Adversary-in-the-middle-Angriffe haben laut dem Digital Defense Report von Microsoftim vergangenen Jahr um 146 % zugenommen. Was ist AiTM und warum ist es auf dem Vormarsch?
Cyberkriminelle haben ihre Taktik so angepasst, dass sie nicht nur auf Passwörter abzielen, sondern auch auf das Verfahren, mit dem die Identität einer Person online überprüft wird. Die Rede ist von Adversary-in-the-Middle (AiTM) -Angriffen. Der Name mag zwar technisch klingen, aber das Konzept beschreibt, dass sich ein Angreifer in die Kommunikation zwischen einem Benutzer und einem legitimen Dienst einschleust, Daten abfängt und die Kontrolle über Sitzungen übernimmt, ohne dass das Opfer dies bemerkt.
Den Begriff Man-in-the-Middle (MitM) gibt es in der Cybersicherheit schon seit vielen Jahren. Bei einem MitM-Angriff wird traditionell ein Angreifer zwischen zwei Parteien geschaltet, um die Kommunikation abzuhören oder zu verändern. Das Besondere an AiTM ist das aktive Abfangen von Authentifizierungsströmen, oft an dem Punkt, an dem Benutzer ihre Anmeldedaten eingeben. Anstatt passiv zuzuhören, nimmt der Angreifer am Authentifizierungsprozess selbst teil und kann so Sitzungscookies oder Token abfangen, die zur Aufrechterhaltung des angemeldeten Zugriffs verwendet werden.
Mit anderen Worten: Während herkömmliche MitM-Angriffe die allgemeine Kommunikation abfangen können, zielt AiTM speziell auf den Moment der Authentifizierung und den genauen Punkt, an dem die Identität überprüft wird. Dieser Unterschied macht AiTM-Angriffe zu einem wirksamen Mittel, um Mechanismen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
AiTM-Angriffe sind so konzipiert, dass sie dem Opfer als Routine erscheinen, während die Angreifer die volle Kontrolle über den Authentifizierungsprozess haben. Der Angreifer stiehlt die Anmeldedaten nicht isoliert, sondern schaltet sich aktiv und in Echtzeit in die Anmeldesitzung ein.
Der Angriff beginnt mit einer Phishing-Nachricht, die so gestaltet ist, dass sie wie eine legitime Anfrage von einem vertrauenswürdigen Dienst oder einem internen Team aussieht. Die Nachrichten erwecken oft den Eindruck von Dringlichkeit und fordern die Benutzer auf, ihr Konto zu überprüfen, ein Sicherheitsproblem zu beheben oder auf ein Dokument zuzugreifen. Der Link führt nicht zu einer statischen gefälschten Seite, sondern zu einer vom Angreifer kontrollierten Infrastruktur, die sich zwischen dem Benutzer und dem echten Dienst befindet.
Wenn das Opfer auf den Link klickt, wird sein Browser durch einen vom Angreifer betriebenen Reverse-Proxy geleitet. Dieser Proxy lädt dynamisch Inhalte von der echten Website nach und präsentiert sozusagen die echte Anmeldeseite. Da sich die Seite normal verhält, ist es unwahrscheinlich, dass das Opfer etwas Ungewöhnliches bemerkt.
Wenn der Benutzer seinen Benutzernamen und sein Kennwort eingibt, erfasst der Proxy die Anmeldedaten und leitet sie sofort an den legitimen Dienst weiter. Wenn eine mehrstufige Authentifizierung erforderlich ist, leitet der Proxy einfach die Anfrage und die Antwort weiter. Die Authentifizierung wird erfolgreich abgeschlossen, so dass der Angreifer den gesamten Prozess einsehen kann, ohne MFA direkt aushebeln zu müssen.
Nach erfolgreicher Authentifizierung gibt der legitime Dienst Sitzungscookies oder Token aus, um den Zugriff zu bestätigen. Der Angreifer fängt diese Token ab, während sie den Proxy passieren. Mit einem gültigen Sitzungs-Token kann der Angreifer seine eigene authentifizierte Sitzung erstellen, ohne das Kennwort oder die MFA erneut zu verwenden, und so die Identität des Benutzers übernehmen.
Mithilfe der gestohlenen Sitzung können Angreifer mit minimalen Reibungsverlusten auf E-Mails, Cloud-Dienste und interne Anwendungen zugreifen. Sie gehen oft schnell vor, um die Persistenz herzustellen, indem sie die Kontoeinstellungen ändern, Authentifizierungsmethoden hinzufügen oder Anwendungsberechtigungen gewähren. Selbst wenn der Benutzer sein Passwort ändert, kann der Angreifer den Zugang behalten, bis die Sitzung widerrufen wird.
AiTM-Angriffe werden durch leicht verfügbare Tools und Frameworks unterstützt, die den Einsatz in großem Maßstab erleichtern. Angreifer verwenden häufig Reverse-Proxy-Kits wie Evilginx2, EvilProxy und andere, um die Handhabung von Zertifikaten, das Klonen von Seiten und das Abfangen von Sitzungen zu automatisieren. Diese Kits vereinfachen den Aufbau eines realistisch aussehenden Proxys, der Authentifizierungsströme abfangen kann.
