Taggat med: evilginx

Evilginx version 3.2 ute nu

Evilginx version 3.2

Nu finns det en ny version av phishing-ramverket Evilginx. Evilginx är utvecklat av Kuba Gretzky och var det första ramverket som var öppet och hade möjlighet att kringgå multifaktorsautentisering genom att utföra man-i-mitten-attacker (MITM). Jag kan även rekommendera denna artikel då jag testar ett annat liknande verktyg.

Nyheter i version 3.2

Den första och största nyheten har och göra med hur redirect_url fungerar. När väl en sessionstoken har spelats in vid en phishing-sida så har det tidigare varit svårt att göra ompekningar när sidorna har varit SPA:er (Single Page Applications). Men genom att injicera ett javascript i webbsidan som MITM:as så går det nu att göra en redirect enklare.

När en ny phishing-kampanj skickas ut via E-post så brukar de första som besöker phishing-sidorna vara automatiserade scanners som automatiskt försöker lista ut om länken i ett E-post är en phishing-sida. Genom att nu använda följande konfigurations-direktiv så är det möjligt att pausa phishing-sidan temporärt och således försvåra för dessas automatiserade scanningar och säkerhetsprodukter:

lures pause <id> <time_duration>

Det går nu att finjustera proxy-anropen som går via Evilginx och returnera egna fel-koder eller svar på HTTP-förfrågningar. Exempelvis:

intercept:
  - {domain: 'www.linkedin.com', path: '^\/report_error$', http_status: 200, body: '{"error":0}'', mime: "application/json"}
  - {domain: 'app.linkedin.com', path: '^\/api\/v1\/log\/.*', http_status: 404}

Det finns många andra nyheter och buggfixar i Evilginx, se följande inlägg för alla nyheter.

Skydd mot MITM/proxy phishing-attacker

Kuba som utvecklar Evilginx höll ett föredrag på konferensen x33fcon om hur man kan skydda sig mot denna typ av phishing-attacker där angriparen gör MITM/proxy-attacker för att stjäla sessions-cookies.

Föreläsningen hittar du inbäddad här:

Test av nytt verktyg för att kringgå tvåfaktorsautentisering (2FA)

Ett nytt verktyg open-source vid namn Modlishka har utvecklats av Piotr Duszyński. Verktyget underlättar phishing-attacker och gör det möjligt att kringgå tvåfaktorsautentisering. Modlishka betyder bönsyrsa på Polska.

Skillnaden mellan Modlishka och andra phishing-verktyg såsom Evilginx är att Modlishka inte behöver arbeta utifrån en mall. Verktyget lägger sig som man-in-the-middle (MITM) och skriver om sökvägar till script, bilder etc.

Dock behöver du konfigurera vissa saker såsom vilken fejkdomän du vill använda och ett eventuellt TLS-certifikat så att ett hänglås visas upp i webbläsaren. Även måste du i DNS peka så att fejkdomänen du vill använda pekar till den servern där du installerat Modlishka.

Phishing-verktyget är skrivet i programspråket Go och går således att köra på plattformar såsom Windows, Linux och macOS.

Jag genomförde ett antal olika tester mot bl.a. Tutanota och Google där jag försökte sätta mig i mitten och läsa av inloggningar samt cookies som används för sessionsinformation.

När jag använde Modlishka med de inbyggda inställningarna som följde med till Google så fungerade inte inloggningen med http och ett felmeddelande visades för användaren vid inloggning:

Lösenordet loggades dock vid inloggningen men inget användarnamn. Sedan testade jag med https och då fungerade inloggningen även med 2FA påslaget:

Skärmdump då verktyget är startat med Google/GSuite konfiguration under Kali Linux:

När jag testade att slå på 2FA på mail-tjänsten Tutanota och använda TOTP så fungerade det inte heller och jag fick ett felmeddelande:

Kontentan av mina tester med Modlishka är således att det troligtvis behövs mer handpåläggning. En annan sak jag tycker är rätt meckigt är hur TLS-certifikaten ska läggas till där hela certifikatet måste vara en hel sträng utan radbrytningar.

Om man lyckas få allt att fungera så finns det en kontrollpanel med några enstaka funktioner. Bl.a. så kan du använda impersonate-knappen för att då automatiskt bli inloggad som en användare: