보안 연구원을 위한 6가지 HTTP MITM 공격 도구

by

MITM(man-in-the-middle) 공격은 악의적인 행위자가 설정된 네트워크 대화 또는 데이터 전송을 방해하는 경우입니다. 공격자는 전송 경로의 중간에 앉아 대화에서 합법적인 참가자인 것처럼 가장하거나 행동합니다.

실제로 공격자는 들어오는 요청과 나가는 응답 사이에 위치합니다. 사용자는 합법적인 대상 서버 또는 Facebook, Twitter, 온라인 은행 등과 같은 웹 응용 프로그램과 직접 대화하고 있다고 계속 믿게 됩니다. 그러나 실제로는 메시지 가로채기(man-in-the-middle)에게 요청을 보내면 중간자는 사용자를 대신해 은행이나 앱과 대화합니다.

Imperva의 이미지

따라서 중간에 있는 사람은 대상 또는 대상 서버에서 받은 모든 요청 및 응답을 포함하여 모든 것을 볼 수 있습니다. 모든 대화를 보는 것 외에도 중간에 있는 사람은 요청과 응답을 수정하고, 자격 증명을 훔치고, 자신이 제어하는 ​​서버로 사용자를 안내하거나 다른 사이버 범죄를 수행할 수 있습니다.

일반적으로 공격자는 대화에서 양쪽 당사자의 통신 스트림이나 데이터를 가로챌 수 있습니다. 그런 다음 공격자는 정보를 수정하거나 합법적인 참가자 모두에게 악의적인 링크 또는 응답을 보낼 수 있습니다. 대부분의 경우 이것은 많은 손상을 입은 후에야 한동안 감지되지 않을 수 있습니다.

일반적인 중간자 공격 기술

패킷 스니핑: – 공격자는 다양한 도구를 사용하여 낮은 수준에서 네트워크 패킷을 검사합니다. 스니핑을 통해 공격자는 액세스 권한이 없는 데이터 패킷을 볼 수 있습니다.

패킷 주입: – 공격자가 악의적인 패킷을 데이터 통신 채널에 주입합니다. 주입하기 전에 범죄자는 먼저 스니핑을 사용하여 악성 패킷을 보내는 방법과 시기를 식별합니다. 삽입 후 잘못된 패킷은 통신 스트림의 유효한 패킷과 혼합됩니다.

세션 하이재킹: 대부분의 웹 애플리케이션에서 로그인 프로세스는 임시 세션 토큰을 생성하므로 사용자는 모든 페이지 또는 향후 요청에 대해 계속해서 암호를 입력할 필요가 없습니다. 불행하게도 다양한 스니핑 도구를 사용하는 공격자는 세션 토큰을 식별하고 사용할 수 있으며 이제 이를 사용하여 합법적인 사용자인 것처럼 가장하여 요청을 할 수 있습니다.

SSL 스트리핑: 공격자는 SSL 트리핑 기술을 사용하여 합법적인 패킷을 가로채고 HTTPS 기반 요청을 수정하여 안전하지 않은 HTTP 등가 대상으로 보낼 수 있습니다. 결과적으로 호스트는 서버에 암호화되지 않은 요청을 하기 시작하므로 중요한 데이터를 도용하기 쉬운 일반 텍스트로 노출합니다.

  Disney+ 사용자 프로필 추가 및 삭제 방법

MITM 공격의 결과

MITM 공격은 재무 및 평판 손실을 초래할 수 있기 때문에 모든 조직에 위험합니다.

일반적으로 범죄자는 조직의 민감한 개인 정보를 획득하고 오용할 수 있습니다. 예를 들어 사용자 이름 및 암호, 신용 카드 정보와 같은 자격 증명을 훔쳐 자금을 이체하거나 승인되지 않은 구매에 사용할 수 있습니다. 또한 훔친 자격 증명을 사용하여 맬웨어를 설치하거나 기타 중요한 정보를 도용하여 회사를 협박할 수 있습니다.

이러한 이유로 MITM 공격의 위험을 최소화하기 위해 사용자와 디지털 시스템을 보호하는 것이 중요합니다.

보안 팀을 위한 MITM 공격 도구

신뢰할 수 있는 보안 솔루션 및 사례를 사용하는 것 외에도 필요한 도구를 사용하여 시스템을 확인하고 공격자가 악용할 수 있는 취약성을 식별해야 합니다. 올바른 선택을 할 수 있도록 보안 연구원을 위한 몇 가지 HTTP MITM 공격 도구를 소개합니다.

헤티

헤티 보안 연구원, 팀 및 버그 바운티 커뮤니티를 지원하는 강력한 기능을 갖춘 빠른 ​​오픈 소스 HTTP 툴킷입니다. 임베디드 Next.js 웹 인터페이스가 있는 경량 도구는 중간 프록시의 HTTP 맨으로 구성됩니다.

