iT邦幫忙

2025 iThome 鐵人賽

DAY 16
0
Security

資安的原罪系列 第 16

【16】資安的原罪 ch.3-2.c 中間人攻擊

  • 分享至 

  • xImage
  •  

【16】資安的原罪 ch.3-2.c 中間人攻擊

本章見證安靜且致命的攻擊。


什麼是中間人攻擊?

中間人攻擊(Man-in-the-Middle,簡稱 MITM),有時也稱為中間敵手攻擊(Adversary-in-the-Middle,AITM),是指攻擊者位於資料傳輸的「中間」,而傳送雙方通常毫無察覺。藉此,攻擊者能夠竊聽、竊取資訊、注入惡意資料,或冒充其中一方,進行各種攻擊行為。

常見相關攻擊手法

  • ARP 欺騙(ARP Spoofing / Address Resolution Protocol Spoofing)

    • 攻擊者在區域網路中發送偽造的 ARP 封包,將自己的MAC 位址綁定到受害者的 IP 位址。這樣一來,原本發給受害者的資料就會被轉送到攻擊者手中,進而實現攔截。
  • 偽造 DHCP 伺服器攻擊(Rogue DHCP Server Attack)

    • 攻擊者架設一個假的 DHCP 伺服器,並發送惡意網路設定(例如偽造的閘道器或 DNS 伺服器),藉此將受害者的流量引導到自己身上,達到中間人位置。
  • DNS 欺騙 / 快取污染(DNS Spoofing / Cache Poisoning)

    • 攻擊者污染 DNS 快取資料,植入錯誤的 DNS 紀錄,使受害者被導向假的網站。攻擊者可藉此竊取登入憑證或植入惡意程式。^1
  • 流氓接入點(Rogue Access Point)/ 邪惡雙胞胎攻擊(Evil Twin Attack)

    • 攻擊者安裝惡意的Wi-Fi 熱點,或建立一個偽造的 Wi-Fi 熱點,名稱與外觀與合法網路幾乎相同。一旦受害者連接上這個假熱點,他們的所有網路流量就會被攻擊者攔截、查看,甚至修改。
  • SSL 降級攻擊(SSL Stripping)

    • 攻擊者將原本安全的 HTTPS 連線降級為不安全的 HTTP,藉此移除加密保護。這讓攻擊者可以查看、修改或插入惡意內容進入通訊中。
  • 會話劫持(Session Hijacking)

    • 攻擊者竊取合法的會話 Cookie,進而冒充受害者登入系統,而無需知道密碼。這通常透過 MITM 攻擊來攔截受害者登入時傳送的會話憑證。
  • 電子郵件劫持(Email Hijacking / Mailserver MITM)

    • 攔截或偽造郵件傳送路徑(例如在 SMTP 中間人),或劫持郵件帳號以竊取或篡改內容(詐騙、商務電郵妥協 BEC)。
  • HTTPS / 憑證相關攻擊(HTTPS Spoofing、偽造憑證)

    • 攻擊者試圖使用偽造或被盜的憑證來冒充網站;或利用被弱化/被信任的 CA。這可讓受害者在看似安全的連線下被攔截。

藍牙中間人攻擊

  • 在初始配對階段若安全性薄弱(例如無認證或使用固定 PIN),就容易受攻擊。
  • 攻擊者可以 冒充 受信任裝置或攔截資料(例如鍵盤或耳機連線)。
  • 已知攻擊:
    • KNOB 攻擊(Bluetooth 的金鑰協商攻擊):使加密強度降級。
    • BlueBorneBtleJack 等。

簡訊(SMS)中間人攻擊

  • 利用電信網路使用的 SS7 協議漏洞 攔截簡訊。
  • 使用 SIM 交換(SIM swapping)號碼攜碼/轉移 將簡訊改導到自己手上。

瀏覽器中間人攻擊(MITB,Man-in-the-Browser)

MITB 攻擊是指攻擊者透過惡意軟體或瀏覽器外掛,在使用者本地端的瀏覽器中注入惡意程式碼,通常在資料被加密或送出之前就下手,即使是使用 HTTPS 也可能被攻擊。對使用者與網頁應用程式來說,這種攻擊幾乎無法察覺

