中间攻击是讨厌而隐形的动作,从云到SSL到处都出现。他们似乎是在攻击者寻找方法中秘密插入任何两个新技术或现有技术的沟通点之间的方法。
美国航运局CISO迈克尔·H·戴维斯(Michael H. Davis)说:“任何通信路径都可以具有自己的形式和方法来利用MITM攻击。”
如果您不知道他接下来会在哪里罢工,您可能会处于不利地位。CSO提出了一系列MITM攻击,详细介绍了将企业保护针对它们的方法。对于这种MITM威胁的混合泳,CSO看了伪造的Wi-Fi访问点,会议劫持,DNS欺骗,SSL劫持,ARP高速缓存中毒和云端攻击。
戴维斯说,假Wi-Fi接入点MITM攻击是那里最常见的接力攻击之一。攻击者使用Kali Linux,AirCrack-NG,Wireshark和EtterCap等常见工具,捕获无线流量,确定WLAN上的用户,并确定其使用的访问点。然后,网络小偷可以将它们从现有连接中登录,并使它们重新连接到接入点的克隆版本。
当攻击者损害最终用户和Web服务器之间发生的Web浏览器会话的安全令牌时,会话劫持。这使网络骗子能够访问Web服务器,用户或两者兼而有之。有多种方法可以解决此问题,包括嗅探会话ID的会话,猜测不够长的会话ID,以及启动浏览器攻击的人,这些攻击使用了代理Trojan马来点击之间的通信服务器和浏览器。
DNS欺骗对无抵押DNS服务器的捕食,使用false IP替换域名和IP地址关联的缓存记录,例如,可以使某人冲浪到www.csoonline.com降落在攻击者指定的IP地址上。这些攻击起作用,在DNS服务器未使用合法权威中接收到的关联。
Amichai Shulman,CTO,Imperva兼Imperva应用程序防御中心负责人
SSL劫持了攻击者进入握手和加密过程。该攻击使用攻击演示 /概念验证工具由计算机安全研究人员创建的概念工具,该研究人员以化名Moxie Marlinspike工作。该工具运行SSLSTRIP攻击,这很容易通过以下事实来识别,即通常在URL中产生链接的站点以https://现在产生以http://开头的链接。
ARP缓存中毒攻击ARP协议,该协议将IP地址转换为相关机器的MAC地址。该翻译首次完成后,地址分辨率数据就位于缓存中,称为ARP缓存。ARP中毒在ARP答复中发送伪造的IP-TO-MAC关联,导致网络上的主机使用错误信息更新其ARP缓存,这使攻击者能够模仿具有该IP地址的真实相应MAC地址并接收数据的机器打算为真正的主持人。
云端攻击窃取了Oauth代币,以定位文件共享工具的自动同步过程。Box,Dropbox,Google Drive和OneDrive是这些工具的示例,它们会自动跨设备同步数据。这些工具使用OAuth代币来验证用户。攻击者向用户进行电话钓鱼,从他们的机器上抓住了Oauth令牌。攻击者将令牌放置在自己的设备上,文件共享工具也将共享数据同步到其设备。“攻击者有可能随时随地与受害人的帐户保持同步活动,而无需向帐户所有者通知,” Amichai Shulman,CTO,IMPERVA,IMPERVA兼IMPERVA应用程序防御中心(ADC)的负责人Amichai Shulman说。
沉默窃听的中间人
Fake Wi-Fi access points use SSIDs of the same name as the cloned access point, boost their signal so it’s stronger than that of the genuine access point, and count on devices using auto-connect to automatically reconnect the device to the access point of the same name with the strongest signal. To avoid this attack, do not use auto-connect but rather examine available SSIDs and pay attention when two access points present themselves using the same name.
会议劫持的漏洞和工具,例如弱(短)会话ID,数据包嗅探或代理特洛伊木马。企业应使用强大的会话ID,使用IPSEC和VPN等技术来保护流量,并使用虚拟机在感染时可以关闭并重新打开而无需感染时可以关闭。
通过使用DNSSECDNSSEC扩展以保护DNS,企业可以保护DNS免受DNS欺骗。对于SSLSTIPPITIP,请考虑基于最新版本的TLS的证书管理工具,并避免使用SSL。检查端点身份验证技术,例如漏洞的TLS。Shulman说:“ TLS中的RC4密码很容易受到MITM攻击的影响,您应该避免使用它。”确保正确配置TLS和其他身份验证方法。
它将帮助企业使用分层保护,包括深数据包网络流量监视工具,以解决ARP高速缓存中毒和其他MITM攻击。戴维斯说:“这将有助于企业识别探针数据包并尽早跟踪这些来源。”同样确保这些安全工具本身也很重要。
企业应考虑使用Cloud Access Security Brokers(CASB)来阻止云攻击。这些经纪人检查对现有企业安全策略的遵守,这些政策可以将攻击者与授权用户分开。Shulman说:“使用CASB监视企业用户对企业云服务的访问和使用模式可以实时检测和标记异常。”
这个故事是“认识下一个安全危机的中间人”,最初是由CSO 。