近日,安全研究人員發現一個名為EvilProxy的反向代理網絡釣魚即服務 (PaaS) 平台在暗網開始活躍。在其宣傳資料中,EvilProxy聲稱可竊取身份驗證令牌以繞過 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。如果它沒有吹牛的話,那麼全球科技巨頭幾乎都被一網打盡。
而該服務最令安全專家感到擔憂之處是,它可以讓一個沒有多少技術水平的小白黑客也可以輕鬆設置反向代理,從而竊取那些有着安全措施的賬戶信息。換句話說,一旦EvilProxy宣傳的功能成為現實,那麼人人皆可成為黑客,企業安全將面臨巨大的網絡釣魚攻擊威脅。
反向代理服務竊取賬戶信息
資料顯示,反向代理服務器位於用戶與目標服務器之間,但是對於用戶而言,反向代理服務器就相當於目標服務器,即用戶直接訪問反向代理服務器就可以獲得目標服務器的資源。同時,用戶不需要知道目標服務器的地址,也無須在用戶端作任何設定。
而當用戶連接到網絡釣魚頁面時,反向代理會顯示合法的登錄表單、轉發請求並從公司網站返迴響應,這意味着用戶所擁有的防護措施將會完全失效。由於反向代理服務期存在,用戶登錄賬戶的整個過程相當於是一個正常流程:用戶會將登錄的賬號密碼、MFA全部輸入到網絡釣魚頁面,同時被轉發到用戶登錄的實際平台服務器,並返回一個會話 cookie,這和正常登錄沒有任何區別。
但是在這個過程中,攻擊者可以輕鬆竊取包含身份驗證令牌的會話 cookie,使用此身份驗證 cookie 以用戶身份登錄站點,繞過配置的多因素身份驗證保護,從而實現竊取用戶賬號的隱私信息。
【反向代理工作示意圖】
近段時間以來,極具威脅的APT組織一直在使用反向代理來繞過目標賬戶的MFA保護,其中既會使用一些自有工具,也會使用一些更易於部署的工具包,如 Modlishka、Necrobrowser 和 Evilginx2。
這些網絡釣魚框架和 EvilProxy之間的區別在於後者更易於部署,提供詳細的教學視頻、教程、圖形界面,以及用於互聯網攻擊服務的大量克隆的網絡釣魚頁面。而這才是EvilProxy最可怕的地方,它的出現拉低了網絡釣魚攻擊的技術門檻,讓發起攻擊和信息竊取成為一件更普通的事情。
【平台使用說明】
網絡安全公司 Resecurity 報告稱 ,EvilProxy 提供了一個易於使用的 GUI,攻擊者可以在其中設置和管理網絡釣魚活動,以及支持它們的所有細節。
【選擇網絡釣魚服務上的活動選項】
EvilProxy服務承諾竊取用戶名、密碼和會話cookie,費用為150美元(10天)、250美元(20 天)或400美元(30天)。而針對Google帳戶攻擊的使用費用更高,為 250/450/600 美元。Resecurity還在社交平台上演示了,EvilProxy是如何針對Google帳戶發起網絡釣魚攻擊。
雖然該服務在各種 clearnet 和暗網黑客論壇上得到積極推廣,但運營商會對客戶進行針對性審查,因此對於一些潛在買家可能毫無吸引力。
據 Resecurity 稱,EvilProxy服務的付款是在Telegram上單獨進行,付款結束後,用戶可以訪問託管在洋蔥網絡 (TOR) 中的門戶。Resecurity 對該平台的測試證實,EvilProxy 還提供虛擬機、反分析和反機器人保護,以過濾平台託管的網絡釣魚站點上的無效或不受歡迎的訪問者。
【EvilProxy 上的反分析功能】
Resecurity在報告指出,不良行為者正在使用多種技術和方法來識別受害者,並保護網絡釣魚工具包代碼不被檢測到。與欺詐預防和網絡威脅情報 (CTI) 的解決方案一樣,它們匯總了目前已知的VPN服務、代理、TOR 出口節點和其他主機的數據,這些數據可用於(潛在受害者的)IP聲譽分析。
隨着 MFA 採用率的不斷提高,越來越多的攻擊者轉向反向代理工具,EvilProxy自動化反向代理平台的出現,對於企業安全人員來說是一個非常糟糕的消息。目前該問題仍然可以通過實施客戶端 TLS 指紋識別和過濾中間人請求來解決。但是,這樣的解決方式並不適合所有的行業。
因此,像 EvilProxy這樣的平台本質上彌合了技能差距,並為低技術能力的攻擊者提供了一種具有成本效益的方式來竊取有價值的賬戶。
參考來源:
https://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/
精彩推薦
留言列表