MITM(中間人攻擊)主要針對使用者與伺服器之間的網路通訊,攻擊者會攔截或竄改傳輸中的資料,對網路層造成威脅;而MITB(瀏覽器中間人攻擊)則直接入侵使用者的瀏覽器環境,繞過網路層的安全防護,對使用者端造成更深入且難以察覺的威脅。

常見實作手法

惡意程式會以能夠讀取或修改瀏覽器內容的方式運作
例如:注入程式碼到瀏覽器進程、掛鉤瀏覽器 API、或作為惡意外掛運行。

  • DLL injection (on Windows)
  • Browser memory tampering
  • 惡意瀏覽器外掛 / 擴充功能:以合法外掛身份安裝但內含惡意邏輯。
  • 注入 JavaScript 到頁面(或在 DOM 層掛鉤):動態修改表單或中斷提交流程。DOM injection, JavaScript modification
  • 在作業系統層面注入/掛鉤瀏覽器程序(例如透過惡意程式碼模組)以監控與攔截流量。
  • 使用「WebInject」類型技術:根據目標網站自動匹配並改寫輸入/提交資料。

MITB 與 MITM 的主要差異

特徵 MITM(中間人攻擊) MITB(瀏覽器中間人)
主要目標 網路通訊(封包/協議) 使用者端瀏覽器進程 / DOM
攻擊位置 網路路徑或設備(路由器、AP) 受感染裝置內(惡意程式或外掛)
是否繞過 HTTPS 否(HTTPS 可防護) 是(在送出前就被攔截或改寫)
常見手法 ARP spoofing、DNS poisoning、Evil Twin DLL injection、惡意外掛、WebInject(JS 注入)
基本防護 TLS、DNSSEC、網段隔離 裝置端防毒、瀏覽器硬化、外掛白名單

網路竊聽(Network Eavesdropping)

什麼是網路竊聽?

網路竊聽,也稱為 嗅探(sniffing)被動攔截(passive interception),是指在資料於網路中傳輸時,靜默地監聽並擷取資料 的行為。與其他形式的中間人攻擊不同,竊聽通常 不會修改資料——它只是偷聽。

它是如何運作的?

攻擊者使用 封包嗅探器(packet sniffers)網路分析工具 來擷取網路上的流量。

常用工具:

  • Wireshark
  • tcpdump
  • Ettercap
  • Bettercap

典型的竊聽場景

  • WiFi

    • 公共熱點易遭假熱點、ARP spoofing攻擊
    • 攻擊者可在無加密或弱加密環境中竊聽
  • Bluetooth

    • 配對過程中若缺乏強認證,易被竊聽或中間人攻擊
    • 攻擊例子:KNOB攻擊、BlueBorne
  • 其他:有線網路、手機短信(SMS)等

竊聽與中間人攻擊的關聯

  • 常常是完整中間人攻擊的 第一步
  • 讓攻擊者能 蒐集憑證或會話令牌(session tokens)
  • 可與 主動技術 結合使用,例如會話劫持或憑證重放。

範例: 攻擊者在竊聽時擷取到會話 cookie,然後用它冒充使用者 — 經典的會話劫持。


原罪

可不造成任何變化

被動竊聽的中間人攻擊,由於沒有進行任何干預操作,進行溝通的雙方,沒有任何可以察覺的異樣。

可不產生明顯徵兆

即使是主動干預的中間人攻擊,雖然進行了操弄,但受害者處於蒙蔽狀態下有可能完全沒注意到,或是注意到時已經造成傷害。

手不需要伸進裝置

中間人攻擊往往可以進一步入侵受害者裝置,但若攻擊只停留於網路中,則受害者端點裝置幾乎不會留下操作痕跡,鑑識追緝難度高。


上一篇
【15】資安的原罪 ch.3-2.b 社交工程
下一篇
【17】資安的原罪 ch.3-2.d 殭屍網路
系列文
資安的原罪19
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言