EvilProxy AiTM — 第1部分：技术解析

使用EvilProxy的中间人攻击正作为一种网络钓鱼威胁不断增长，其能够窃取MFA令牌的能力使其快速成为网络钓鱼的唯一方法。

这是一个分为两部分的文章，第1部分是我使用蜜罐租户遭受网络钓鱼的完整过程解析，第2部分则是针对此攻击的检测机会。

初始邮件链接

通常存在一个重定向链——往往从一个"合法"网站开始。我观察到LinkedIn、Bing、Microsoft、Google、百度等平台都被用于混淆初始链接。这可能成为另一个项目——枚举重定向方案。

很多时候，受害者的电子邮件会在URL中进行Base64编码。同样，如果你能对域名进行Base64编码，这可能创建一个可用的签名——尽管我注意到很多营销邮件等也做同样的事情。

通常存在一个用于绕过沙箱的验证码，如此例所示。Cloudflare是我经常见到的一个。

在这个例子中，我们有一个"正在尝试为您登录"的页面——这可能是为了增加网络钓鱼的真实性。

这最终导向：

注意——这是我的背景。通过使用受害者组织的背景，网络钓鱼立即变得更具说服力。

关于检测的另一篇博客文章包含了我嵌入背景中的覆盖层，以及一些可用于检测受害者加载此背景的搜索方法。

当我输入正确的密码时（它会检查，我们可以在Azure登录日志中看到），我们会收到一个MFA提示，就像任何正常登录一样。然后我可以在手机上接受它，它会将我重定向到一个合法的office.com页面，以避免用户怀疑。

不幸的是，我的蜜罐租户没有特别大的许可证，也没有真正部署任何东西，比如Microsoft 365。这意味着虽然我可以检查登录日志，但只能查看一周内的数据，而且我无法真正看到后续步骤。

我的理解是，通常这会导致设置恶意邮件转发规则，并建立替代的MFA方法，以便攻击者可以在账户中建立持久性。这可能是必需的，因为我想象这些账户通常会卖给初始访问经纪人。

然而，我们可以看到的是：

在诊断工具中：

在日志中：

OfficeHome应用程序——我观察到这很常见，但不一定总是如此。这与其他一些博客文章一致： https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/ https://jeffreyappel.nl/protect-against-aitm-mfa-phishing-attacks-using-microsoft-technology/ （非常好的博客文章——一定要阅读这个！）
虽然我这里只有1个IP，但之前我见过多个（可检测的——见下文）。通常我看到多个IP是因为密码不正确——大概威胁行为者正在尝试多个IP以防地理或其他限制。

关于IP的更多信息：

我们可以在这里看到一个VPS服务，根据我自己的观察，这典型地用于身份验证的后端服务。通过在我们的登录上叠加良好的IP情报，我们也可能检测到这一点。