一个名为EvilProxy的反向代办署理收集垂钓即办事(PaaS)平台近日兴风做浪,许诺能够窃取身份验证令牌,从而绕过苹果、谷歌、Facebook、微软、Twitter、GitHub、GoDaddy以至PyPI上的多因素身份验证(MFA)机造。
该办事使不晓得若何设置反向代办署理的技能低下的威胁分子也可以窃取本来遭到有力庇护的在线帐户。
反向代办署理是位于目的受害者和合法身份验证端点(好比公司的登录表单)之间的办事器。当受害者毗连到收集垂钓页面时,反向代办署理会显示合法的登录表单,转发恳求,并返回来自该公司网站的响应。
当受害者将他们的根据(即登录信息)和MFA输入到收集垂钓页面后,他们被转发到现实平台的办事器(用户登录到该办事器上),并返回会话cookie。
然而,因为威胁分子的代办署理位于中间,它也能够窃取含有身份验证令牌的会话cookie。然后,威胁分子就能够利用该身份验证cookie以用户身份登录网站,从而绕过已设置装备摆设好的多因素身份验证庇护。
图1. 反向代办署理的工做原理(来源:Resecurity)
一段时间以来,狡诈的高级继续性威胁(APT)组织不断在利用反向代办署理来绕过目的帐户上的MFA庇护,一些组织利用本身的自定义东西,而另一些组织利用更易于摆设的东西包,好比Modlishka、Necrobrowser和Evilginx2。
那些收集垂钓框架与EvilProxy之间的区别在于,后者摆设起来容易得多,并供给详细的教学视频和教程、对用户友好的图形界面,以及针对时髦互联网办事的一大堆可供选择的克隆收集垂钓页面。
展开全文
图2.平台上的利用阐明(来源:Resecurity)
更深切地领会EvilProxy
收集平安公司Resecurity陈述称,EvilProxy供给了一种易于利用的图形用户界面(GUI),威胁分子能够在GUI上设置和办理收集垂钓活动以及撑持它们的所有细节。
图3. 选择收集垂钓办事上的垂钓活动选项(来源:Resucurity)
该办事许诺能够窃取用户名、密码和会话cookie,收费原则为150美圆(10 天)、250美圆(20 天)或400美圆(为期一个月的收集垂钓活动)。针对谷歌帐户的进攻收费更高,别离为250美圆、450美圆和600美圆。
在以下视频中,Resecurity演示了针对谷歌帐户的进攻将若何通过EvilProxy开展。
图4
固然该办事在各类明网(clearnet)和暗网黑客论坛上鼎力大举推广,但办事运营商会对客户停止审查,因而一些潜在买家可能会遭到回绝。
据Resecurity声称,该办事的付出事项是在Telegram上零丁安放的。一旦预付了费用,客户能够拜候托管在洋葱收集(TOR)中的门户。
Resecurity测试该平台后证明,EvilProxy还供给虚拟机、反阐发和反机器人法式防护,以过滤掉平台托管的收集垂钓网站上无效或不受欢送的访客。
图5. EvilProxy上的反阐发功用(来源:Resecurity)
“与欺诈预防和收集威胁谍报(CTI)等处理计划一样,它们汇总了有关已知VPN办事、代办署理、TOR出口节点及其他主机的数据,那些数据可用于(对潜在受害者停止)IP声誉阐发。”
值得留意的办事
跟着MFA的接纳率不竭进步,越来越多的威胁分子纷繁接纳反向代办署理东西,而呈现为骗子主动化一切操做的平台关于平安专业人员和收集办理员来说可不是好动静。
图6. EvilProxy在Breached论坛上鼎力大举推广
因而,像EvilProxy如许的平台现实上填补了技能方面的不敷或差距,为低程度的威胁分子供给了一种经济高效的体例来窃取有价值的帐户。
参考及来源:
/
原文来源:嘶吼专业版