Статья MITM-атаки: Всё, что нужно знать

То, что суперчасто упоминается в моих статьях.
Давайте развернём эту конфетку.

---

Всё о MITM атаках: история, развитие и всё, что нужно знать​

Введение: от первых сетевых уязвимостей до современных методов перехвата​

В эпоху, когда компьютерные сети только начинали формироваться, безопасность данных была не в приоритете. В 70-х и 80-х годах интернета не было - были локальные сети, мейнфреймы и первые протоколы. Тогда злоумышленники, если и появлялись, то скорее как любопытные хакеры-энтузиасты, тестирующие системы на уязвимости.

Но уже в 90-х годах, с ростом популярности интернета и развитием протоколов, появилась возможность перехвата данных. В это время появились первые вариации MITM-атак, которые использовались для перехвата паролей, учетных данных и конфиденциальных сообщений.

Первые шаги: уязвимости в ARP и DNS​

Самый первый и очевидный способ вставки в коммуникацию - это атаки, связанные с протоколами ARP и DNS. В 80-х годах было обнаружено, что ARP-протокол, который предназначен для локальных сетей, не защищен от подделки. Злоумышленники начали использовать ARP Spoofing, чтобы перехватывать трафик внутри LAN. Этот метод позволял злоумышленникам становиться "посередине" между устройствами, получая доступ к передаваемой информации и даже изменяя её без ведома участников коммуникации. Аналогично, уязвимости протокола DNS открывали двери для подмены адресов сайтов, перенаправляя пользователей на фальшивые ресурсы. Эти атаки стали первыми серьёзными вызовами для сетевой безопасности, подчеркивая необходимость внедрения механизмов защиты, таких как статическая привязка MAC-адресов, использование DHCP Snooping и DNSSEC, чтобы обеспечить целостность и доверие в сетях.

DNS, изначально - децентрализованный и ненадежный протокол, тоже стал объектом атак. В 90-х годах появились первые атаки типа DNS Spoofing, которые позволяли перенаправлять пользователей на фейковые сайты.
Эти атаки основывались на уязвимости в системах кеширования и недостаточной проверке подлинности ответов DNS-серверов. Злоумышленники использовали их для подмены настоящих IP-адресов, что позволяло им перехватывать конфиденциальную информацию, внедрять вредоносное ПО или проводить фишинговые кампании. В ответ на это были разработаны методы защиты, такие как DNSSEC, который внедряет цифровую подпись для проверки подлинности DNS-ответов, и расширенные механизмы аутентификации, повышающие безопасность системы и усложняющие проведение подобных атак.

Это был своего рода "золотой век" для MITM - без сложных инструментов и с минимальными знаниями можно было устроить перехват данных в локальной сети или даже в интернете.
Они могли перехватывать, изменять или подделывать трафик в локальных сетях и даже в глобальной сети, что делало этот период особенно уязвимым для пользователей и организаций. Отсутствие встроенных механизмов защиты и недостаточная осведомленность о подобных угрозах способствовали активному распространению MITM-атак, что подчеркнуло необходимость разработки и внедрения более надежных систем безопасности.

Развитие инструментов и методов​

В 2000-х годах появились первые автоматизированные инструменты для проведения MITM-атак:

• Cain & Abel - программа для Windows, которая позволяла перехватывать пароли, делать ARP Spoofing и даже слушать Wi-Fi-сигналы.
  Она позволяла перехватывать пароли с помощью методов сниффинга и декодирования, осуществлять ARP Spoofing для перенаправления трафика и проведения MITM-атак, а также слушать Wi-Fi-сигналы для получения информации о беспроводных сетях. Благодаря своему удобству и широкому функционалу Cain & Abel стала широко использоваться как злоумышленниками, так и специалистами по безопасности для тестирования уязвимостей и укрепления защиты сетей.
  
  
• Ettercap - более мощный кроссплатформенный инструмент, созданный специально для MITM-атак. Он поддерживал ARP Spoofing, DNS Spoofing, фильтрацию пакетов и автоматизацию.
  Кроме того, Ettercap предлагал автоматизацию процессов атаки, что делало его особенно популярным среди специалистов по безопасности для тестирования и анализа уязвимостей сетей. Его гибкость и расширяемость позволяли создавать сложные сценарии атак и проводить глубокий анализ сетевого трафика.

