID. Скрытые SSID - не защита: по данным Synacktiv, probe request клиента содержит имя сети в открытом виде, достаточно дождаться переподключения. Прятать SSID - как закрывать глаза и думать, что тебя не видно.

На что обращать внимание в 2025 году:

• WPA3 Transition Mode - AP одновременно отвечает на WPA2 и WPA3. В airodump-ng колонка ENC покажет WPA2 WPA3. Transition Mode = атакуемая конфигурация, потому что WPA2-часть подвержена стандартным атакам
• OWE (Opportunistic Wireless Encryption) - open-сети с прозрачным шифрованием без пароля. Пассивный перехват трафика (Network Sniffing, T1040) невозможен в отличие от классических open-сетей, но Evil Twin всё ещё работает
• WPS enabled - проверяется через wash -i wlan0mon -C. Если WPS включён - отдельный вектор через Reaver/Pixie Dust, иногда самый быстрый путь внутрь

Параллельно запускаю Kismet с Ubertooth для BLE-обнаружения. Kismet выводит MAC-адреса BLE-устройств, имена и UUID-сервисы. Для ZigBee - zbstumbler из KillerBee сканирует каналы 11-26, показывая PAN ID и адреса координаторов.

Результат разведки - таблица всех беспроводных устройств на объекте: протокол, шифрование, количество клиентов и предварительная оценка атакуемости. Без неё двигаться дальше бессмысленно - слишком легко потратить часы на hardened AP, пропустив BLE-замок без аутентификации за стеной.

Wi-Fi пентест: WPA2 атака через PMKID и offline-брутфорс​

Атака PMKID - самый рабочий вектор initial access через WPA2-PSK в 2025 году (Password Cracking, T1110.002, Credential Access). Три причины: не нужны подключённые клиенты, нет deauth-фреймов, для WIPS вы практически невидимы.

Механика: при инициации подключения AP отдаёт PMKID в первом сообщении 4-way handshake. PMKID вычисляется как HMAC-SHA1-128(PMK, "PMK Name" || MAC_AP || MAC_STA). Перехватив PMKID, переходим к офлайн-перебору PSK.

# Захват PMKID (пассивный режим, без deauth)
sudo hcxdumptool -i wlan0mon -w capture.pcapng --disable_deauthentication --disable_client_attacks
# Конвертация в формат hashcat
hcxpcapngtool -o hash.hc22000 capture.pcapng
# GPU-брутфорс (режим 22000 - WPA-PBKDF2-PMKID+EAPOL)
hashcat -m 22000 hash.hc22000 rockyou.txt -r best64.rule

Для 8-символьного пароля из строчных букв GPU уровня RTX 3060 справится за часы. Для 12+ символов с цифрами и спецсимволами - нереально без целевого словаря, составленного из данных OSINT по компании (название, год основания, адрес, имена сотрудников - всё в правила hashcat).

Запасной вариант - классический 4-way handshake: если PMKID не отдаётся (зависит от чипсета AP), переходим к deauth-атаке. aireplay-ng -0 5 -a <BSSID> -c <CLIENT> wlan0mon - 5 deauth-фреймов, клиент переподключается, airodump-ng ловит handshake.

Детектируемость: deauth-атака обнаруживается Cisco Adaptive wIPS, Aruba WIDS, Extreme AirDefense - массовые deauth-фреймы генерируют алерт за секунды. PMKID-захват через hcxdumptool в пассивном режиме не создаёт аномалий и проходит мимо WIPS. Техника работает для WPA2-PSK в любых средах - от SMB до корпоративных сетей с shared key. Не работает для WPA2-Enterprise (другая модель аутентификации) и WPA3-only (SAE не отдаёт PMKID в том же формате).

Место в kill chain: initial access. После получения PSK подключаемся к VLAN и переходим к network sniffing (T1040), ARP Cache Poisoning (T1557.002) и lateral movement.

Evil Twin атака на WPA2-Enterprise​

WPA2-Enterprise с PEAP/MSCHAPv2 - стандартная конфигурация в корпоративных сетях. Evil Twin (T1557.004, Credential Access / Collection) - поднимаем поддельную точку доступа с тем же SSID. Клиенты цепляются к ней и отдают MSCHAPv2-хеши доменных учёток.

# Генерация самоподписанного сертификата
eaphammer --cert-wizard
# Запуск Evil Twin AP
eaphammer -i wlan1 --essid CorpWiFi --channel 1 --auth wpa-eap --creds --negotiate balanced

При подключении клиента eaphammer перехватывает MSCHAPv2 challenge/response. Офлайн-крекинг - через asleap -C <challenge> -R <response> -W wordlist.txt или hashcat в режиме 5500. Для принуждения клиентов к переподключению используем направленный deauth целевой AP.

Клиент подключится к Evil Twin при трёх условиях: SSID совпадает, сигнал Evil Twin сильнее, а суппликант не проверяет сертификат RADIUS-сервера. По наблюдениям Synacktiv, корректная валидация сертификата встречается далеко не во всех корпоративных развёртываниях - остальные глотают любой самоподписанный сертификат.

Когда не сработает: certificate pinning в суппликанте блокирует атаку полностью. На Windows-доменных машинах с GPO, принудительно задающими trusted CA для 802.1X - Evil Twin бесполезен. На BYOD-устройствах (телефоны, ноутбуки сотрудников) - работает в большинстве случаев. И ещё: Evil Twin с deauth - самый шумный вектор в беспроводном пентесте. WIPS обнаруживает по совпадению SSID с аномальным BSSID.

Место в kill chain: credential access → initial access. Полученные доменные учётки открывают VPN, проводную сеть, почту и другие корпоративные сервисы.

