今年年初发布的新渗透测试工具,可以实现前所未见的钓鱼攻击自动化,甚至可以通过登录操作保护双因素认证(2FA)保护的账户。
这个新工具是波兰研究员皮奥特杜辛斯基发明的。
Modlishka被IT专业人士称为反向代理,但它已经被修改为处理登陆页面和钓鱼操作的流量。
它位于用户和目标网站之间,如Gmail、雅虎或质子化。网络钓鱼受害者连接到Modelishka服务器(托管的网络钓鱼域),他们背后的反向代理组件将从他们想要模拟的站点请求。
受害者从法律网站——(如谷歌——)接收真实内容,但所有流量以及受害者与法律网站之间的所有互动都要经过并记录在Modellika服务器上。
Modelishka后端面板
用户可以输入的任何密码都会自动登录到Modelishka的后面板。当用户配置账户请求用户时,反向代理会提示用户输入2FA令牌。
如果攻击者能够实时收集这些2FA令牌,他们就可以使用它们登录“受害者”帐户并建立新的合法会话。
以下视频展示了如何在不使用模板的情况下,从真实的谷歌登录界面无缝加载Modellika支持的钓鱼网站,并记录用户可能看到的凭据和任何2FA代码。
由于这种简单的设计,modellika没有使用任何“模板”来描述合法网站的克隆。因为所有内容都是从合法网站实时获取的,攻击者不需要花费大量时间更新和微调模板。
相反,所有攻击者都需要网络钓鱼域名(modellika服务器上的主机)和有效的TLS证书,以避免警告用户缺少HTTPS连接。
最后一步是配置一个简单的配置文件,在钓鱼操作完成之前将受害者卸载到真正合法的站点,然后将他放入“粗糙”的钓鱼域。
在给zdnet的一封电子邮件中,duszyski将Modlishka描述为一个点击式、易于自动化的系统,它不同于渗透测试仪以前使用的其他打捞工具,只需要最低限度的维护。
告诉我们,当我开始这个项目时(这是2018年初),我的主要目标是编写一个易于使用的工具,这将消除为我执行的每个网络钓鱼活动准备静态网页模板的需要。
他添加了一种创建通用且易于自动化的反向代理的方法,这似乎是MITM角色最自然的方向。虽然这条路上有一些技术上的挑战,但整体的结果似乎很有价值。
“我写的这个工具有点像改变游戏规则的工具,因为它可以作为‘点击’代理,在完全支持2FA的情况下,可以轻松实现钓鱼活动的自动化(这是基于U2F协议token 3354的一个例外,这是目前唯一具有灵活性的第二个因素)。”
Duszyski告诉ZDNet:“有些情况需要手动调优(因为JavaScript代码比较混乱,或者是HTMLTag的完整性等安全属性),但这些特性都是工具完全支持的,在未来的版本中会有所改进。'
根据大赦国际去年12月发布的一份报告,获得资助的先进演员已经开始使用可以绕过2FA的系统。
现在,很多人担心Modelishka会降低进入门槛,让所谓的“脚本Kideldie”在几分钟内就能建立一个钓鱼网站,即使它需要的技术技能更少。此外,该工具将使网络组能够轻松自动地创建网络钓鱼页面,这些页面更容易维护,受害者也更难找到。
当我们问他为什么在GitHub上发布如此危险的工具时,Duszyski给出了一个非常有趣的答案。
他说:“我们必须面对这样一个事实,如果没有有效的概念证据,我们可以真正证明它,风险将被视为理论上的,而没有采取任何真正的措施来妥善解决这个问题。”
这种情况,以及缺乏风险意识,对于恶意行为者来说是一个完美的情况,他们会很乐意利用这一点。
Duszyski说,虽然他的工具可以基于短消息和一次性代码自动执行钓鱼网站的2FA检查过程,但对于依赖硬件安全密钥的基于u2f的方案,Modlishka效率不高。
Modlishka目前可以在GitHub上获得开源许可。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!