Эти инструменты значительно упростили задачу злоумышленников, сделав MITM-атаки доступными даже для новичков.
Это снизило порог входа для злоумышленников, даже для тех, кто не обладает глубокими знаниями в области сетевой безопасности. В результате такие инструменты становились популярными как среди специалистов по безопасности, так и среди злоумышленников, что подчеркивает важность постоянного развития методов защиты сетей и обучения безопасной работе в цифровой среде.

---

Почему MITM стал революцией в мире злоумышленников​

Преимущество MITM - это полнота контроля над трафиком. В отличие от эксплойтов уязвимостей или внедрения вредоносных скриптов, здесь злоумышленник контролирует весь канал коммуникации. Это дает возможность:

• Собрать логин и пароль
• Перехватить куки, сессионные токены
• Переформатировать или подменить содержимое сообщений
• Внедрять вредоносный код
• Вытянуть личные данные и конфиденциальную информацию

Ключевое преимущество - это невидимость. Пока злоумышленник умеет маскироваться и правильно маскирует свои действия, жертва даже не подозревает, что ее перехватывают.
Это позволяет злоумышленнику спокойно собирать конфиденциальные данные, такие как пароли, личные сообщения или финансовую информацию, без риска быть замеченным. Именно поэтому важна многоуровневая защита сетей, использование шифрования и мониторинг аномалий, чтобы выявлять и предотвращать такие скрытые атаки.

Эволюция MITM-атак: от локальных сетей к глобальному интернету​

1. Внутри локальных сетей (LAN)​

Здесь всё началось. ARP Spoofing и DNS Spoofing - основные инструменты. Внутри LAN злоумышленник может легко вставить себя между двумя ПК или между компьютером и шлюзом. Внутри LAN эти методы позволяют злоумышленнику легко вставить себя между двумя ПК или между ПК и шлюзом, получая полный контроль над трафиком и возможностью осуществлять дальнейшие атаки или кражу данных. Поэтому защита сети от таких методов, например, использование статических ARP-записей, шифрование трафика и системы обнаружения аномалий, крайне важна. В этом случае он может:

• Перехватывать рабочие файлы
• Воровать пароли
• Внедрять вредоносные скрипты на локальные сайты

2. В публичных Wi-Fi точках​

С ростом использования открытых Wi-Fi сетей, злоумышленники начали создавать Evil Twin - фейковые точки доступа, которые выглядят как легитимные. Жертва подключается, а весь трафик идет через злоумышленника, который его перехватывает и анализирует.
Такие фейковые точки доступа маскируются под легитимные сети, часто имея одинаковое название (SSID), что сбивает с толку пользователей.

Когда жертва подключается к Evil Twin, весь её интернет-трафик проходит через злоумышленника. Это позволяет ему перехватывать, анализировать, а иногда и изменять передаваемые данные, что создает угрозу кражи личных данных, паролей, финансовой информации и других конфиденциальных данных.

3. В масштабах интернета​

Расширение протоколов безопасности, таких как SSL/TLS, создало новые вызовы. Злоумышленники начали использовать SSL Stripping и Session Hijacking для обхода защиты.

SSL Stripping - это атака, при которой злоумышленник перехватывает первоначальный незашифрованный HTTP-запрос и заменяет его на HTTPS, чтобы пользователь остался в незащищённой версии сайта. В результате пользователь считает, что общается через защищённое соединение, а злоумышленник получает возможность перехватывать передаваемые данные.

Session Hijacking - это метод, при котором злоумышленник похищает или подделывает сессионные куки или токены, чтобы получить доступ к учетной записи жертвы или продолжить сессию без её ведома. Это позволяет злоумышленнику получить несанкционированный доступ к ресурсам, которые защищены аутентификацией.

---

Текущие методы и инструменты - что используют злоумышленники сегодня​

ARP Spoofing и IP Spoofing​

Это базовые техники, которые остаются актуальными. В современной реализации используют:

• Bettercap - мощное средство автоматизации, позволяющее управлять ARP, DNS, HTTPS и даже Wi-Fi.
• Cain & Abel - для Windows-систем, особенно в сетях с Windows-серверами.

