人人皆是黑客?EvilProxy推出一键反向代理服务

近日,安全研究人员发现一个名为EvilProxy的反向代理网络钓鱼即服务 (PaaS) 平台在暗网开始活跃。在其宣传资料中,EvilProxy声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。如果它没有吹牛的话,那么全球科技巨头几乎都被一网打尽。

而该服务最令安全专家感到担忧之处是,它可以让一个没有多少技术水平的小白黑客也可以轻松设置反向代理,从而窃取那些有着安全措施的账户信息。换句话说,一旦EvilProxy宣传的功能成为现实,那么人人皆可成为黑客,企业安全将面临巨大的网络钓鱼攻击威胁。

反向代理服务窃取账户信息

资料显示,反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。

而当用户连接到网络钓鱼页面时,反向代理会显示合法的登录表单、转发请求并从公司网站返回响应,这意味着用户所拥有的防护措施将会完全失效。由于反向代理服务器存在,用户登录账户的整个过程相当于是一个正常流程:用户会将登录的账号密码、MFA全部输入到网络钓鱼页面,同时被转发到用户登录的实际平台服务器,并返回一个会话 cookie,这和正常登录没有任何区别。

但是在这个过程中,攻击者可以轻松窃取包含身份验证令牌的会话 cookie,使用此身份验证 cookie 以用户身份登录站点,绕过配置的多因素身份验证保护,从而实现窃取用户账号的隐私信息。

反向代理工作示意图

近段时间以来,极具威胁的APT组织一直在使用反向代理来绕过目标账户的MFA保护,其中既会使用一些自有工具,也会使用一些更易于部署的工具包,如 Modlishka、Necrobrowser 和 Evilginx2。

这些网络钓鱼框架和 EvilProxy之间的区别在于后者更易于部署,提供详细的教学视频、教程、图形界面,以及用于互联网攻击服务的大量克隆的网络钓鱼页面。而这才是EvilProxy最可怕的地方,它的出现拉低了网络钓鱼攻击的技术门槛,让发起攻击和信息窃取成为一件更普通的事情。

平台使用说明

EvilProxy 究竟是如何实现的

网络安全公司 Resecurity 报告称 ,EvilProxy 提供了一个易于使用的 GUI,攻击者可以在其中设置和管理网络钓鱼活动,以及支持它们的所有细节。

选择网络钓鱼服务上的活动选项

EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

虽然该服务在各种 clearnet 和暗网黑客论坛上得到积极推广,但运营商会对客户进行针对性审查,因此对于一些潜在买家可能毫无吸引力。

据 Resecurity 称,EvilProxy服务的付款是在Telegram上单独进行,付款结束后,用户可以访问托管在洋葱网络 (TOR) 中的门户。Resecurity 对该平台的测试证实,EvilProxy 还提供虚拟机、反分析和反机器人保护,以过滤平台托管的网络钓鱼站点上的无效或不受欢迎的访问者。

EvilProxy 上的反分析功能

Resecurity在报告指出,不良行为者正在使用多种技术和方法来识别受害者,并保护网络钓鱼工具包代码不被检测到。与欺诈预防和网络威胁情报 (CTI) 的解决方案一样,它们汇总了目前已知的VPN服务、代理、TOR 出口节点和其他主机的数据,这些数据可用于(潜在受害者的)IP声誉分析。

随着 MFA 采用率的不断提高,越来越多的攻击者转向反向代理工具,EvilProxy自动化反向代理平台的出现,对于企业安全人员来说是一个非常糟糕的消息。目前该问题仍然可以通过实施客户端 TLS 指纹识别和过滤中间人请求来解决。但是,这样的解决方式并不适合所有的行业。

因此,像 EvilProxy这样的平台本质上弥合了技能差距,并为低技术能力的攻击者提供了一种具有成本效益的方式来窃取有价值的账户。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》 ,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供:

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

相关推荐
Liveweb视频汇聚平台1 小时前
TCP 和 UDP 的区别:解析网络传输协议
网络·tcp/ip·udp
网络安全-杰克3 小时前
《网络对抗》—— Web基础
前端·网络
m0_748250743 小时前
2020数字中国创新大赛-虎符网络安全赛道丨Web Writeup
前端·安全·web安全
Hacker_Oldv3 小时前
通过端口测试验证网络安全策略
安全·web安全
几维安全3 小时前
出海隐私合规解决方案,一文助力中企合规出海
网络·安全
燕雀安知鸿鹄之志哉.3 小时前
攻防世界 easyphp
安全·web安全·网络安全
红米饭配南瓜汤3 小时前
WebRTC服务质量(10)- Pacer机制(02) RoundRobinPacketQueue
网络·音视频·webrtc·媒体
一棵开花的树,枝芽无限靠近你4 小时前
【PPTist】表格功能
前端·笔记·学习·编辑器·ppt·pptist
老鑫安全培训4 小时前
从安全角度看 SEH 和 VEH
java·网络·安全·网络安全·系统安全·安全威胁分析
乐维_lwops4 小时前
安全筑堤,效率破浪 | 统一运维管理平台下的免密登录应用解析
运维·服务器·安全