Einige Angreifer nutzen auch Techniken auf Netzwerkebene wie DNS-Manipulation, ARP-Spoofing oder die Kompromittierung von Wi-Fi-Netzwerken, um den Datenverkehr über ihre Infrastruktur umzuleiten. Fortgeschrittene Kampagnen können sogar die Kompromittierung von Dienstanbietern oder die Nutzung von Phishing-as-a-Service-Modellen beinhalten, um die Phishing-Infrastruktur im Namen von Partnern zu hosten und zu verwalten.
Die Stärke von AiTM liegt in der Fähigkeit, MFA-Schutzmaßnahmenzu umgehen , auf die Unternehmen angewiesen sind. Da der Angreifer die Authentifizierungsantworten in Echtzeit weiterleitet und die Sitzungs-Tokens abfängt, kann eine einfache MFA-Aktivierung eine Kompromittierung nicht verhindern. Herkömmliche Schutzmaßnahmen wie Firewalls, Richtlinien für statische Passwörter und einfache E-Mail-Filterung sind ebenfalls unwirksam gegen AiTM.
Auch die Erkennung kann schwierig sein. Da sich das Opfer oft erfolgreich anmeldet und die MFA korrekt abgeschlossen wird, zeigen die Sicherheitsprotokolle möglicherweise eine legitime Authentifizierung. Solange keine ausgefeilte Überwachung auf ungewöhnliche Sitzungsmuster, Geräteanomalien oder unmögliche Reiseszenarien erfolgt, kann das Eindringen unbemerkt bleiben.
Integrity360 hilft Unternehmen, das Risiko von AiTM-Angriffen durch einen mehrschichtigen, erkenntnisgestützten Ansatz zu verringern. Managed Security Awareness Services stärken die menschliche Ebene, indem sie den Benutzern helfen, Phishing-Köder, verdächtige Anmeldeaufforderungen und Social-Engineering-Taktiken zu erkennen, die häufig AiTM-Kampagnen einleiten. Durch die Verbesserung des Bewusstseins und die Stärkung des sicheren Verhaltens können Unternehmen die Wahrscheinlichkeit, dass sich ein Angreifer erfolgreich in den Authentifizierungsfluss einschleust, erheblich verringern.
Auf der Identitätsebene bietetManaged Identity Security einen tieferen Einblick in die Nutzung und den Missbrauch von Identitäten in Cloud- und On-Premise-Umgebungen. Dazu gehört die Überwachung von anomalem Authentifizierungsverhalten, riskanten Sitzungsaktivitäten, Token-Missbrauch und nicht autorisierten Änderungen an Identitätskonfigurationen. Diese Erkenntnisse sind entscheidend für die frühzeitige Erkennung von AiTM-bedingten Kompromittierungen, bevor Angreifer eine Persistenz aufbauen oder den Zugriff eskalieren.
Wenn Angreifer dann doch durchkommen, ist eine schnelle Erkennung und Reaktion unerlässlich. Managed Detection and Response (MDR) ermöglicht die kontinuierliche Überwachung von Identitäts-, Endpunkt-, Cloud- und Netzwerk-Telemetrie, so dass verdächtige Aktivitäten im Zusammenhang mit AiTM-Angriffen schnell erkannt und eingedämmt werden können. Dies reduziert die Verweildauer und schränkt die Möglichkeiten der Angreifer ein, sich seitlich zu bewegen, Daten zu exfiltrieren oder Folgeangriffe zu starten.
Schließlich unterstütztCTEM as a Service Unternehmen dabei, ihre sich entwickelnde Angriffsfläche zu verstehen und zu reduzieren. Durch die kontinuierliche Identifizierung, Priorisierung und Validierung realer Schwachstellen trägt CTEM dazu bei, dass Identitätsschwächen, Fehlkonfigurationen und risikoreiche Zugriffswege, die von AiTM-Angriffen ausgenutzt werden, proaktiv und nicht reaktiv angegangen werden.
AiTM-Angriffe sind kein vorübergehender Trend. Sie spiegeln wider, wie sich Angreifer an moderne Sicherheitskontrollen anpassen. Mit der richtigen Kombination aus Sensibilisierung, Identitätsschutz, Erkennungsfunktionen und kontinuierlichem Exposure Management können Unternehmen die Wahrscheinlichkeit und die Auswirkungen dieser Angriffe erheblich reduzieren. Integrity360 vereint diese Fähigkeiten, um Unternehmen dabei zu helfen, Identitäten zu sichern, Benutzer zu schützen und einer zunehmend identitätsgesteuerten Bedrohungslandschaft einen Schritt voraus zu sein.
Wenn Sie Unterstützung bei der Bekämpfung der AiTM-Bedrohung benötigen, wenden Sie sich an unsere Experten.