DNS Spoofing и DNS Manipulation​

Обеспечивают перехват и подмену DNS-запросов. В результате пользователь, даже вводя правильный адрес, попадает на фейковый сайт.

DNS Spoofing (подмена DNS) заключается в том, что злоумышленник подделывает DNS-записи или вмешивается в процесс разрешения доменных имён, чтобы направлять пользователя на ложные IP-адреса. Это позволяет ему перехватывать личные данные, распространять вредоносное ПО или выполнять фишинг.

DNS Manipulation - более широкий термин, включающий любые формы вмешательства в процесс обработки DNS-запросов, такие как изменение DNS-записей на сервере или перенаправление через вредоносные промежуточные узлы.

Wi-Fi Evil Twin и Rogue Access Points​

Создание ложных точек доступа - очень популярный метод для атак в публичных местах. Злоумышленник просто настраивает точку с одинаковым названием и паролем, а жертва подключается, думая, что это легитимный интернет.
Злоумышленник настраивает фальшивую точку доступа с тем же названием (SSID) и паролем, что и легитимная сеть в публичных местах, чтобы заставить пользователей подключиться к ней. После этого злоумышленник получает возможность перехватывать передаваемые данные.

SSL Stripping и HTTPS MITM​

Обход HTTPS - один из самых сложных вызовов. Но злоумышленники используют mitmproxy, Bettercap, Ettercap для автоматизации этого процесса.

Эти инструменты позволяют перехватывать, просматривать и при необходимости изменять зашифрованный HTTPS-трафик между пользователем и сервером, что потенциально даёт злоумышленникам доступ к конфиденциальной информации, такой как логины, пароли, личные данные и т.д.

Взлом сессий и кража куков​

Иногда злоумышленники используют снифферы для перехвата HTTP-заголовков и извлечения сессионных куков. В дальнейшем - используют их для входа в аккаунты жертв (Session Hijacking).
Эти куки содержат идентификаторы сессий, которые позволяют злоумышленнику получить доступ к аккаунту жертвы без необходимости вводить логин и пароль.

Самые популярные сценарии MITM-атак и их подробный разбор​

Давайте рассмотрим наиболее распространенные сценарии и разберем, как именно злоумышленники их реализуют.

Сценарий 1: Атака в публичной Wi-Fi точке - создание Evil Twin​

Шаги:

1. Злоумышленник запускает точку доступа с тем же SSID, что и публичное кафе или аэропорт.
2. Жертвы подключаются, думая, что это легитимный интернет.
3. Внутри сети злоумышленник использует Bettercap или Aircrack-ng для ARP Spoofing.
4. Перехватывает весь трафик - логирует пароли, куки, просматривает незашищенные данные.

Результат: за несколько минут собирается большая база данных личных данных, паролей и сессионных токенов.

Сценарий 2: DNS Spoofing для фишинга​

Шаги:

1. Злоумышленник настраивает DNSChef или Ettercap.
2. В рамках ARP Spoofing он подменяет DNS-запросы.
3. Пользователь вводит facebook.com, а попадает на фейковый сайт, созданный злоумышленником.
4. Жертва вводит логин и пароль, а он попадает к злоумышленнику.

Сценарий 3: SSL Stripping - перевод HTTPS в HTTP​

Шаги:

1. Злоумышленник вставляется в цепочку, используя mitmproxy.
2. Когда жертва заходит на сайт с HTTPS, автоматический редирект отключается или не работает.
3. Весь трафик переходит в обычный HTTP - злоумышленник видит все, что вводит пользователь.
4. В случае с банками, соцсетями, почтовыми сервисами - все пароли и личные данные доступны.

Особенности: современные браузеры используют HSTS, что усложняет задачу, но многие старые сайты или плохо настроенные ресурсы все еще уязвимы.

---

Почему MITM - это не просто теория, а реальная угроза сегодня​

На сегодняшний день MITM-атаки - это не только инструменты хакеров-любителей, а настоящая угроза для бизнеса, государственных структур и обычных пользователей.
Эта тенденция обусловлена тем, что злоумышленники используют все более изощренные методы и автоматизированные инструменты для проведения MITM-атак, что делает их практически невидимыми и трудными для обнаружения. В условиях, когда информационные системы становятся все более сложными и связаны между собой, любая уязвимость может привести к масштабным последствиям: утечке конфиденциальных данных, компрометации инфраструктуры или даже парализации работы целых предприятий и государственных органов. Поэтому защита от таких атак сегодня - это не просто рекомендация, а необходимость для любой организации, стремящейся сохранить свою безопасность и доверие клиентов и партнеров.

