什么是MitM攻擊？如何預(yù)防？

Dan Swinhoe Charles

利用中間人網(wǎng)絡(luò)攻擊，攻擊者能夠秘密地?cái)r截通信或者改變通信。雖然很難檢測(cè)MitM攻擊，但卻是可以預(yù)防的。

中間人（Man-in-the-Middle，MitM）攻擊是指當(dāng)雙方進(jìn)行通信時(shí)，攻擊者攔截通信，秘密地竊聽(tīng)或者修改雙方之間的數(shù)據(jù)流。攻擊者會(huì)使用MitM攻擊來(lái)竊取登錄憑證和個(gè)人信息、窺探受害者、破壞通信，甚至損壞數(shù)據(jù)。

CrowdStrike公司的EMEA技術(shù)策略師Zeki Turedi指出，“MitM攻擊是為達(dá)到目的而實(shí)施的戰(zhàn)術(shù)手段。其目的可能是監(jiān)視個(gè)人或者團(tuán)體，以轉(zhuǎn)移人們的工作方向、資金、資源或者注意力?！?/p>

雖然可以通過(guò)加密措施來(lái)防御MitM，但成功的攻擊者要么把數(shù)據(jù)流重新路由到設(shè)計(jì)為看起來(lái)合法的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站，要么只是在收集或者記錄后將數(shù)據(jù)流傳送到其預(yù)定目的地，這意味著很難檢測(cè)此類(lèi)攻擊。

中間人攻擊的工作原理

MitM攻擊是最古老的一種網(wǎng)絡(luò)攻擊形式。20世紀(jì)80年代初以來(lái)，計(jì)算機(jī)科學(xué)家一直在尋找能夠防止有威脅的犯罪分子篡改或者竊聽(tīng)通信的方法。

MitM攻擊包括位于通信雙方連接之間的坐席，他們觀(guān)察并控制數(shù)據(jù)流。這可以通過(guò)干擾合法網(wǎng)絡(luò)或者創(chuàng)建攻擊者能夠控制的假網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。然后，為了竊取、更改和重新路由這些數(shù)據(jù)流到攻擊者所選擇的目的地（例如，網(wǎng)絡(luò)釣魚(yú)登錄網(wǎng)站），會(huì)對(duì)被攻破的這些數(shù)據(jù)流進(jìn)行解密。由于攻擊者在記錄或者編輯被截獲的數(shù)據(jù)流后，只是靜默地觀(guān)察，或者重新加密這些數(shù)據(jù)流，將其傳送到預(yù)定的目的地，因此很難發(fā)現(xiàn)這種攻擊。

SANS技術(shù)研究所的研究主任Johannes Ullrich說(shuō)：“MitM攻擊是攻擊者實(shí)際上位于受害者和受害者想要連接的合法主機(jī)之間的一種攻擊。所以，他們要么被動(dòng)地監(jiān)聽(tīng)連接，要么實(shí)際上截獲連接，終止連接，并建立到目的地的新連接?！?/p>

取決于目標(biāo)和目的，MitM包含了很多技術(shù)，會(huì)帶來(lái)各種可能的結(jié)果。例如，在SSL剝離過(guò)程中，攻擊者在自己與服務(wù)器之間建立了一個(gè)HTTPS連接，但與用戶(hù)之間使用不安全的HTTP連接，這意味著以純文本形式發(fā)送信息，而不加密。Evil Twin攻擊對(duì)合法的Wi-Fi接入點(diǎn)進(jìn)行鏡像處理，完全由惡意攻擊者控制，他們能夠監(jiān)視、收集和控制用戶(hù)發(fā)送的所有信息。

Turedi說(shuō)：“這類(lèi)攻擊可能是為了間諜活動(dòng)或者獲取經(jīng)濟(jì)利益，也可能就是為了搞破壞。造成的損害有大有小，這取決于攻擊者的目的和造成損害的能力?！?/p>

在銀行業(yè)務(wù)場(chǎng)景中，攻擊者能看到用戶(hù)正在進(jìn)行轉(zhuǎn)賬，并能更改要發(fā)送的目的帳號(hào)和金額。有威脅的犯罪分子可以使用中間人攻擊來(lái)獲取個(gè)人信息或者登錄憑證。如果攻擊者檢測(cè)到有正在下載或者更新的應(yīng)用程序，就會(huì)發(fā)送安裝了惡意軟件的被攻破的更新，而不是合法的更新。EvilGrade漏洞工具包是專(zhuān)門(mén)針對(duì)安全性較差的更新而設(shè)計(jì)的。鑒于移動(dòng)設(shè)備通常無(wú)法加密數(shù)據(jù)流，因此，移動(dòng)設(shè)備尤其容易遭受這類(lèi)攻擊。

