«Человек на стороне» (man-on-the-side, MotS) — атака, при которой злоумышленник может перехватывать сообщения, пересылаемые между участниками сетевой коммуникации и отправлять в ответ на них пакеты со своими данными. Например, атакующий может перехватить запрос на обновление приложения и отправить в ответ вредоносную версию. При этом он не может изменять или удалять данные, которые отправляют другие участники сети — в этом основное отличие MotS-атаки от атаки man-in-the-middle (MitM) . Чтобы атака типа man-on-the-side была успешной, злоумышленнику необходимо доставить свой ответ раньше, чем жертва получит легитимный.
Механизм атаки man-on-the-side
Типичная MotS-атака выглядит следующим образом. Клиент (например, браузер на устройстве пользователя) посылает серверу запрос (например, чтобы открыть HTML-страницу или установить обновление). Злоумышленник просматривает трафик между ними, перехватывает запрос и, используя указанные в нем данные (IP-адреса, порты и т. д.), генерирует и отправляет поддельный ответ — к примеру, страницу или обновление с вредоносным кодом. Если клиент получает этот пакет раньше, чем легитимный ответ с сервера, загружается вредоносная страница или обновление. Легитимный ответ при этом чаще всего сбрасывается. Однако в некоторых случаях злоумышленник должен завершить соединение до того, как клиент получит легитимный ответ.
Чем опасна атака man-on-the-side
С помощью MotS киберпреступники могут:
- перенаправить пользователя на свой веб-сайт (в том числе в качестве одного из этапов сложной атаки);
- инициировать загрузку вредоносного файла вместо того, который хочет скачать пользователь;
- выполнить на устройстве пользователя вредоносный скрипт, например использовать это устройство для DDoS-атаки.
Также возможны и другие применения MotS в целях злоумышленников.
Примеры атак типа man-on-the-side
- APT-группировка LuoYu при помощи MotS распространяла зловред WinDealer. Злоумышленники перехватывали запрос на обновление легитимного приложения и в ответ доставляли пользователю шпионское ПО.
Кроме того, этот же зловред использовал метод MotS для связи с командным сервером: отправлял запросы на случайные IP-адреса, в том числе на несуществующие, а злоумышленники перехватывали запрос и отвечали на него. Таким образом они скрывали настоящий адрес командного сервера. - Метод MotS использовался в DDoS-атаке на сервис GitHub. Случайному пользователю интернета вместо запрошенной страницы злоумышленники отправляли вредоносный JavaScript. Этот скрипт заставлял браузер жертвы постоянно обновлять две конкретные страницы на GitHub и таким образом принимать участие в атаке на них.
- Технику MotS использовало АНБ США, в частности для того, чтобы доставлять вредоносное ПО на устройства пользователей.