Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1557 - Злоумышленник посередине

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1557 , T1557.001 , T1557.002 , T1557.003 , T1557.004

Злоумышленники могут попытаться занять позицию между двумя или более сетевыми устройствами, используя технику "Злоумышленник посередине" (AiTM) для поддержки последующего поведения, такого как Network Sniffing, Transmitted Data Manipulation или атаки повторного воспроизведения (Exploitation for Credential Access). Злоупотребляя функциями распространенных сетевых протоколов, которые могут определять поток сетевого трафика (например, ARP, DNS, LLMNR и т. д.), злоумышленники могут заставить устройство общаться через систему, контролируемую Злоумышленником, чтобы собрать информацию или выполнить дополнительные действия.(Цитата: Rapid7 MiTM Basics)

Например, злоумышленники могут манипулировать настройками DNS жертвы для осуществления других вредоносных действий, таких как предотвращение/перенаправление пользователей на законные сайты и/или распространение дополнительного вредоносного ПО.(Цитата: ttint_rat)(Цитата: dns_changer_trojans)(Цитата: ad_blocker_with_miner) Злоумышленники также могут манипулировать DNS и использовать свое положение для перехвата учетных данных пользователя, включая токены доступа (Steal Application Access Token) и сессионные куки (Steal Web Session Cookie).(Цитата: volexity_0day_sophos_FW)(Цитата: Token tactics) Downgrade AttackАтаки на понижение статуса также могут использоваться для создания позиции AiTM, например, путем переговоров о менее безопасной, устаревшей или слабой версии протокола связи (SSL/TLS) или алгоритма шифрования.(Цитата: mitm_tls_downgrade_att)(Цитата: taxonomy_downgrade_att_tls)(Цитата: tlseminar_downgrade_att)

Злоумышленники также могут использовать позицию AiTM для попытки мониторинга и/или модификации трафика, как, например, в Transmitted Data Manipulation. Злоумышленники могут занять позицию, аналогичную AiTM, чтобы предотвратить прохождение трафика к соответствующему месту назначения, например, для Impair Defenses и/или для поддержки Network Denial of Service.

https://attack.mitre.org/techniques/T1557

← Назад

Визуализация смежных техник для T1557

Отрасль:
 с подтехниками
Техника

Закрыть