EvilProxy AiTM — 第一部分：实战演练

使用EvilProxy的中间人攻击（AiTM）正逐渐成为增长型的网络钓鱼威胁，其能够窃取多因素认证（MFA）令牌的特性，使其快速成为网络钓鱼的唯一有效方法。

这是由两部分组成的文章，第一部分将展示我使用蜜罐租户遭受网络钓鱼的完整过程，第二部分则探讨由此产生的检测机会。

第二部分：
https://medium.com/@martinconnarty/adversary-in-the-middle-detection-44dca2f79943

初始邮件链接

攻击通常包含重定向链——往往从"合法"网站开始。我观察到LinkedIn、Bing、Microsoft、Google、百度等平台都被用于混淆初始链接。这可能成为另一个研究项目——枚举重定向方案。

很多时候，受害者的邮箱地址会在URL中进行Base64编码。同样地，如果你能对域名进行Base64编码，这可能形成可用的检测特征——尽管我注意到许多营销邮件也采用相同手法。

验证码
通常会遇到这种绕过沙箱的验证码。Cloudflare是我经常见到的一种。

在此案例中，会出现"正在尝试为您登录"的页面——这可能是为了增加钓鱼攻击的真实性。

尝试登录
最终会跳转到：

我的过渡页
注意——这是我的背景图。通过使用受害组织的背景图，钓鱼页面立即显得更加可信。

关于检测的另一篇博客文章包含了我嵌入背景图中的覆盖层，以及可用于检测受害者加载此背景图的一些搜索方法。

MFA窃取
当我输入正确密码时（系统会验证密码，这可在Azure登录日志中查看），就像正常登录一样会出现MFA提示。我可以在手机上批准验证，随后页面会重定向到合法的office.com页面以避免用户怀疑。

查看日志
遗憾的是我的蜜罐租户没有大型许可证，也没有部署Microsoft 365等实际应用。这意味着虽然我能查看登录日志，但只能查询一周内的数据，无法真正观察到后续步骤。

据我了解，攻击者通常会设置恶意邮件转发规则，并建立替代的MFA方法，以便在账户中维持持久性。这可能是必要的，因为我推测这些账户通常会转卖给初始访问经纪人。

但我们能够观察到：

诊断工具中：
登录信息

日志中：
更多登录详情

OfficeHome应用——我观察到这相当常见，但并非绝对。这与其他一些博客文章的描述一致： https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/ https://jeffreyappel.nl/protect-against-aitm-mfa-phishing-attacks-using-microsoft-technology/ （非常优秀的博客文章——强烈推荐阅读！）
虽然这里只显示1个IP，但之前我观察到多个（可检测的——见下文）。通常出现多个IP是因为密码错误——推测威胁行为人在尝试多个IP以规避地理或其他限制。

关于IP的更多信息：
IP检查
我们可以看到这里使用了VPS服务，根据我的观察，这典型地用于身份验证的后端服务。通过在登录日志上叠加良好的IP情报，我们或许也能检测到此类活动。