Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Evilginx2

Evilginx2

Metode phishing yang licik melewati MFA menggunakan perangkat lunak akses jarak jauh

by

Teknik phishing baru yang licik memungkinkan musuh untuk melewati otentikasi multi-faktor (MFA) dengan secara diam-diam meminta korban masuk ke akun mereka secara langsung di server yang dikendalikan penyerang menggunakan sistem berbagi layar VNC.

Untuk mendapatkan akses ke akun target yang dilindungi MFA, kit phishing telah diperbarui untuk menggunakan proxy terbalik atau metode lain untuk mengumpulkan kode MFA dari korban tanpa disadari.

Namun, perusahaan menangkap metode ini dan mulai memperkenalkan langkah-langkah keamanan yang memblokir login atau menonaktifkan akun ketika proxy terbalik terdeteksi.

Saat melakukan uji penetrasi untuk pelanggan, peneliti keamanan mr.d0x berusaha membuat serangan phishing pada karyawan klien untuk mendapatkan kredensial akun perusahaan.

Karena semua akun dikonfigurasi dengan MFA, mr.d0x menyiapkan serangan phishing menggunakan kerangka kerja serangan Evilginx2 yang bertindak sebagai proxy terbalik untuk mencuri kredensial dan kode MFA.

Saat melakukan pengujian, peneliti menemukan bahwa Google mencegah login saat mendeteksi proxy terbalik atau serangan man-in-the-middle (MiTM).

Masuk Google Chrome memblokir serangan MiTM
Sumber: mr.d0x

Untuk mengatasi kendala ini, mr.d0x datang dengan teknik phishing baru yang licik yang menggunakan perangkat lunak akses jarak jauh noVNC dan browser yang berjalan dalam mode kios untuk menampilkan permintaan login email yang berjalan di server penyerang tetapi ditampilkan di browser korban.

VNC adalah perangkat lunak akses jarak jauh yang memungkinkan pengguna jarak jauh untuk terhubung dan mengontrol desktop pengguna yang masuk. Kebanyakan orang terhubung ke server VNC melalui klien VNC khusus yang membuka desktop jarak jauh dengan cara yang mirip dengan Windows Remote Desktop.

Namun, sebuah program yang disebut noVNC memungkinkan pengguna untuk terhubung ke server VNC langsung dari dalam browser hanya dengan mengklik tautan, saat itulah teknik phishing baru peneliti ikut bermain.

Dengan menggunakan konfigurasi ini, pelaku ancaman dapat mengirimkan email spear-phishing yang ditargetkan yang berisi tautan yang secara otomatis meluncurkan browser target dan masuk ke server VNC jarak jauh penyerang.

Tautan ini sangat dapat disesuaikan dan memungkinkan penyerang membuat tautan yang tidak terlihat seperti URL masuk VNC yang mencurigakan, seperti di bawah ini:

Contoh[.]com/index.html?id=VNCPASSWORD
Contoh[.]com/auth/login?name=password

Karena server VNC penyerang dikonfigurasi untuk menjalankan browser dalam mode kios, yang menjalankan browser dalam mode layar penuh, ketika korban mengklik tautan, mereka hanya akan melihat layar login untuk layanan email yang ditargetkan dan login seperti biasa.

Demonstrasi teknik phishing VNC
Sumber: mr.d0x

Namun, karena prompt login sebenarnya sedang ditampilkan oleh server VNC penyerang, semua upaya login akan dilakukan langsung di server jauh. mr.d0x memberi tahu bahwa begitu pengguna masuk ke akun, penyerang dapat menggunakan berbagai alat untuk mencuri kredensial dan token keamanan.

Lebih berbahaya lagi, teknik ini akan melewati MFA karena pengguna akan memasukkan kode akses satu kali langsung di server penyerang, yang mengizinkan perangkat untuk mencoba login di masa mendatang.

Alternatif lain adalah saya menyuntikkan JS ke browser sebelum mengirim tautan phishing. Ketika pengguna mulai menggunakan browser, itu menjalankan JS saya. Ada lebih banyak opsi karena pada akhirnya pengguna mengautentikasi ke server Anda.”

Jika serangan digunakan secara terbatas untuk menargetkan hanya beberapa orang, cukup masuk ke akun email mereka melalui sesi VNC penyerang akan mengizinkan perangkat untuk terhubung ke akun di masa mendatang.

Karena VNC memungkinkan banyak orang untuk memantau sesi yang sama, penyerang dapat memutuskan sesi korban setelah akun masuk dan menyambung ke sesi yang sama nanti untuk mengakses akun dan semua emailnya.