Почему?

• Рост количества открытых сетей. В кафе, аэропортах и отелях подключение к публичному Wi-Fi - норма.
• Плохая реализация HTTPS. Множество сайтов все еще используют устаревшие протоколы или неправильно настроены.
• Интернет вещей. Устройства старого типа передают данные без шифрования.
• Уязвимости протоколов. Например, уязвимости в SSL 3.0, TLS 1.0 и даже некоторые реализации TLS.

Примеры из практики:

• В 2016 году хакеры использовали MITM-атаку на публичный Wi-Fi в аэропорту Лондона, чтобы перехватить сотни логинов и паролей.
• В 2018 году злоумышленники перехватили сессии через SSL Stripping и получили доступ к корпоративным аккаунтам нескольких крупных компаний.

Реальные примеры проведения MITM-атак​

Для успешной реализации MITM-атаки злоумышленник использует набор команд и инструментов.
Обычно он применяет специальные программы и утилиты, такие как сетевые снифферы, фальшивые прокси-серверы и инструменты для подделки сертификатов, чтобы перехватывать и анализировать передаваемые данные. Кроме того, злоумышленники активно используют техники манипуляции сетевыми протоколами, внедрение вредоносных скриптов или создание поддельных точек доступа Wi-Fi, что позволяет им незаметно вставать между пользователем и легитимным ресурсом. В результате атаки злоумышленник получает возможность получать конфиденциальную информацию, изменять передаваемые данные или запускать дополнительные вредоносные действия без ведома жертвы. Ниже приведены наиболее популярные сценарии и соответствующие команды.

1. ARP Spoofing с помощью​

Описание: Перехват трафика внутри локальной сети путем подмены ARP-запросов.

Пример команды:

arpspoof -i wlan0 -t 192.168.1.10 -r 192.168.1.1

• -i wlan0 - интерфейс сети (например, Wi-Fi)
• -t 192.168.1.10 - IP-адрес жертвы
• -r 192.168.1.1 - IP-адрес шлюза (роутера)

Что делает: Эта команда заставляет жертву думать, что злоумышленник - это шлюз, а шлюз - что злоумышленник - это жертва. В результате весь трафик идет через атакующего.
Она работает следующим образом: злоумышленник отправляет ложные ARP-ответы в локальную сеть, вводя жертву и шлюз в заблуждение относительно MAC-адресов друг друга. В результате, оба устройства считают, что злоумышленник - это надежный шлюз или жертва, и весь сетевой трафик между ними проходит через атакующего. Это позволяет злоумышленнику перехватывать, анализировать и даже изменять передаваемые данные без ведома участников сети.

---

2. DNS Spoofing с помощью​

Описание: Перехват DNS-запросов и подмена ответов.

Запуск Ettercap в режиме командной строки:

ettercap -T -M arp,dns -i wlan0

• -T - запуск в текстовом режиме
• -M arp,dns - включение ARP и DNS spoofing
• -i wlan0 - интерфейс

Далее, внутри Ettercap можно настроить правила:

# В интерактивном режиме можно прописать:
dns_spoof on
dns_spoof_file /etc/ettercap/dns.spoof

Пример файла /etc/ettercap/dns.spoof:

facebook.com A 192.168.1.100

Это заставит все запросы к facebook.com перенаправлять на IP 192.168.1.100 - фейковый сайт злоумышленника.
В результате такой перенаправки жертва будет считать, что она взаимодействует с настоящим сайтом Facebook, тогда как на самом деле она общается с фальшивым ресурсом злоумышленника. Это позволяет ему собирать личные данные, учетные записи, пароли и другую конфиденциальную информацию, а также проводить дальнейшие атаки, такие как фишинг или распространение вредоносного ПО.