SANS研究所的Ullrich說(shuō)：“這些攻擊很容易實(shí)現(xiàn)自動(dòng)化。有一些工具能夠自動(dòng)執(zhí)行這類(lèi)操作，包括查找密碼，在看到密碼時(shí)將其寫(xiě)入到文件中，或者等待特定的請(qǐng)求（例如，下載請(qǐng)求），并將惡意數(shù)據(jù)流發(fā)送回去。”

雖然這些Wi-Fi或者物理網(wǎng)絡(luò)攻擊一般要靠近受害者或者目標(biāo)網(wǎng)絡(luò)才能實(shí)施，但也能遠(yuǎn)程破壞路由協(xié)議。Ullrich解釋道：“這是一種更困難、更復(fù)雜的攻擊。攻擊者會(huì)在互聯(lián)網(wǎng)上宣傳自己負(fù)責(zé)這些IP地址，然后通過(guò)互聯(lián)網(wǎng)把這些IP地址路由給攻擊者，他們就能夠一次次的發(fā)動(dòng)中間人攻擊。”

Ullrich繼續(xù)說(shuō)：“他們還可以更改某一域名的DNS設(shè)置（稱(chēng)為DNS欺騙）。因此，如果您想訪(fǎng)問(wèn)某一網(wǎng)站，實(shí)際上是連接到攻擊者所提供的錯(cuò)誤IP地址，攻擊者可以再次發(fā)動(dòng)中間人攻擊?！?/p>

盡管大部分攻擊都是通過(guò)有線(xiàn)網(wǎng)絡(luò)或者Wi-Fi進(jìn)行的，但也有可能使用假手機(jī)信號(hào)塔進(jìn)行MitM攻擊。美國(guó)、加拿大和英國(guó)的執(zhí)法機(jī)構(gòu)發(fā)現(xiàn)有人使用假手機(jī)信號(hào)塔（稱(chēng)為“黃貂魚(yú)”）來(lái)收集大量的信息。可以在暗網(wǎng)上買(mǎi)到黃貂魚(yú)設(shè)備。

來(lái)自柏林技術(shù)大學(xué)、蘇黎世聯(lián)邦理工學(xué)院和挪威SINTEF Digital公司的研究人員最近發(fā)現(xiàn)了3G、4G所使用的、以及5G無(wú)線(xiàn)技術(shù)將要使用的身份驗(yàn)證和密鑰協(xié)議（AKA）協(xié)議的缺陷——這可能導(dǎo)致攻擊者進(jìn)行MitM攻擊。

中間人攻擊有多常見(jiàn)？

雖然MitM攻擊不像勒索軟件和網(wǎng)絡(luò)釣魚(yú)攻擊那樣常見(jiàn)，但對(duì)企業(yè)來(lái)說(shuō)卻是一種永遠(yuǎn)存在的威脅。IBM X-Force的《2018年威脅情報(bào)指數(shù)》指出，35%的攻擊活動(dòng)涉及到攻擊者試圖實(shí)施MitM攻擊，但難以得出確切的數(shù)字。

Palo Alto網(wǎng)絡(luò)公司第42部的威脅情報(bào)分析師Alex Hinchliffe說(shuō)：“不太確切地說(shuō)，MitM攻擊并不是非常普遍。很多相同的目標(biāo)——監(jiān)視數(shù)據(jù)/通信、重定向數(shù)據(jù)流等等，都可以通過(guò)安裝在受害者系統(tǒng)上的惡意軟件來(lái)實(shí)現(xiàn)。如果有更簡(jiǎn)單的方法來(lái)進(jìn)行攻擊，攻擊者通常會(huì)選擇更簡(jiǎn)單的路線(xiàn)?！?/p>

最近一個(gè)值得注意的例子是一群俄羅斯GRU特工試圖利用Wi-Fi欺騙設(shè)備入侵海牙禁止化學(xué)武器組織（OPCW）的辦公系統(tǒng)。

更多地采用HTTPS和更多的瀏覽器內(nèi)置警告功能已經(jīng)減少了一些MitM攻擊可能帶來(lái)的威脅。2017年，電子前沿基金會(huì)（Electronic Frontier Foundation，EFF）報(bào)告說(shuō)，超過(guò)一半的互聯(lián)網(wǎng)數(shù)據(jù)流現(xiàn)在是加密的，而谷歌報(bào)告說(shuō)，一些國(guó)家90%以上的數(shù)據(jù)流現(xiàn)在都被加密了。Chrome和Firefox等主要瀏覽器也會(huì)在用戶(hù)面臨MitM攻擊風(fēng)險(xiǎn)時(shí)發(fā)出警告。CrowdStrike的Turedi說(shuō)：“隨著越來(lái)越多地采用SSL以及引入Google Chrome等現(xiàn)代瀏覽器，對(duì)公共WiFi熱點(diǎn)的MitM攻擊在逐漸減少?！?/p>

