Атака «человек на стороне» (man-on-the-side, MotS)

«Человек на стороне» (man-on-the-side, MotS) — атака, при которой злоумышленник может перехватывать сообщения, пересылаемые между участниками сетевой коммуникации и отправлять в ответ на них пакеты со своими данными. Например, атакующий может перехватить запрос на обновление приложения и отправить в ответ вредоносную версию. При этом он не может изменять или удалять данные, которые отправляют другие участники сети — в этом основное отличие MotS-атаки от атаки man-in-the-middle (MitM) . Чтобы атака типа man-on-the-side была успешной, злоумышленнику необходимо доставить свой ответ раньше, чем жертва получит легитимный.

Механизм атаки man-on-the-side

Типичная MotS-атака выглядит следующим образом. Клиент (например, браузер на устройстве пользователя) посылает серверу запрос (например, чтобы открыть HTML-страницу или установить обновление). Злоумышленник просматривает трафик между ними, перехватывает запрос и, используя указанные в нем данные (IP-адреса, порты и т. д.), генерирует и отправляет поддельный ответ — к примеру, страницу или обновление с вредоносным кодом. Если клиент получает этот пакет раньше, чем легитимный ответ с сервера, загружается вредоносная страница или обновление. Легитимный ответ при этом чаще всего сбрасывается. Однако в некоторых случаях злоумышленник должен завершить соединение до того, как клиент получит легитимный ответ.

Чем опасна атака man-on-the-side

С помощью MotS киберпреступники могут:

  • перенаправить пользователя на свой веб-сайт (в том числе в качестве одного из этапов сложной атаки);
  • инициировать загрузку вредоносного файла вместо того, который хочет скачать пользователь;
  • выполнить на устройстве пользователя вредоносный скрипт, например использовать это устройство для DDoS-атаки.

Также возможны и другие применения MotS в целях злоумышленников.

Примеры атак типа man-on-the-side

  • APT-группировка LuoYu при помощи MotS распространяла зловред WinDealer. Злоумышленники перехватывали запрос на обновление легитимного приложения и в ответ доставляли пользователю шпионское ПО.
    Кроме того, этот же зловред использовал метод MotS для связи с командным сервером: отправлял запросы на случайные IP-адреса, в том числе на несуществующие, а злоумышленники перехватывали запрос и отвечали на него. Таким образом они скрывали настоящий адрес командного сервера.
  • Метод MotS использовался в DDoS-атаке на сервис GitHub. Случайному пользователю интернета вместо запрошенной страницы злоумышленники отправляли вредоносный JavaScript. Этот скрипт заставлял браузер жертвы постоянно обновлять две конкретные страницы на GitHub и таким образом принимать участие в атаке на них.
  • Технику MotS использовало АНБ США, в частности для того, чтобы доставлять вредоносное ПО на устройства пользователей.

Публикации на схожие темы