Los ataques adversarios en el medio (AITM) se encuentran entre las técnicas de phishing más sofisticadas y peligrosas en el paisaje moderno de ciberseguridad.
A diferencia de los ataques de phishing tradicionales que simplemente recopilan credenciales estáticas, los ataques de AITM interceptan y manipulan activamente las comunicaciones entre los usuarios y los servicios legítimos en tiempo real, lo que permite a los atacantes evitar la autenticación multifactor (MFA) y evadir los sistemas de detección y respuesta de punto final (EDR).
Estos ataques han aumentado en popularidad a medida que las organizaciones adoptan cada vez más las protecciones de MFA, y Microsoft informa que las campañas de phishing de AITM se han dirigido a más de 10,000 organizaciones a nivel mundial.
La aparición de plataformas de phishing como servicio (PHAA) como Tycoon 2FA y EvilGinX2 ha industrializado estos ataques, reduciendo la barrera técnica para los ciberdelincuentes y haciendo capacidades sofisticadas de AITM accesibles a través de modelos de suscripción que comienzan en solo $ 120.
Proceso de flujo de ataque AITM.
Introducción a los ataques de AITM
Los ataques adversarios en el medio difieren fundamentalmente de los ataques tradicionales del hombre en el medio (MITM) a través de su manipulación activa y la sofisticada orquestación de los procesos de autenticación.
Si bien los ataques tradicionales de MITM a menudo se centran en la espía pasiva, los ataques de AITM involucran a los atacantes que se posicionan como intermediarios activos entre las víctimas y los servicios legítimos, utilizando servidores de proxy inverso para crear canales de comunicación en tiempo real sin problemas.
Este enfoque permite a los atacantes presentar a los usuarios páginas de inicio de sesión de aspecto auténtico que en realidad son páginas legítimas atendidas a través del poder malicioso, lo que hace que la detección sea extremadamente difícil.
Los modernos kits de herramientas AITM aprovechan las tecnologías sofisticadas, incluidas las conexiones de WebSocket para la comunicación bidireccional en tiempo real, la generación automatizada de certificados SSL a través de servicios como Let’s Cinpt y mecanismos avanzados de encubrimiento utilizando URL tokenizadas para evadir la detección.
Cuando una víctima intenta acceder a un servicio como Microsoft 365 o Gmail, el proxy de AITM intercepta la solicitud, la reenvía al servicio legítimo, captura la respuesta y la transmite a la víctima al tiempo que recolecta simultáneamente todos los datos de autenticación en tránsito.
Los marcos AITM de código abierto más destacados incluyen EvilGinX2, Muraena y Modlishka, cada una ofrece capacidades únicas para la recolección de credenciales y el secuestro de sesiones.
Estas herramientas han evolucionado para incluir características como alojamiento de dominios múltiples, integración de marca personalizada y técnicas de evasión avanzada que los hacen particularmente efectivos contra las medidas de seguridad modernas.
Arquitectura de ataque AITM.
El papel de MFA en la seguridad moderna
La autenticación multifactor se ha convertido en la piedra angular de las estrategias modernas de ciberseguridad, con Microsoft bloqueando más de 7,000 ataques de contraseña por segundo, lo que representa un aumento de 75% año tras año.
Las implementaciones de MFA generalmente requieren que los usuarios proporcionen algo que conocen (contraseña), algo que tienen (dispositivo móvil o token de hardware), o algo que son (datos biométricos).
Los métodos tradicionales de MFA incluyen códigos SMS, notificaciones push, aplicaciones de autenticador que generan contraseñas de un solo tiempo basadas en el tiempo (TOTP) y claves de seguridad de hardware.
Método MFA Ratea de factorización por vulnerabilidad Vulnerabilidad El nivel de seguridad posterior a los Códigos de métodos de bypass Common (SMS OTP) algo que tiene (60%+) alto: intercambio fácilmente interceptado. (TOTP) Algo que tiene (35%+) Altos códigos transmitidos en el compromiso de medidas en tiempo real, claves de seguridad PhishingHardware (FIDO2) algo que anule (15%+) Medio-Tokens de sesión Sigue Reenvenimiento de muelles OtpsiTing que tiene un compromiso de cola de correo-medio fácil de interceptar fácil
El modelo de seguridad de MFA se basa en el supuesto de que comprometer múltiples factores de autenticación simultáneamente es significativamente más difícil que pasar por alto una sola contraseña.
Sin embargo, esta suposición se descompone frente a los ataques AITM, que no necesitan comprometer los factores individuales, sino que explotan la relación de confianza establecida después de la autenticación exitosa.
Cuando los usuarios completan el desafío MFA a través de un proxy de AITM, sin saberlo proporcionan a los atacantes sus credenciales y los tokens de sesión emitidos por el servicio legítimo.
Cómo AITM Attack pasa por alto MFA y EDR
El mecanismo de derivación MFA en los ataques AITM funciona a través del robo de token de sesión en lugar del compromiso del factor de autenticación. Cuando las víctimas interactúan con una página de phishing de AITM, completan todo el proceso de autenticación, incluidos los desafíos de MFA, pero todas las comunicaciones pasan por el servidor proxy del atacante.
