中间人攻击

对手可能会尝试使用中间人攻击（AiTM）技术在两个或多个网络设备之间定位自己，以支持后续行为，如网络嗅探、传输数据操作或重放攻击（凭证访问利用）。通过滥用常见网络协议的功能，这些协议可以确定网络流量的流向（例如ARP、DNS、LLMNR等），对手可能会强制设备通过对手控制的系统进行通信，以便他们可以收集信息或执行其他操作。(引用: Rapid7 MiTM Basics) 例如，对手可能会操纵受害者的DNS设置，以启用其他恶意活动，如阻止/重定向用户访问合法网站和/或推送其他恶意软件。(引用: ttint_rat)(引用: dns_changer_trojans)(引用: ad_blocker_with_miner) 对手还可能操纵DNS并利用其位置来拦截用户凭据，包括访问令牌（窃取应用程序访问令牌）和会话Cookie（窃取Web会话Cookie）。(引用: volexity_0day_sophos_FW)(引用: Token tactics) 降级攻击也可以用来建立AiTM位置，例如通过协商不太安全、已弃用或较弱版本的通信协议（SSL/TLS）或加密算法。(引用: mitm_tls_downgrade_att)(引用: taxonomy_downgrade_att_tls)(引用: tlseminar_downgrade_att) 对手还可能利用AiTM位置尝试监视和/或修改流量，例如在传输数据操作中。对手可以设置类似于AiTM的位置，以防止流量流向适当的目的地，可能是为了削弱防御和/或支持网络拒绝服务。