近日,安全研究人员发现一个名为EvilProxy的反向代理钓鱼即服务(PaaS)平台在暗网上活跃起来。在其宣传材料中,EvilProxy声称窃取身份验证令牌以绕过Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy,甚至PyPI。如果不吹牛,全球科技巨头都快被淘汰了。该服务最让安全专家担心的是,它允许技术水平不高的黑客轻松设置反向代理来窃取具有安全措施的账户信息。也就是说,一旦EvilProxy标榜的功能成为现实,人人都可以成为黑客,企业安全将面临钓鱼攻击的巨大威胁。反向代理服务窃取账户信息表明反向代理服务器位于用户和目标服务器之间,但对于用户来说,反向代理服务器等同于目标服务器,即用户可以直接访问反向代理服务器获取目标服务器资源。同时,用户不需要知道目标服务器的地址,也不需要在客户端做任何设置。而当用户连接到钓鱼页面时,反向代理会显示合法的登录表单,转发请求,并从公司网站返回响应,这意味着用户所拥有的保护完全无效。由于反向代理服务期的存在,用户登录账号的整个过程相当于一个正常的过程:用户将所有的登录账号密码和MFA输入钓鱼页面,同时,转发给用户登录的实际平台服务器,并返回一个A会话cookie,与正常登录没有区别。但在这个过程中,攻击者可以很容易地窃取包含认证令牌的会话cookie,使用这个认证cookie以用户身份登录站点,绕过配置的多因素认证保护,窃取用户账户的隐私信息.反向代理工作示意图近期,威胁性很强的APT组织一直在使用反向代理来绕过目标账户的MFA保护,既使用了他们自己的工具,也使用了一些更易于部署的工具包,如Modlishka、Necrobrowser和Evilginx2。这些钓鱼框架与EvilProxy的区别在于后者更易于部署,提供详细的教学视频、教程、图形界面和大量克隆的钓鱼页面,用于互联网攻击服务。这就是EvilProxy最可怕的地方。它的出现降低了钓鱼攻击的技术门槛,使得攻击和信息窃取成为更加普遍的事情。平台使用准确解释了EvilProxy的工作原理据网络安全公司Resecurity报道,EvilProxy提供了一个易于使用的GUI,攻击者可以在其中设置和管理网络钓鱼活动,以及支持它们的所有细节。选择钓鱼服务EvilProxy服务上的活动选项,该服务承诺以150美元(10天)、250美元(20天)或400美元(30天)窃取用户名、密码和会话cookie。而针对Google帐户的攻击成本更高,为250/450/600美元。Resecurity还在社交平台上展示了??EvilProxy是如何对谷歌账户发起钓鱼攻击的。虽然该服务在各种clearnet和darknet黑客论坛上得到积极推广,但运营商对客户进行有针对性的审查,因此它可能不会吸引一些潜在买家。根据Resecurity的说法,EvilProxy服务的付款是在Telegram上单独进行的,付款完成后,用户可以访问托管在洋葱网络(TOR)上的门户。Resecurity对该平台的测试证实,EvilProxy还提供虚拟机、反分析和反机器人保护,以过滤该平台托管的钓鱼网站上的无效或不需要的访问者。Resecurity是EvilProxy上的反分析功能,报告称不良行为者正在使用各种技术和方法来识别受害者并保护网络钓鱼工具包代码免遭检测。与欺诈预防和网络威胁情报(CTI)解决方案一样,它们汇总了当前已知的VPN服务、代理、TOR出口节点和其他主机的数据,可用于(潜在受害者的)IP信誉分析。随着MFA采用率的不断提高,越来越多的攻击者开始转向反向代理工具,而EvilProxy自动化反向代理平台的问世对于企业安全人员来说是一个非常坏的消息。目前,这个问题仍然可以通过实施客户端TLS指纹识别和过滤中间人请求来解决。然而,这样的解决方案并不适用于所有行业。因此,像EvilProxy这样的平台基本上弥合了技能差距,并为低技术攻击者提供了一种经济高效的方式来窃取有价值的帐户。参考来源:https://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/
