Adversary-in-the-Middle (AiTM) ist eine Technik, bei der sich Angreifer zwischen zwei oder mehr vernetzte Geräte positionieren, um Folgeverhalten wie Netzwerk-Sniffing, Manipulation übertragener Daten oder Replay-Angriffe zu unterstützen. Dabei nutzen sie Funktionen gängiger Netzwerkprotokolle wie ARP, DNS oder LLMNR, um den Datenverkehr durch ein von ihnen kontrolliertes System zu lenken, um Informationen zu sammeln oder weitere Aktionen durchzuführen.
Zum Beispiel können Angreifer die DNS-Einstellungen des Opfers manipulieren, um andere bösartige Aktivitäten zu ermöglichen, wie das Verhindern oder Umleiten des Zugriffs auf legitime Websites und das Einschleusen zusätzlicher Malware. Sie können auch DNS manipulieren, um Benutzerdaten wie Zugangstokens und Sitzungscookies abzufangen. Downgrade-Angriffe können ebenfalls eingesetzt werden, um eine AiTM-Position zu etablieren, indem eine weniger sichere oder veraltete Version eines Kommunikationsprotokolls oder Verschlüsselungsalgorithmus ausgehandelt wird.
Angreifer können die AiTM-Position auch nutzen, um den Datenverkehr zu überwachen und/oder zu modifizieren, wie bei der Manipulation übertragener Daten. Sie können eine ähnliche Position einnehmen, um den Datenverkehr zu blockieren, was die Verteidigung beeinträchtigen und/oder einen Netzwerk-Denial-of-Service unterstützen könnte.
Die Technik Adversary-in-the-Middle (ID: T1557) umfasst drei Sub-Techniken:
- LLMNR/NBT-NS Poisoning und SMB Relay (ID: T1557.001)
- ARP Cache Poisoning (ID: T1557.002)
- DHCP Spoofing (ID: T1557.003)
Diese Techniken werden verwendet, um Anmeldeinformationen zu stehlen oder Daten zu sammeln. Sie betreffen Plattformen wie Linux, Netzwerk, Windows und macOS.
Einige Beispiele für die Anwendung dieser Techniken sind:
- Dok: Dieses Schadprogramm proxyt Web-Traffic, um möglicherweise den HTTP(S)-Traffic des Opfers zu überwachen und zu ändern.
- Kimsuky: Diese Gruppe hat modifizierte Versionen von PHProxy verwendet, um den Web-Traffic zwischen dem Opfer und der aufgerufenen Website zu untersuchen.
Zur Minderung dieser Bedrohungen gibt es verschiedene Maßnahmen:
- Deaktivieren oder Entfernen von Features oder Programmen (M1042): Deaktivieren Sie veraltete Netzwerkprotokolle, die für das Abfangen von Netzwerkverkehr verwendet werden könnten.
- Verschlüsselung sensibler Informationen (M1041): Stellen Sie sicher, dass der gesamte Datenverkehr angemessen verschlüsselt ist, und verwenden Sie bewährte Authentifizierungsprotokolle wie Kerberos.
- Netzwerkverkehr filtern (M1037): Verwenden Sie Netzwerkgeräte und hostbasierte Sicherheitssoftware, um unnötigen Netzwerkverkehr zu blockieren.
- Zugriff auf Netzwerkressourcen einschränken (M1035): Begrenzen Sie den Zugriff auf Netzwerkressourcen, die zur Manipulation des Datenverkehrs verwendet werden könnten.
- Netzwerkeindringung verhindern (M1031): Netzwerk-Eindringungserkennungs- und Präventionssysteme können verwendet werden, um AiTM-Aktivitäten zu erkennen und zu verhindern.
- Netzwerksegmentierung (M1030): Nutzen Sie Netzwerksegmentierung, um Infrastrukturkomponenten zu isolieren und den Umfang von AiTM-Aktivitäten zu begrenzen.
- Benutzerschulung (M1017): Schulen Sie Benutzer darin, misstrauisch gegenüber Zertifikatsfehlern zu sein, da Angreifer eigene Zertifikate verwenden könnten, um HTTPS-Verkehr abzufangen.
Zur Erkennung von AiTM-Aktivitäten sollten verschiedene Datenquellen und Komponenten überwacht werden, darunter Anwendungsprotokolle, Netzwerkverkehr und Änderungen in der Windows-Registry. Beispielsweise sollte der Netzwerkverkehr auf Anomalien überprüft werden, die auf AiTM-Verhalten hinweisen, und die Windows-Registry sollte auf Änderungen überwacht werden, die auf eine Manipulation der DNS-Client-Einstellungen hinweisen.
Diese Maßnahmen und Überwachungsmethoden tragen dazu bei, das Risiko durch Adversary-in-the-Middle-Angriffe zu verringern und die Netzwerksicherheit zu stärken.