주요 특징들

  • 전체 텍스트 검색을 수행할 수 있습니다.
  • 프록시 로그의 오프 요청을 기반으로 하거나 처음부터 생성하여 수동으로 HTTP 요청을 보낼 수 있는 발신자 모듈이 있습니다.
  • HTTP 요청을 자동으로 보낼 수 있는 공격자 모듈
  • 간단한 설치 및 사용하기 쉬운 인터페이스
  • 처음부터 시작하거나 요청을 작성하거나 단순히 프록시 로그에서 복사하여 HTTP 요청을 수동으로 보냅니다.

베터캡

베터캡 포괄적이고 확장 가능한 네트워크 정찰 및 공격 도구입니다.

사용하기 쉬운 이 솔루션은 Wi-Fi, IP4, IP6 네트워크, BLE(Bluetooth Low Energy) 장치 및 무선 HID 장치를 테스트하거나 공격할 수 있는 모든 기능을 리버스 엔지니어, 보안 전문가 및 레드 팀에 제공합니다. 또한 이 도구에는 가짜 액세스 포인트 생성, 암호 스니퍼, DNS 스푸퍼, 핸드셰이크 캡처 등과 같은 네트워크 모니터링 기능과 기타 기능이 있습니다.

주요 특징들

  • 인증 데이터를 식별하고 자격 증명을 수집하기 위한 강력한 내장 네트워크 스니퍼
  • 강력하고 확장 가능한
  • 잠재적인 MITM 취약성에 대해 능동적 및 수동적으로 IP 네트워크 호스트를 조사하고 테스트합니다.
  • 광범위한 MITM 공격, 스니핑 자격 증명, HTTP 및 HTTP 트래픽 제어 등을 수행할 수 있는 사용하기 쉬운 대화형 웹 기반 사용자 인터페이스입니다.
  • POP, IMAP, SMTP 및 FTP 자격 증명, 방문한 URL 및 HTTPS 호스트, HTTP 쿠키, HTTP 게시 데이터 등과 같이 수집하는 모든 데이터를 추출합니다. 그런 다음 외부 파일에 표시합니다.
  • TCP, HTTP 및 HTTPS 트래픽을 실시간으로 조작하거나 수정합니다.
  Outlook에서 다른 "보낸사람" 주소로 이메일을 보내는 방법

Proxy.py

Proxy.py 경량 오픈 소스 WebSockets, HTTP, HTTPS 및 HTTP2 프록시 서버입니다. 단일 Python 파일에서 사용할 수 있는 이 빠른 도구를 사용하면 연구원은 최소한의 리소스를 사용하면서 TLS 암호화 앱을 포함한 웹 트래픽을 검사할 수 있습니다.

주요 특징들

  • 초당 수만 개의 연결을 처리할 수 있는 빠르고 확장 가능한 도구입니다.
  • 내장 웹 서버, 프록시 및 HTTP 라우팅 사용자 정의 등과 같은 프로그래밍 가능한 기능
  • 5-20MB RAM을 사용하는 가벼운 디자인입니다. 또한 표준 Python 라이브러리에 의존하며 외부 종속성이 필요하지 않습니다.
  • 플러그인을 사용하여 확장할 수 있는 실시간 맞춤형 대시보드입니다. 또한 런타임에 proxy.py를 검사, 모니터링, 구성 및 제어할 수 있는 옵션도 제공합니다.
  • 보안 도구는 TLS를 사용하여 proxy.py와 클라이언트 간에 종단 간 암호화를 제공합니다.

미트프록시

그만큼 밋프록시 사용하기 쉬운 오픈 소스 HTTPS 프록시 솔루션입니다.

일반적으로 설치하기 쉬운 이 도구는 SSL man-in-the-middle HTTP 프록시로 작동하며 트래픽 흐름을 즉시 검사하고 수정할 수 있는 콘솔 인터페이스가 있습니다. 명령줄 기반 도구를 HTTP 또는 HTTPS 프록시로 사용하여 모든 네트워크 트래픽을 기록하고 사용자가 요청한 내용을 확인하고 재생할 수 있습니다. 일반적으로 mitmproxy는 세 가지 강력한 도구 세트를 나타냅니다. mitmproxy(콘솔 인터페이스), mitmweb(웹 기반 인터페이스) 및 mitmdump(명령줄 버전).