Adapun cara melindungi diri Anda dari jenis serangan ini, semua saran phishing tetap sama: jangan klik URL dari pengirim yang tidak dikenal, periksa tautan yang disematkan untuk domain yang tidak biasa, dan perlakukan semua email sebagai mencurigakan, terutama saat meminta Anda untuk masuk ke akun Anda.

Sumber : Bleeping Computer

Kit Phishing Deteksi Rendah Semakin Melewati MFA

by

Semakin banyak kit phishing yang berfokus pada melewati metode otentikasi multi-faktor (MFA), para peneliti telah memperingatkan biasanya mereka mencuri token otentikasi melalui serangan man-in-the-middle (MiTM).

Menurut analisis dari Proofpoint, kit phishing bypass MFA berkembang biak dengan cepat, “mulai dari kit open-source sederhana dengan kode yang dapat dibaca manusia dan fungsionalitas tanpa embel-embel hingga kit canggih yang menggunakan banyak lapisan kebingungan dan modul bawaan yang memungkinkan untuk mencuri. nama pengguna, kata sandi, token MFA, nomor Jaminan Sosial, dan nomor kartu kredit.”

Para peneliti juga mencatat bahwa kit MFA-bypass mewakili titik buta keamanan, dengan alamat IP dan domain terkait yang sering kali diselingi oleh deteksi VirusTotal.

Trik Proxy Terbalik Transparan
Menurut Proofpoint, salah satu pendekatan kit phishing yang sangat populer adalah penggunaan transparent reverse proxies (TRPs), yang memungkinkan penyerang untuk memasukkan diri mereka ke dalam sesi browser yang ada. Pendekatan MiTM ini memungkinkan musuh bersembunyi dan mengumpulkan informasi saat informasi tersebut masuk atau muncul di layar.

Kit TRP menunjukkan “situs web sebenarnya kepada korban,” catat para peneliti dalam analisis hari Kamis. “Halaman web modern bersifat dinamis dan sering berubah. Oleh karena itu, menampilkan situs sebenarnya alih-alih faksimili sangat meningkatkan ilusi bahwa seseorang masuk dengan aman.”

Proofpoint mengatakan bahwa ada tiga kit TRP khususnya yang telah melihat peningkatan yang digunakan belakangan ini.

Modlishka
Proofpoint mengatakan bahwa ini memungkinkan pengguna untuk melakukan phishing hanya pada satu situs pada satu waktu. Ini menggunakan antarmuka baris perintah dan memiliki mekanisme berbasis GUI untuk mencuri kredensial dan informasi sesi, tambah mereka.

“Modlishka juga mengintegrasikan Let’s Encrypt sehingga dapat membuat halaman arahan domain palsu sedikit lebih dapat dipercaya dengan mengenkripsi lalu lintas dan memberikan gembok kecil di bilah web,” kata mereka.

Muraena/Necrobrowser
Muraena berjalan di sisi server dan menggunakan crawler untuk memindai situs target untuk memastikan situs tersebut dapat menulis ulang semua lalu lintas yang diperlukan dengan benar, untuk tidak memperingatkan korban. Ini memanen kredensial dan cookie sesi korban, lalu menyebarkan Necrobrowser.

Necrobrowser merupakan browser tanpa GUI yang digunakan untuk otomatisasi, yang memanfaatkan cookie sesi yang dicuri untuk masuk ke situs target dan melakukan hal-hal seperti mengubah kata sandi, menonaktifkan pemberitahuan Google Workspace, membuang email, mengubah kunci sesi SSH di GitHub dan unduh semua repositori kode.

Evilginx2

Keunggulannya adalah pengaturan yang mudah dan kemampuan untuk menggunakan “phishlet” yang telah diinstal sebelumnya, yaitu file konfigurasi yaml yang digunakan mesin untuk mengonfigurasi proxy ke situs target. Pengguna juga dapat membuat phishlet baru.

Setelah korban mengklik tautan berbahaya, mereka dibawa ke halaman aman untuk masuk, di mana penyerang mengangkat kredensial, kode MFA, dan cookie sesi.

Meskipun alat-alat ini bukan hal baru, mereka semakin sering digunakan untuk melewati MFA, perusahaan mencatat, yang mengkhawatirkan karena kurangnya deteksi. Peneliti dari Stony Brook University dan Palo Alto Networks mengembangkan alat yang berhasil mengidentifikasi 1.200 situs phishing MitM. Namun, hanya 43,7 persen dari domain tersebut dan 18,9 persen alamat IP mereka yang muncul di VirusTotal – meskipun memiliki masa hidup hingga 20 hari atau lebih.

Selengkapnya : Threat Post