EvilProxy AiTM — 第1部分：技术剖析

使用EvilProxy的中间人攻击（AiTM）正逐渐成为日益严重的网络钓鱼威胁，其能够窃取多因素认证（MFA）令牌的能力，使其快速成为网络钓鱼的主要手段。

这是一个分为两部分的文章，第1部分将带领大家了解我使用蜜罐租户遭受网络钓鱼的经历，第2部分则探讨由此带来的检测机会。

初始邮件链接

通常存在一个重定向链——往往始于一个“合法”网站。我观察到像LinkedIn、Bing、Microsoft、Google、百度等平台都被用来混淆初始链接。这可能成为另一个研究项目——枚举这些重定向方案。

很多时候，受害者的电子邮件地址会在URL中进行Base64编码。同样，如果你能对自己的域名进行Base64编码，这可能会形成一个可用的特征签名——尽管我注意到许多营销邮件等也会做同样的事情。

通常会出现一个用于绕过沙箱的验证码，如上图所示。Cloudflare是我经常见到的一种。

在这个例子中，我们遇到了一个“正在尝试登录”的页面——这可能是为了增加网络钓鱼的真实性。

正在尝试登录

这最终导向：

我的闪屏页面

注意——这是我的背景。通过使用受害组织的背景，网络钓鱼立即变得更具说服力。

当我输入正确的密码时（它会进行检查，我们可以在Azure登录日志中看到），我们会像在任何正常登录时一样收到MFA提示。然后我可以在手机上接受该提示，它会将我重定向到一个合法的office.com页面，以避免用户怀疑。

重定向后

不幸的是，我的蜜罐租户没有特别大的许可证，也没有真正部署任何像Microsoft 365这样的东西。这意味着虽然我可以检查登录日志，但只能查看一周内的数据，并且无法真正看到后续步骤。

我的理解是，这通常会导致设置恶意的邮件转发规则，并建立替代的MFA方法，以便攻击者可以在账户中建立持久性。这可能是必需的，因为我想象这些账户通常会出售给初始访问经纪人。

然而，我们可以看到的是：

在诊断工具中：

在日志中：登录-更多

OfficeHome应用程序——我观察到这相当常见，但不一定总是如此。这与其他一些博客文章一致： https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/ https://jeffreyappel.nl/protect-against-aitm-mfa-phishing-attacks-using-microsoft-technology/ （非常好的博客文章——务必阅读！）
虽然我这里只有一个IP，但之前我见过多个（可检测的——见下文）。通常我看到多个IP的情况是由于密码错误——推测威胁行为者正在尝试多个IP以应对地理或其他限制。

关于IP的更多信息： IP检查

我们可以在这里看到一个VPS服务，根据我自己的观察，这典型地用于身份验证的后端服务。通过在我们的登录信息上叠加良好的IP情报，我们或许也能检测到这一点。