【16】資安的原罪 ch.3-2.c 中間人攻擊

本章見證安靜且致命的攻擊。

什麼是中間人攻擊？

中間人攻擊（Man-in-the-Middle，簡稱 MITM），有時也稱為中間敵手攻擊（Adversary-in-the-Middle，AITM），是指攻擊者位於資料傳輸的「中間」，而傳送雙方通常毫無察覺。藉此，攻擊者能夠竊聽、竊取資訊、注入惡意資料，或冒充其中一方，進行各種攻擊行為。

常見相關攻擊手法

• ARP 欺騙（ARP Spoofing / Address Resolution Protocol Spoofing）

  • 攻擊者在區域網路中發送偽造的 ARP 封包，將自己的MAC 位址綁定到受害者的 IP 位址。這樣一來，原本發給受害者的資料就會被轉送到攻擊者手中，進而實現攔截。

• 偽造 DHCP 伺服器攻擊（Rogue DHCP Server Attack）

  • 攻擊者架設一個假的 DHCP 伺服器，並發送惡意網路設定（例如偽造的閘道器或 DNS 伺服器），藉此將受害者的流量引導到自己身上，達到中間人位置。

• DNS 欺騙 / 快取污染（DNS Spoofing / Cache Poisoning）

  • 攻擊者污染 DNS 快取資料，植入錯誤的 DNS 紀錄，使受害者被導向假的網站。攻擊者可藉此竊取登入憑證或植入惡意程式。^1

• 流氓接入點（Rogue Access Point）/ 邪惡雙胞胎攻擊（Evil Twin Attack）

  • 攻擊者安裝惡意的Wi-Fi 熱點，或建立一個偽造的 Wi-Fi 熱點，名稱與外觀與合法網路幾乎相同。一旦受害者連接上這個假熱點，他們的所有網路流量就會被攻擊者攔截、查看，甚至修改。

• SSL 降級攻擊（SSL Stripping）

  • 攻擊者將原本安全的 HTTPS 連線降級為不安全的 HTTP，藉此移除加密保護。這讓攻擊者可以查看、修改或插入惡意內容進入通訊中。

• 會話劫持（Session Hijacking）

  • 攻擊者竊取合法的會話 Cookie，進而冒充受害者登入系統，而無需知道密碼。這通常透過 MITM 攻擊來攔截受害者登入時傳送的會話憑證。

• 電子郵件劫持（Email Hijacking / Mailserver MITM）

  • 攔截或偽造郵件傳送路徑（例如在 SMTP 中間人），或劫持郵件帳號以竊取或篡改內容（詐騙、商務電郵妥協 BEC）。

• HTTPS / 憑證相關攻擊（HTTPS Spoofing、偽造憑證）

  • 攻擊者試圖使用偽造或被盜的憑證來冒充網站；或利用被弱化/被信任的 CA。這可讓受害者在看似安全的連線下被攔截。

藍牙中間人攻擊

• 在初始配對階段若安全性薄弱（例如無認證或使用固定 PIN），就容易受攻擊。
• 攻擊者可以 冒充 受信任裝置或攔截資料（例如鍵盤或耳機連線）。
• 已知攻擊：
  • KNOB 攻擊（Bluetooth 的金鑰協商攻擊）：使加密強度降級。
  • BlueBorne、BtleJack 等。

簡訊（SMS）中間人攻擊

• 利用電信網路使用的 SS7 協議漏洞 攔截簡訊。
• 使用 SIM 交換（SIM swapping） 或 號碼攜碼/轉移 將簡訊改導到自己手上。

瀏覽器中間人攻擊（MITB，Man-in-the-Browser）

MITB 攻擊是指攻擊者透過惡意軟體或瀏覽器外掛，在使用者本地端的瀏覽器中注入惡意程式碼，通常在資料被加密或送出之前就下手，即使是使用 HTTPS 也可能被攻擊。對使用者與網頁應用程式來說，這種攻擊幾乎無法察覺。

MITM（中間人攻擊）主要針對使用者與伺服器之間的網路通訊，攻擊者會攔截或竄改傳輸中的資料，對網路層造成威脅；而MITB（瀏覽器中間人攻擊）則直接入侵使用者的瀏覽器環境，繞過網路層的安全防護，對使用者端造成更深入且難以察覺的威脅。

常見實作手法

惡意程式會以能夠讀取或修改瀏覽器內容的方式運作
例如：注入程式碼到瀏覽器進程、掛鉤瀏覽器 API、或作為惡意外掛運行。

• DLL injection (on Windows)
• Browser memory tampering
• 惡意瀏覽器外掛 / 擴充功能：以合法外掛身份安裝但內含惡意邏輯。
• 注入 JavaScript 到頁面（或在 DOM 層掛鉤）：動態修改表單或中斷提交流程。DOM injection, JavaScript modification
• 在作業系統層面注入/掛鉤瀏覽器程序（例如透過惡意程式碼模組）以監控與攔截流量。
• 使用「WebInject」類型技術：根據目標網站自動匹配並改寫輸入/提交資料。

MITB 與 MITM 的主要差異

網路竊聽（Network Eavesdropping）

什麼是網路竊聽？

網路竊聽，也稱為 嗅探（sniffing） 或 被動攔截（passive interception），是指在資料於網路中傳輸時，靜默地監聽並擷取資料 的行為。與其他形式的中間人攻擊不同，竊聽通常 不會修改資料——它只是偷聽。

它是如何運作的？

攻擊者使用 封包嗅探器（packet sniffers） 或 網路分析工具 來擷取網路上的流量。

常用工具：

• Wireshark
• tcpdump
• Ettercap
• Bettercap

典型的竊聽場景

• WiFi

  • 公共熱點易遭假熱點、ARP spoofing攻擊
  • 攻擊者可在無加密或弱加密環境中竊聽

• Bluetooth

  • 配對過程中若缺乏強認證，易被竊聽或中間人攻擊
  • 攻擊例子：KNOB攻擊、BlueBorne

• 其他：有線網路、手機短信（SMS）等

竊聽與中間人攻擊的關聯

• 常常是完整中間人攻擊的 第一步。
• 讓攻擊者能 蒐集憑證或會話令牌（session tokens）。
• 可與 主動技術 結合使用，例如會話劫持或憑證重放。

✅ 範例： 攻擊者在竊聽時擷取到會話 cookie，然後用它冒充使用者 — 經典的會話劫持。

原罪

可不造成任何變化

被動竊聽的中間人攻擊，由於沒有進行任何干預操作，進行溝通的雙方，沒有任何可以察覺的異樣。

可不產生明顯徵兆

即使是主動干預的中間人攻擊，雖然進行了操弄，但受害者處於蒙蔽狀態下有可能完全沒注意到，或是注意到時已經造成傷害。

手不需要伸進裝置

中間人攻擊往往可以進一步入侵受害者裝置，但若攻擊只停留於網路中，則受害者端點裝置幾乎不會留下操作痕跡，鑑識追緝難度高。