官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,安全研究人员发现一个名为EvilProxy的反向代理网络钓鱼即服务 (PaaS) 平台在暗网开始活跃。在其宣传资料中,EvilProxy声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。如果它没有吹牛的话,那么全球科技巨头几乎都被一网打尽。
而该服务最令安全专家感到担忧之处是,它可以让一个没有多少技术水平的小白黑客也可以轻松设置反向代理,从而窃取那些有着安全措施的账户信息。换句话说,一旦EvilProxy宣传的功能成为现实,那么人人皆可成为黑客,企业安全将面临巨大的网络钓鱼攻击威胁。
反向代理服务窃取账户信息
资料显示,反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。
而当用户连接到网络钓鱼页面时,反向代理会显示合法的登录表单、转发请求并从公司网站返回响应,这意味着用户所拥有的防护措施将会完全失效。由于反向代理服务期存在,用户登录账户的整个过程相当于是一个正常流程:用户会将登录的账号密码、MFA全部输入到网络钓鱼页面,同时被转发到用户登录的实际平台服务器,并返回一个会话 cookie,这和正常登录没有任何区别。
但是在这个过程中,攻击者可以轻松窃取包含身份验证令牌的会话 cookie,使用此身份验证 cookie 以用户身份登录站点,绕过配置的多因素身份验证保护,从而实现窃取用户账号的隐私信息。
反向代理工作示意图
近段时间以来,极具威胁的APT组织一直在使用反向代理来绕过目标账户的MFA保护,其中既会使用一些自有工具,也会使用一些更易于部署的工具包,如 Modlishka、Necrobrowser 和 Evilginx2。
这些网络钓鱼框架和 EvilProxy之间的区别在于后者更易于部署,提供详细的教学视频、教程、图形界面,以及用于互联网攻击服务的大量克隆的网络钓鱼页面。而这才是EvilProxy最可怕的地方,它的出现拉低了网络钓鱼攻击的技术门槛,让发起攻击和信息窃取成为一件更普通的事情。
平台使用说明
EvilProxy究竟是如何实现的
网络安全公司 Resecurity 报告称 ,EvilProxy 提供了一个易于使用的 GUI,攻击者可以在其中设置和管理网络钓鱼活动,以及支持它们的所有细节。
选择网络钓鱼服务上的活动选项
EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。
虽然该服务在各种 clearnet 和暗网黑客论坛上得到积极推广,但运营商会对客户进行针对性审查,因此对于一些潜在买家可能毫无吸引力。
据 Resecurity 称,EvilProxy服务的付款是在Telegram上单独进行,付款结束后,用户可以访问托管在洋葱网络 (TOR) 中的门户。Resecurity 对该平台的测试证实,EvilProxy 还提供虚拟机、反分析和反机器人保护,以过滤平台托管的网络钓鱼站点上的无效或不受欢迎的访问者。
EvilProxy 上的反分析功能
Resecurity在报告指出,不良行为者正在使用多种技术和方法来识别受害者,并保护网络钓鱼工具包代码不被检测到。与欺诈预防和网络威胁情报 (CTI) 的解决方案一样,它们汇总了目前已知的VPN服务、代理、TOR 出口节点和其他主机的数据,这些数据可用于(潜在受害者的)IP声誉分析。
随着 MFA 采用率的不断提高,越来越多的攻击者转向反向代理工具,EvilProxy自动化反向代理平台的出现,对于企业安全人员来说是一个非常糟糕的消息。目前该问题仍然可以通过实施客户端 TLS 指纹识别和过滤中间人请求来解决。但是,这样的解决方式并不适合所有的行业。
因此,像 EvilProxy这样的平台本质上弥合了技能差距,并为低技术能力的攻击者提供了一种具有成本效益的方式来窃取有价值的账户。
参考来源
https://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/