WPA3 взлом: Transition Mode как вектор атаки​

WPA3 с SAE (Simultaneous Authentication of Equals) устойчив к офлайн-брутфорсу - и это действительно серьёзное улучшение. Исследование Dragonblood (2019) выявило side-channel уязвимости в SAE, но большинство закрыто обновлениями прошивок. Прямой атаки на чистый WPA3-only в полевых условиях на 2025 год нет.

Реальный вектор - Transition Mode: AP одновременно поддерживает WPA2 и WPA3. Атакующий поднимает rogue AP с тем же SSID, но только с WPA2 (через airbase-ng -e "TargetSSID" -Z 4 -c 6 wlan0mon, где -Z 4 включает WPA2 CCMP). Клиенты без поддержки WPA3 - или с определёнными настройками суппликанта - подключаются по WPA2. Дальше - стандартная PMKID или handshake атака.

WPA3-only без Transition Mode с включённым 802.11w (Protected Management Frames) - конфигурация, которую я не смог пробить ни разу. Deauth-фреймы не работают (802.11w шифрует management frames), офлайн-брутфорс PSK невозможен (SAE). Если видите WPA3-only на объекте - это действительно рабочая защита. За два года таких сетей в моей практике встретилось три из нескольких десятков проектов.

Применимость: Transition Mode - типичная конфигурация переходного периода (modern-инфраструктура с legacy-клиентами). В чистых WPA3-средах (редкость в 2025) этот вектор не работает.

Bluetooth hacking: MITM атака на BLE-устройства​

BLE - протокол, который почти никогда не входит в скоуп пентеста. И зря. BLE-устройства встречаются на большинстве обследованных объектов: умные замки, датчики движения, бейджи, термостаты. С точки зрения MITRE ATT&CK, Bluetooth описан как вектор эксфильтрации (Exfiltration Over Bluetooth, T1011.001), но на практике чаще работает как initial access в IoT-сегмент или как Hardware Additions (T1200) - подброс BLE-устройства для закрепления.

Разведка BLE-окружения: модуль Bettercap ble.recon on сканирует устройства в радиусе 10 м, выводит MAC, имя, GATT-сервисы и характеристики. Ubertooth One перехватывает raw BLE-пакеты на link layer - нужен для анализа pairing и поиска устройств с Legacy Pairing (BLE 4.0/4.1 без Secure Connections).

Типичный сценарий - BLE-замок:

1. Обнаружение через ble.recon on - фиксируем MAC и имя устройства
2. Перечисление GATT-профиля через ble.enum <MAC> - ищем характеристики с правами Write или Write Without Response
3. Анализ: если характеристика управления (lock/unlock) доступна без аутентификации - записываем команду напрямую
4. Команда unlock часто оказывается однобайтовой записью в конкретную характеристику - без шифрования, без PIN, без bonding. Просто пишешь байт - и замок открывается

Таких устройств с нулевой аутентификацией на GATT-запись я встречал на промышленных объектах и в ритейле многократно. Производители экономят на безопасности, рассчитывая на «физическую изоляцию» BLE-дальности. Десять метров - это, конечно, серьёзный барьер (нет).

Когда не работает: BLE 5.x с LE Secure Connections (ECDH-based pairing) серьёзно усложняет перехват и MITM. Атака BTLEJack (принудительный fallback на Legacy Pairing) срабатывает только если устройство поддерживает downgrade. Промышленные BLE-устройства нового поколения всё чаще требуют bonding с PIN - тогда атака переходит в категорию side-channel и требует специализированного оборудования.

Место в kill chain: initial access в IoT-сегмент. Скомпрометированный BLE-шлюз (gateway) подключён к проводной сети - через него возможен pivot для lateral movement в IT-инфраструктуру.

ZigBee уязвимости: пентест IoT устройств в корпоративной сети​

ZigBee (802.15.4) управляет освещением, HVAC, контролем доступа в коммерческих зданиях. В русскоязычных материалах по беспроводному пентесту эта тема - слепое пятно.

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Для blue team: если в инфраструктуре есть BLE или ZigBee - стандартный WIPS для этих протоколов бесполезен. Нужны специализированные решения для RF-мониторинга полного спектра или, как минимум, периодический аудит BLE-окружения через Kismet с Ubertooth.

Два года я расширяю скоуп беспроводного пентеста за пределы Wi-Fi - и каждый раз слышу одно и то же: «BLE - это же не сеть», «ZigBee - а это вообще что?». При этом BLE-замки стоят на складских дверях, ZigBee-координаторы управляют освещением целых этажей и сидят на том же коммутаторе, что и рабочие станции. Формально IoT-сегмент «изолирован» - на практике VLAN-тег и ACL на коммутаторе, который никто не ревизировал после установки три года назад.

Атаки на WPA2 не стали сложнее. PMKID работает так же надёжно, как и в 2018 году. WPA3 Transition Mode обесценивает миграцию на WPA3, потому что AP продолжает принимать WPA2-подключения. Единственная непробиваемая конфигурация - WPA3-only с отключённым Transition Mode и 802.11w. Таких сетей за два года - три из нескольких десятков проектов.

Настоящий сдвиг не в Wi-Fi. Он в расширении attack surface за счёт протоколов, которые пентестеры не трогают, а защитники не мониторят. BLE-замок без аутентификации на GATT - рабочий initial access в физический периметр, а не теоретическая угроза. ZigBee-датчик с дефолтным ключом - pivot в сетевой сегмент, который все считали изолированным. Если беспроводной пентест для вас заканчивается на Wi-Fi - вы проверяете треть attack surface и пишете в отчёте, что периметр безопасен. Проверьте свой скоуп: сколько BLE и ZigBee-устройств на вашем последнем объекте осталось за рамками?