Turedi補(bǔ)充道：“如今，常見(jiàn)的是在非常復(fù)雜的攻擊中利用了MitM原理。最近在開(kāi)源報(bào)告中觀(guān)察到的一個(gè)例子是針對(duì)大型金融機(jī)構(gòu)的SWIFT網(wǎng)絡(luò)的惡意軟件，這其中利用了MitM技術(shù)提供假賬戶(hù)余額，目的是在資金被惡意轉(zhuǎn)移到網(wǎng)絡(luò)罪犯分子的賬戶(hù)過(guò)程中不被發(fā)現(xiàn)?！?/p>

這種威脅仍然存在。例如，Retefe銀行木馬通過(guò)攻擊者控制的服務(wù)器重新路由來(lái)自銀行域的數(shù)據(jù)流，在重新加密數(shù)據(jù)并將其發(fā)送到銀行之前對(duì)請(qǐng)求進(jìn)行解密和修改。利用最近發(fā)現(xiàn)的一個(gè)TLS協(xié)議缺陷（包括最新的1.3版本），攻擊者能夠破壞RSA密鑰交換并攔截?cái)?shù)據(jù)。

中間人攻擊的預(yù)防

盡管時(shí)不時(shí)的能發(fā)現(xiàn)缺陷，而TLS這樣的加密協(xié)議是防范MitM攻擊的最佳方法。最新版本的TLS于2018年8月成為正式標(biāo)準(zhǔn)。還有其他一些協(xié)議，例如SSH，以及谷歌的QUIC等更新的協(xié)議。

在最終用戶(hù)教育方面，應(yīng)督促員工盡可能不要在公共場(chǎng)所使用開(kāi)放公共Wi-Fi或者Wi-Fi服務(wù)，因?yàn)檫@比手機(jī)連接更容易被欺騙，并告訴他們要注意瀏覽器的警告，即網(wǎng)站或者連接可能不合法。使用VPN有助于保證安全的連接。

Palo Alto公司的Hinchliffe說(shuō)：“最好的方法包括多重身份驗(yàn)證、最大限度地增強(qiáng)網(wǎng)絡(luò)控制和可視性，以及對(duì)網(wǎng)絡(luò)進(jìn)行劃分?！?/p>

預(yù)防勝于攻擊后的事后諸葛亮，尤其是很難發(fā)現(xiàn)的攻擊。CrowdStrike公司的Turedi說(shuō)：“對(duì)于大部分傳統(tǒng)的安全設(shè)備來(lái)說(shuō)，這些攻擊基本上是偷偷摸摸進(jìn)行的，一開(kāi)始很難檢測(cè)到。”

如果量子加密技術(shù)在商業(yè)上可行，那么它能提供強(qiáng)有力的保護(hù)，以防范MitM攻擊，其理論是不可能復(fù)制量子數(shù)據(jù)，也不可能在不改變狀態(tài)的情況下進(jìn)行觀(guān)察，因此，如果數(shù)據(jù)流在傳輸途中受到了干擾，就會(huì)發(fā)出很強(qiáng)的指示。

物聯(lián)網(wǎng)會(huì)成為MitM攻擊的下一目標(biāo)嗎？

分析人士預(yù)測(cè)，未來(lái)五年，連接互聯(lián)網(wǎng)的設(shè)備的數(shù)量可能會(huì)激增至數(shù)百億臺(tái)。然而，很多設(shè)備缺乏安全性意味著物聯(lián)網(wǎng)的增長(zhǎng)可能會(huì)導(dǎo)致MitM攻擊的激增。CSO先前報(bào)告過(guò)有可能在物聯(lián)網(wǎng)設(shè)備上進(jìn)行MitM式攻擊，向企業(yè)發(fā)送回錯(cuò)誤信息，或者向設(shè)備本身發(fā)送錯(cuò)誤的指令。

Ullrich說(shuō)：“物聯(lián)網(wǎng)設(shè)備往往更容易受到攻擊，因?yàn)樗鼈儧](méi)有采用很多針對(duì)MitM攻擊的標(biāo)準(zhǔn)緩解措施。很多物聯(lián)網(wǎng)設(shè)備還沒(méi)有采用TLS，或者所采用的老版本沒(méi)有最新版本那么強(qiáng)大?！?/p>

Ponemon研究所和OpenSky公司的一項(xiàng)新調(diào)查發(fā)現(xiàn)，美國(guó)61%的安全從業(yè)人員表示，他們無(wú)法控制物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備在其公司內(nèi)部的擴(kuò)散，而60%的人說(shuō)他們無(wú)法避免物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)帶來(lái)的安全漏洞和數(shù)據(jù)泄露問(wèn)題。

Ullrich說(shuō)：“對(duì)于移動(dòng)應(yīng)用程序和周?chē)鷽](méi)有人的物聯(lián)網(wǎng)設(shè)備，這是一個(gè)問(wèn)題;其中一些應(yīng)用程序會(huì)忽略這些錯(cuò)誤，仍然進(jìn)行連接，這就違背了TLS的目的?！?/p>