Adversary-in-the-middle-attacker ökade med 146% under det senaste året enligt Microsofts Digital Defense Report. Vad är AiTM och varför ökar det?
Cyberbrottslingar har anpassat sin taktik för att inte bara rikta in sig på lösenord, utan även på själva processen som används för att verifiera någons identitet online. Detta kallas för AiTM-attacker (Adversary-in-the-Middle). Även om namnet kan låta tekniskt beskriver konceptet när en angripare infogar sig i kommunikationen mellan en användare och en legitim tjänst, fångar upp data och tar kontroll över sessioner utan att offret inser det.
Termen man-in-the-middle (MitM) har funnits i många år inom cybersäkerhet. En MitM-attack placerar traditionellt en angripare mellan två parter så att denne kan avlyssna eller modifiera kommunikationen. Det som skiljer AiTM från MitM är den aktiva avlyssningen av autentiseringsflöden, ofta vid den punkt där användarna anger sina inloggningsuppgifter. Istället för att passivt lyssna deltar angriparen i själva autentiseringsprocessen, vilket gör det möjligt för dem att fånga sessionscookies eller tokens som används för att upprätthålla inloggad åtkomst.
Med andra ord, medan vanliga MitM-attacker kan fånga upp allmän kommunikation, riktar sig AiTM specifikt mot autentiseringsögonblicket och den exakta punkt där identiteten verifieras. Denna distinktion gör AiTM-attacker effektiva för att kringgå mekanismer som multifaktorautentisering (MFA).
AiTM-attacker är utformade så att de verkar rutinmässiga för offret samtidigt som de ger angriparna full kontroll över autentiseringsprocessen. I stället för att stjäla autentiseringsuppgifter isolerat, förmedlar angriparen aktivt inloggningssessionen i realtid.
Attacken börjar med ett phishing-meddelande som är utformat för att se ut som en legitim begäran från en betrodd tjänst eller ett internt team. Meddelanden skapar ofta brådska och uppmanar användare att verifiera sitt konto, lösa ett säkerhetsproblem eller få tillgång till ett dokument. Länken leder inte till en statisk falsk sida, utan till angriparens kontrollerade infrastruktur som ligger mellan användaren och den verkliga tjänsten.
När offret klickar på länken dirigeras webbläsaren genom en omvänd proxy som drivs av angriparen. Denna proxy laddar dynamiskt innehåll från den äkta webbplatsen och presenterar vad som faktiskt är den riktiga inloggningssidan. Eftersom sidan beter sig normalt är det osannolikt att offret märker något ovanligt.
När användaren anger sitt användarnamn och lösenord fångar proxyn upp uppgifterna och vidarebefordrar dem omedelbart till den legitima tjänsten. Om multifaktorautentisering krävs vidarebefordrar proxyn helt enkelt utmaningen och svaret. Autentiseringen slutförs framgångsrikt, vilket ger angriparen insyn i hela processen utan att behöva besegra MFA direkt.
När autentiseringen har lyckats utfärdar den legitima tjänsten sessionscookies eller tokens för att bekräfta åtkomsten. Angriparen fångar upp dessa tokens när de passerar genom proxyn. Med en giltig sessionstoken kan angriparen skapa sin egen autentiserade session utan att återanvända lösenordet eller MFA, och därmed i praktiken ta över användarens identitet.
Med hjälp av den stulna sessionen kan angriparna komma åt e-post, molntjänster och interna applikationer med minimal friktion. De agerar ofta snabbt för att etablera persistens genom att ändra kontoinställningar, lägga till autentiseringsmetoder eller bevilja applikationsbehörigheter. Även om användaren ändrar sitt lösenord kan angriparen behålla åtkomsten tills sessionen återkallas.
AiTM-attacker stöds av lättillgängliga verktyg och ramverk som gör dem enklare att distribuera i stor skala. Angripare använder ofta omvända proxy-kit som Evilginx2, EvilProxy och andra för att automatisera certifikathantering, kloning av sidor och sessionskapning. Dessa kit förenklar processen med att sätta upp en proxy som ser realistisk ut och som kan fånga upp autentiseringsflöden.
