更新时间:2021-10-25 09:22:39
年初发布的全新渗透测试工具,可以实现前所未见的钓鱼攻击自动化,甚至可以通过登录操作保护双因素认证(2FA)保护的账户。
这个新工具是波兰研究员皮奥特杜辛斯基发明的。
Modlishka被IT专业人士称为反向代理,但它已被修改以处理用于登录页面和钓鱼操作的流量。
它位于用户和目标网站之间,如Gmail、雅虎或质子。网络钓鱼受害者连接到Modelishka服务器(托管网络钓鱼域),他们背后的反向代理组件将从他们想要模拟的站点请求。
受害者从法律网站——(如Google ——)接收真实内容,但受害者和法律网站之间的所有流量和所有交互都记录在Modellika服务器上。
Modelishka后端面板。
用户可以输入的任何密码都将自动登录到Modelishka后端面板。当用户配置账户请求用户时,反向代理会提示用户输入2FA令牌。
如果攻击者能够实时收集这些2FA令牌,他们就可以使用它们登录“受害者”帐户并建立新的合法会话。
以下视频展示了如何在不使用模板的情况下,从真实的谷歌登录界面无缝加载Modellika支持的钓鱼网站内容,并记录用户可能看到的凭证和任何2FA代码。
由于这种简单的设计,modellika没有使用任何“模板”来描述合法网站的克隆。因为所有内容都是从合法网站实时获取的,攻击者不需要花费大量时间更新和微调模板。
相反,所有攻击者都需要网络钓鱼域名(modellika服务器上的主机)和有效的TLS证书,以避免警告用户缺少HTTPS连接。
最后一步是配置一个简单的配置文件,在钓鱼操作完成之前将受害者卸载到真正的合法站点,然后将他放入“粗糙”的钓鱼域。
在给zdnet的一封电子邮件中,duszyski将Modlishka描述为一个点击式的、易于自动化的系统,它不同于以前渗透测试人员使用的其他打捞工具包,只需要最低限度的维护。
告诉我们,当我开始这个项目时(这是2018年初),我的主要目标是编写一个易于使用的工具,这将消除为我执行的每个网络钓鱼活动准备静态网页模板的需要。
他添加了一种创建通用且易于自动化的反向代理的方法,这似乎是MITM角色最自然的方向。虽然在这条路上有一些技术上的挑战,但总体结果似乎非常有价值。
“我写的这个工具有点像改变游戏规则的工具,因为它可以作为‘点击’代理,在完全支持2FA的情况下可以轻松实现钓鱼活动的自动化(这是基于U2F协议token ——的一个例外,这是目前唯一具有灵活性的第二个因素)。”
Duszyski告诉ZDNet:“有些情况需要手动调优(因为JavaScript代码比较混乱,或者是HTMLTag的完整性等安全属性),但这些特性都是工具完全支持的,在未来的版本中会有所改进。'
根据大赦国际去年12月发布的一份报告,获得资助的先进演员已经开始使用可以绕过2FA的系统。
现在,很多人担心Modelishka会降低进入门槛,让所谓的“脚本Kideldie”在几分钟内就能建立钓鱼网站,尽管它需要的技术技能更少。此外,该工具将使网络组能够轻松自动地创建网络钓鱼页面,这些页面更容易维护,受害者也更难找到。
当我们问他为什么在GitHub上发布这么危险的工具时,Duszyski给出了一个非常有趣的答案。
他说:“我们必须面对这样一个事实,如果没有有效的概念证据,我们可以真正证明它,风险将被视为理论上的,而没有采取任何真正的措施来妥善解决这个问题。”
这种情况,以及缺乏风险意识,对于恶意行为者来说是一个完美的情况,他们会很乐意利用这一点。
Duszyski说,虽然他的工具可以自动执行基于短信和一次性编码的钓鱼网站的2FA检查过程,但对于依赖硬件安全密钥的基于u2f的方案,Modlishka效率不高。
Modlishka目前可以在GitHub上获得开源许可。