aitm(adversary-in-the-middle) 공격

외국의 IT 보안 담당자에게 10시쯤 연락을 받았다.

우리 사이트에서 공격을 당했으니 누군지 찾아내고 조치를 취해야 한다는 것이다.

그래서 이게 무슨 일인가 해서 참조된 이미지를 봤더니 aitm(adversary-in-the-middle) 공격이었다.

이제 소속이 보안팀이 아니다 보니 권한도 없고 하니 관심이 떨어졌는데..

이 공격이 뭐지 하고 여기저기 찾아보았다.

그런데 가장 오래된 기사를 보니 1년쯤 전에 나타났었다.

일단 이 공격의 동작원리와 목적이 무엇인지 차근차근 기록해 놓도록 해야겠다.

 

 

일단 사용자 PC에서 무슨 일이 일어났는지를 확인해 보기로 했다.

사용자 PC에는 MS Defender가 설치되어 있고 로그를 추적할 수 있다.

확인해 보니 생소한 도메인을 가지고 있다.

사용자는 edge 브라우저를 사용하여 이상한 도메인에 연결을 시도했다.

그리고 바로 AITM 사이트 피싱 사이트임을 감지당했다. 

두 번째 행위까지 체크되고 다시 AITM 피싱 사이트로 감지되었다.

감지만 된 건지 조치가 된 건지는 더 이상 확인할 수 없었다.

Defender에서 로그 확인

 

 

 

더 이상 뭔가 해볼 권한은 없어서 저쯤에서 포기했다.

보안팀이 알아서 처리하고 나중에 결과를 물어보기로 한다.

Aitm 공격 방식을 찾아보니 MS에서 그림으로 잘 설명해 둔 것을 찾았다.

 

이건 피싱메일의 링크를 클릭했을 때 시작되는 프로세스이다.

피싱메일은 일상에서 쓰는 업무용 메일과 아주 비슷하다. 

그래서 사용자들은 아무 거리낌 없이 평소처럼 메일의 링크를 클릭할 수 있다.

클릭을 시작함과 동시에 공격자는 피싱 사이트로 접속된다.

그리고 공격자의 피싱 사이트는 프록시의 역할을 할 수 있다.

 

중간자 공격이라고 하는 이유는 공격자가 사용자와 접속 사이트 중간에 존재하기 때문이다.

피싱 사이트에서 사용자가 입력한 정보는 공격자를 거쳐 타겟사이트로 보내진다.

타겟사이트가 사용자에게 보낸 정보 역시 공격자를 거처 사용자에게 전달된다.

그 중간에 다단계 인증 과정이 있을 수 있는데, 이것도 공격자를 거쳐 진행된다.

그리고 다단계 인증이 완료되면 공격자는 세션을 탈취할 수도 있다.

까다로운 인증과정을 모두 끝냈기 때문에 이 세션을 이용하여 이메일을 훔쳐볼 수도 있다.

정보가 유출되면 공격자가 할 수 있는 공격의 수는 무궁무진해지고 피해가 발생할 수 있다. 

aitm(adversary-in-the-middle) 공격. 출처 : MicroSoft

 

 

현재 취해진 조치는 아래 3가지이다.

- 해당 사이트를 차단

- 공격당한 사용자의 계정 암호 변경 

- 브라우저 쿠키 삭제

 

 

하지만 피싱 공격은 사람을 이용한 공격이기 때문에, 사용자가 조심하는 게 가장 우선이다.

이메일을 확인할 때 반드시 발신자 주소를 확인하는 습관이 필요하다. 

발신자에 따라 의심 가는 이메일이거나 외부 메일인 경우 주의하라는 문구가 나타난다.

수상한 메일이 있다면 링크를 절대 클릭하지 말아야 한다.