---

3. Создание фейковой точки Wi-Fi (Evil Twin) с помощью​

Конфигурационный файл hostapd.conf:

interface=wlan0
driver=nl80211
ssid=FreeWiFi
hw_mode=g
channel=6
auth_algs=1
wmm_enabled=0

Команда для запуска:

sudo hostapd /path/to/hostapd.conf

Затем злоумышленник может использовать iptables для перенаправления трафика и последующего перехвата. Это позволяет ему перехватывать, фильтровать или модифицировать сетевые пакеты, проходящие через систему. В результате злоумышленник получает возможность полностью контролировать передаваемые данные, просматривать содержимое запросов и ответов, а также внедрять вредоносный код или выполнять другие атаки на сеть или конечных пользователей.

---

4. Перехват HTTPS с помощью​

Запуск Bettercap для автоматического перехвата и SSL-Strip:

sudo bettercap -iface wlan0

В интерактивном режиме далее можно выполнить:

net.probe on
set arp.spoof.targets 192.168.1.10
set http.proxy.sslstrip true
set http.proxy.proxy true
http.proxy on

Это создаст MITM, перехват HTTPS, и при необходимости - переведет его в HTTP, чтобы упростить доступ к содержимому передаваемых данных и повысить вероятность успешного сбора конфиденциальной информации. Такой подход значительно снижает безопасность данных пользователя и создает уязвимость, которую легко использовать для кражи паролей, логинов и других чувствительных данных.

---

5. Перехват сессионных куков с помощью​

Команда для запуска захвата пакетов:

sudo wireshark -i wlan0 -k

или

sudo tcpdump -i wlan0 -w capture.pcap

Далее анализируешь файл capture.pcap, находишь HTTP-заголовки с Set-Cookie и извлекаешь куки. Например, в Wireshark можно фильтровать по:

http.cookie

или

http contains "session"

---

6. Внедрение украденных куков в браузер​

После получения сессионных куков злоумышленник может воспользоваться инструментами типа Burp Suite или напрямую вставить куки в браузер для доступа к аккаунтам.
Такой метод позволяет обойти необходимость повторной аутентификации и полностью контролировать сессии жертвы, что значительно увеличивает риск компрометации личных данных, финансовых операций или корпоративных ресурсов.

Пример ручного внедрения куки:

• В Chrome или Firefox открываешь инструменты разработчика
• Вкладка Network - Edit and Resend - Вставляешь полученные куки в HTTP-заголовки

---

Автоматическая атака с METASPLOIT​

Metasploit - мощный фреймворк для эксплуатации и проведения MITM.

Запуск модуля:

msfconsole
use auxiliary/spoof/arp_poison
set INTERFACE wlan0
set TARGET 192.168.1.10
set GATEWAY 192.168.1.1
run

Это автоматизирует ARP Spoofing. В результате он сможет просматривать, записывать и при необходимости модифицировать передаваемые данные, включая учетные записи, пароли, личную переписку и другие чувствительные сведения. Такой метод широко используется для проведения информационных атак и сбора конфиденциальной информации без ведома владельцев устройств.

---

Использование mitmproxy для перехвата и изменения трафика​

mitmproxy -s script.py

где script.py - скрипт на Python, который может менять содержимое запросов/ответов.

Пример скрипта:

def response(flow):
    if "example.com" in flow.request.pretty_url:
        flow.response.content = flow.response.content.replace(b"Old Text", b"New Text")

MITM - это не просто атака, а стиль жизни злоумышленников​

Эти команды и сценарии - лишь малая часть возможных манипуляций злоумышленников или тестировщиков. В реальной практике, чтобы добиться успеха, необходимо комбинировать несколько методов, маскироваться и постоянно обновлять свои техники.
За последние 30 лет методы MITM-атак значительно эволюционировали, появлялись новые технологии и инструменты. Но основная идея - оставаться невидимым посредником - осталась неизменной.

Важно помнить, что современные системы безопасности, такие как HSTS, Certificate Pinning и автоматические обновления, делают MITM сложнее, но злоумышленники не стоят на месте. Они используют новые уязвимости, автоматизацию и социальную инженерию.

Для обычных пользователей - это напоминание о необходимости быть бдительными, не доверять публичным сетям и всегда проверять сертификаты. Для специалистов - вызов постоянно совершенствовать свои навыки и инструменты.