Vissa angripare använder också tekniker på nätverksnivå, t.ex. DNS-manipulation, ARP-spoofing eller kompromettering av Wi-Fi-nätverk för att omdirigera trafik genom sin infrastruktur. Avancerade kampanjer kan till och med innebära att man komprometterar tjänsteleverantörer eller använder phishing-as-a-service-modeller för att vara värd för och hantera phishing-infrastruktur på uppdrag av dotterbolag.
Styrkan i AiTM ligger i dess förmåga att kringgå MFA-skydd som organisationer är beroende av. Eftersom angriparen vidarebefordrar autentiseringssvar i realtid och fångar upp sessionstoken, förhindrar inte bara MFA-aktivering kompromettering. Traditionella skydd som brandväggar, statiska lösenordspolicyer och grundläggande e-postfiltrering är på samma sätt ineffektiva mot AiTM.
Det kan också vara svårt att upptäcka. Eftersom offret ofta loggar in framgångsrikt och MFA slutförs korrekt, kan säkerhetsloggar visa en legitim autentisering. Om det inte finns en sofistikerad övervakning för ovanliga sessionsmönster, avvikelser i enheter eller omöjliga resescenarier kan intrånget gå obemärkt förbi.
Integrity360 hjälper organisationer att minska risken för AiTM-attacker genom en flerskiktad, underrättelseledd strategi. Managed Security Awareness-tjänster stärker det mänskliga lagret genom att hjälpa användarna att känna igen phishing-lurar, misstänkta inloggningsanvisningar och social engineering-taktik som ofta inleder AiTM-kampanjer. Genom att förbättra medvetenheten och förstärka ett säkert beteende kan organisationer avsevärt minska sannolikheten för att en angripare lyckas placera sig i autentiseringsflödet.
På identitetslagret gerManaged Identity Security djupare insyn i hur identiteter används och missbrukas i molnmiljöer och lokala miljöer. Detta inkluderar övervakning av avvikande autentiseringsbeteende, riskfylld sessionsaktivitet, missbruk av token och obehöriga ändringar av identitetskonfigurationer. Dessa insikter är avgörande för att upptäcka AiTM-relaterade kompromisser tidigt, innan angriparna etablerar uthållighet eller eskalerar åtkomsten.
När angriparna väl tar sig igenom är det viktigt med snabb upptäckt och respons. Managed Detection and Response (MDR) möjliggör kontinuerlig övervakning av identitets-, endpoint-, moln- och nätverkstelemetri, vilket gör att misstänkt aktivitet i samband med AiTM-attacker kan identifieras och begränsas snabbt. Detta minskar uppehållstiden och begränsar angriparnas möjlighet att förflytta sig i sidled, exfiltrera data eller genomföra uppföljningsattacker.
Slutligen hjälper CTEM as a Service organisationer att förstå och minska exponeringen för sin föränderliga attackyta. Genom att kontinuerligt identifiera, prioritera och validera verkliga exponeringar hjälper CTEM till att säkerställa att identitetssvagheter, felkonfigurationer och högriskåtkomstvägar som utnyttjas av AiTM-attacker hanteras proaktivt snarare än reaktivt.
AiTM-attacker är inte en övergående trend. De är en återspegling av hur angripare anpassar sig till moderna säkerhetskontroller. Med rätt kombination av medvetenhet, identitetsskydd, detekteringsfunktioner och kontinuerlig exponeringshantering kan organisationer avsevärt minska sannolikheten för och effekterna av dessa attacker. Integrity360 förenar dessa funktioner för att hjälpa organisationer att säkra identiteter, skydda användare och ligga steget före i ett alltmer identitetsdrivet hotlandskap.
Om du behöver hjälp med att hantera AiTM-hotet kan du kontakta våra experter.