El atacante captura estos tokens mientras permite que la autenticación se complete con éxito, creando un escenario en el que la víctima cree que ha iniciado sesión de forma segura mientras el atacante ha obtenido acceso persistente a su cuenta.
Los tokens de sesión, particularmente los tokens de actualización primarios (PRT) en entornos de Microsoft, pueden proporcionar un acceso extendido que dura 30 días o más si se mantiene activo.
Estos tokens contienen prueba criptográfica de autenticación exitosa y pueden ser reproducidos por los atacantes para acceder a cuentas sin desencadenar desafíos adicionales de MFA.
La sofisticación de los kits modernos de AITM como Tycoon 2FA incluye características para la gestión del token de sesión, la actualización automática de token y los mecanismos de persistencia que permiten a los atacantes mantener el acceso incluso después de cambiar la contraseña.
La evasión EDR en ataques AITM ocurre a través de varios mecanismos que explotan las limitaciones fundamentales en el monitoreo de puntos finales. Las soluciones EDR tradicionales se centran en detectar procesos maliciosos, modificaciones de archivos y conexiones de red que se originan desde el punto final en sí.
Sin embargo, los ataques AITM ocurren principalmente en el lado del servidor, donde el proxy malicioso funciona independientemente del punto final de la víctima. El dispositivo de la víctima solo interactúa con lo que parece ser un tráfico web legítimo para dominios auténticos, lo que hace que la actividad maliciosa sea invisible para los sistemas de detección basados en puntos finales.
Las campañas avanzadas de AITM emplean técnicas de evasión sofisticadas, incluida la ofuscación del código utilizando la codificación de base64, la generación de código dinámico que altera las firmas con cada ejecución, y Mecanismos anti-ficha diseñados para frustrar el análisis automatizado.
Estas técnicas se dirigen específicamente a las capacidades de análisis estático y de comportamiento de los sistemas EDR. Además, los atacantes abusan de los servicios legítimos como Codesandbox, Glitch y la noción como mecanismos de redirección, aprovechando la confianza que estos dominios tienen con los sistemas de seguridad para evitar el filtrado de URL y el bloqueo basado en la reputación.
El uso de las técnicas de vida de la tierra complica aún más Detección de EDR, ya que los ataques AITM a menudo se basan en protocolos web estándar y flujos de autenticación legítimos.
Los atacantes también pueden implementar técnicas de bloqueo de comunicación EDR, utilizando herramientas como la plataforma de filtrado de Windows (WFP) para evitar que los agentes de EDR se comuniquen con su infraestructura en la nube, cegando efectivamente la solución de seguridad a las actividades maliciosas continuas.
Indicadores de ataques AITM
El análisis de registro de autenticación revela varios indicadores clave de la actividad de AITM, con un viaje imposible entre las señales más confiables. Cuando los atacantes usan tokens de sesión robados, a menudo se autentican desde ubicaciones geográficas que serían imposibles de alcanzar el usuario legítimo dentro del plazo observado.
El registro retrasado de Microsoft puede complicar este análisis, ya que algunos eventos de autenticación pueden tardar hasta 20 horas en aparecer en los registros de auditoría, lo que hace que la detección en tiempo real sea desafiante.
Múltiples firmaciones rápidas de diferentes ubicaciones en cortos plazos, particularmente cuando se acompañan por una finalización exitosa de MFA, a menudo indican ataques de reproducción de tokens de sesión.
CategoryIndicAdesscriptionMitre_att & ckauthentication logsImpossible TravelUser Autenticación Desde ubicaciones geográficamente imposibles en el tiempo corto de tiempo de tiempo de tiempo corto1078.004 Autenticación Logsmultiple Sign-Insmultiple Autenticaciones exitosas de diferentes ubicaciones en Sucesión rápida11078.0044Tenticationicationicaticionicias logst1078.004network indicadores de direcciones IP superiores a los que se diseñan de las direcciones IP previamente invisoras o sospechoso asnst15577 NETWORWARTA Los controles de dominios superiores a los dominios que imitan los servicios legítimos o sospechoso de TLDST1557User Behave Behaveation CREATION CREATIONSI Reglas Niew Reenvío Reglas Redireccionando los correos electrónicos a direcciones externos14.0031 Los indicadores de correo electrónico Patrones de correo electrónico Caídos de los remitentes de confianza con enlaces sospechosos o languago urgente1566.002 Caída indicadoras de servicio de servicio de servicio de servicio de servicios legítimos como Codesandbox, Glitch o Notion for RedirectionT1566.002 TecheAbuse ArtifactSealsalgals Servicios legítimos. ArtifactSwebSocket Conexiones, encabezados HTTP específicos o red relacionada con el proxy Signaturest1557
La evolución de los ataques de AITM desde la recolección de credenciales simples hasta las plataformas de ataque sofisticadas orientadas a los servicios representa un cambio fundamental en el panorama de amenazas que requiere estrategias de defensa igualmente sofisticadas.
Las organizaciones deben reconocer que las defensas perimetrales tradicionales e incluso la MFA son insuficientes contra estas amenazas persistentes avanzadas, lo que requiere arquitecturas de seguridad integrales que incluyen análisis de comportamiento, protección de tokens de sesión y mecanismos de autenticación continua para contrarrestar esta creciente amenaza de manera efectiva.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
