EvilProxy AiTM — 第1部分：技术剖析

使用EvilProxy的中间人攻击（AiTM）正逐渐成为增长中的网络钓鱼威胁，其能够窃取MFA令牌的特性使其快速成为网络钓鱼的主要手段。

这是由两部分组成的文章，第1部分将详细记录我使用蜜罐租户遭受钓鱼攻击的全过程，第2部分将探讨由此产生的检测机会。

初始邮件链接

攻击通常包含重定向链——往往从"合法"网站开始。我观察到LinkedIn、Bing、Microsoft、Google、百度等平台都被用于混淆初始链接。这可能成为另一个研究项目——枚举重定向方案。

受害者的邮箱地址通常以Base64编码形式出现在URL中。虽然营销邮件也常采用相同技术，但将域名进行Base64编码可能创建出可用于检测的特征签名。

攻击中经常出现用于绕过沙箱的验证码，Cloudflare是较常见的类型。

在此案例中，攻击者使用"正在尝试为您登录"页面来增加钓鱼的真实性，最终引导至：

我的过渡页面注意——这是我设置的背景。通过使用受害组织的背景，钓鱼页面立即显得更加可信。

关于检测的另一篇博客文章包含了我嵌入背景中的覆盖层，以及可用于检测受害者加载此背景的搜索方法。

当我输入正确密码时（系统会验证密码，这可在Azure登录日志中查看），就像正常登录一样会出现MFA提示。我在手机上接受验证后，页面会重定向到合法的office.com页面以避免用户怀疑。

遗憾的是我的蜜罐租户许可证较小，且未部署Microsoft 365等服务。这意味着虽然可以查看登录日志，但只能获取一周内的数据，无法完整追踪后续攻击步骤。

据我了解，此类攻击通常会导致恶意邮件转发规则的设置，以及替代MFA方法的建立，使攻击者能够在账户中保持持久访问权限。这可能是必要的，因为这些账户通常会被转售给初始访问经纪人。

从诊断工具中我们可以看到：登录信息

在日志中：更多登录细节

OfficeHome应用程序——我观察到这很常见但并非绝对。这与某些其他博客文章一致：
- Microsoft安全博客文章链接
- Jeffrey Appel的技术防护博客（强烈推荐阅读！）
虽然这里只显示1个IP，但我之前观察到多个IP（可检测——详见下文）。通常出现多个IP是因为密码错误——推测威胁行为者尝试使用多个IP以规避地理或其他限制。

关于IP的更多信息： IP检查我们可以看到VPS服务，根据我的观察，这典型地用于身份验证的后端服务。通过在登录信息上叠加良好的IP情报，我们可能也能检测到此类活动。

请参阅我关于检测方法的另一篇博客文章。

关注作者Martin Connarty获取更多安全技术内容