奇異的man-on-the-side攻擊

Man-in-the-middle(MitM)攻擊可能大家都有聽過,通常具備最專業知識的攻擊者才能使用,然而有更罕見、更奇異的man-on-the-side(MotS)攻擊存在,以下將會講解兩者之間的分別。

MitM與MotS的分別

Man-on-the-side攻擊的特徵是客端經由已被入侵的渠道向伺服器發出請求,而該渠道並非由網絡犯罪份子控制,他們只是「竊聽」,在大部份個案中,攻擊都需要存取互聯網供應商的硬件,不過由於十分罕有,所以man-on-the-side攻擊也變得罕見,這種攻擊監視客端的請求,然後產生他們自己的惡意回應。

Man-in-the-middle攻擊操作也十分相似,攻擊者同樣干預客端和伺服器的數據傳輸過程,但主要分別是前者的客端請求會抵達伺服器,所以攻擊者要更快對客端的請求作出回應。而man-in-the-middle攻擊者對數據傳輸渠道有更大的控制程度,他們截取請求,能夠修改或刪除透過網絡發送的其他用戶資料,而且也不用跟伺服器回應鬥快。然而,Man-in-the-middle攻擊比man-on-the-side更具入侵性,這意味著更容易被發現。

Man-on-the-side攻擊如何運作?

成功的man-on-the-side攻擊必需要做到對受害者電腦的不同請求作出假回應,從而達至以下目的:

  • 取代用戶想下載的檔案 – 在2022年,APT組織LuoYu把WinDealer惡意程式送到一些位於中國的外交官、科學家和企業家受害者,發送到伺服器的請求是更新合法的軟件,但攻擊者卻成功把他們自己的補丁版本取而代之,以惡意程式頂替。
  • 在裝置上執行惡意腳本 – 2015年有國家的政府嘗試傳送惡意JavaScript到沒有戒備用戶的瀏覽器,目的是審查開源社群GitHub,結果這些瀏覽器不斷重刷GitHub網頁,引起維持5天的DDoS攻擊,嚴重影響正常服務。
  • 導引受害者到網站

順帶一提,多個國家的情報機構也懷擬正在使用這種攻擊。

防護手段

必需重申一點,man-on-the-side攻擊十分罕見,攻擊者需要存取供應商硬件才能發動,因此,在工務外遊、工作會議或其他原因員工連線可疑Wi-Fi時屬於高風險狀況,經常透過VPN進行工作能維持安全性,當然員工的工作裝置上也不可缺少可靠的安全方案

資料來源:Kaspersky Blog