주요 특징들

  • 신뢰할 수 있는 대화형 HTTP 트래픽 분석 및 수정 도구
  • 유연하고 안정적이며 신뢰할 수 있고 설치 및 사용이 쉬운 도구
  • HTTP 및 HTTPS 요청과 응답을 즉석에서 가로채고 수정할 수 있습니다.
  • HTTP 클라이언트측 및 서버측 대화를 기록하고 저장한 다음 나중에 다시 재생하고 분석합니다.
  • 즉석에서 가로채기 위한 SSL/TLS 인증서 생성
  • 리버스 프록시 기능을 사용하면 네트워크 트래픽을 다른 서버로 전달할 수 있습니다.

트림

트림 자동화되고 확장 가능한 취약점 검색 도구입니다. 이 도구는 많은 보안 전문가에게 적합한 선택입니다. 일반적으로 이를 통해 연구원은 웹 애플리케이션을 테스트하고 범죄자가 MITM 공격을 악용하고 실행할 수 있는 취약성을 식별할 수 있습니다.

사용자 중심 워크플로를 사용하여 대상 애플리케이션과 작동 방식을 직접 보여줍니다. 웹 프록시 서버로 작동하는 Burp는 ​​웹 브라우저와 대상 서버 사이에서 중간자 역할을 합니다. 따라서 요청 및 응답 트래픽을 가로채고 분석하고 수정할 수 있습니다.

  iPhone X에서 앱을 종료하는 방법

주요 특징들

  • 웹 브라우저와 서버 간의 양방향 원시 네트워크 트래픽 가로채기 및 검사
  • 브라우저와 대상 서버 간의 HTTPS 트래픽에서 TLS 연결을 끊어서 공격자가 암호화된 데이터를 보고 수정할 수 있도록 합니다.
  • Burps 내장 브라우저 또는 외부 표준 웹 브라우저 사용 선택
  • 자동화되고 빠르고 확장 가능한 취약점 스캔 솔루션으로 웹 애플리케이션을 더 빠르고 효율적으로 스캔하고 테스트하여 광범위한 취약점을 식별할 수 있습니다.
  • 가로챈 개별 HTTP 요청 및 응답 표시
  • 차단된 트래픽을 수동으로 검토하여 공격의 세부 정보를 파악합니다.

이터캡

이터캡 오픈 소스 네트워크 트래픽 분석기 및 인터셉터입니다.

포괄적인 MITM 공격 도구를 통해 연구원은 광범위한 네트워크 프로토콜 및 호스트를 분석하고 분석할 수 있습니다. 또한 LAN 및 기타 환경에서 네트워크 패킷을 등록할 수 있습니다. 또한 다목적 네트워크 트래픽 분석기는 메시지 가로채기(man-in-the-middle) 공격을 감지하고 중지할 수 있습니다.

주요 특징들

  • 네트워크 트래픽을 가로채고 암호와 같은 자격 증명을 캡처합니다. 또한 암호화된 데이터를 해독하고 사용자 이름 및 암호와 같은 자격 증명을 추출할 수 있습니다.
  • 심층 패킷 스니핑, 테스트, 네트워크 트래픽 모니터링 및 실시간 콘텐츠 필터링 제공에 적합합니다.
  • 암호화가 있는 프로토콜을 포함하여 네트워크 프로토콜의 능동 및 수동 도청, 해부 및 분석을 지원합니다.
  • 네트워크 토폴로지를 분석하고 설치된 운영 체제를 설정합니다.
  • 대화식 및 비대화식 GUI 작동 옵션이 ​​있는 사용자 친화적인 그래픽 사용자 인터페이스
  • ARP 가로채기, IP 및 MAC 필터링 등의 분석 기법을 활용하여 트래픽 가로채기 및 분석

MITM 공격 방지

MITM 공격을 식별하는 것은 사용자가 아닌 곳에서 발생하기 때문에 쉽지 않으며 공격자가 모든 것을 정상으로 보이게 만들기 때문에 감지하기 어렵습니다. 그러나 조직에서 메시지 가로채기(man-in-the-middle) 공격을 방지하기 위해 사용할 수 있는 몇 가지 보안 사례가 있습니다. 여기에는 다음이 포함됩니다.

  • 서버 및 컴퓨터에서 효과적인 보안 솔루션 및 도구, 신뢰할 수 있는 인증 솔루션을 사용하는 등 직장 또는 가정 네트워크에서 인터넷 연결을 보호하십시오.
  • 액세스 포인트에 강력한 WEP/WAP 암호화 적용
  • 방문하는 모든 웹사이트가 안전하고 URL에 HTTPS가 있는지 확인합니다.
  • 의심스러운 이메일 메시지 및 링크를 클릭하지 마십시오.
  • HTTPS를 시행하고 안전하지 않은 TLS/SSL 프로토콜을 비활성화합니다.
  • 가능한 경우 가상 사설망을 사용하십시오.
  • 위의 도구 및 기타 HTTP 솔루션을 사용하여 공격자가 악용할 수 있는 모든 중간자 취약점을 식별하고 해결합니다.