一名安全研究人员在年初发布了一款新的渗透测试工具,该工具能够自动执行网络钓鱼攻击,从而轻松绕过登陆账户时的2FA(双重认证)保护。

这款新的工具名为Modlishka(波兰词mantis的英文发音),开发者为波兰研究员Piotr Duszyński。

IT专业人士将Modlishka称为反向代理,经过修改后,被用于处理登陆页面和网络钓鱼行为的流量。

该工具处于用户和目标网站之间(如Gmail、雅虎或者ProtonMail)。网络钓鱼受害者会连接到Modlishka服务器(托管一个钓鱼域),其背后的反向代理组件会向它要山寨的网站发送请求。

受害者会收到真实网站的认证内容(以谷歌为例),但是所有的流量和受害者使用的真实网站都会经过Modlishka服务器,并将其保存在该服务器上。

用户输入的任何密码都会自动记录在Modlishka的后端面板中,而当用户将其帐户配置为请求帐户时,反向代理也会提示用户输入2FA口令。

如果攻击者可以实时收集这些2FA口令,那么他们可以使用这些口令来登录受害者的账户,并建立新的且合法的会话。

研究人员还展示了一个视频,在该视频中,基于Modlishka的钓鱼网站会无缝载入真实的谷歌登录页面内容(无需使用模板),并记录凭据和用户可能看到的任何2FA代码。

Modlishka并不使用任何“模板”,即钓鱼攻击者所克隆的真实网站。由于所有内容都是从合法站点实时检索的,因此攻击者无需花费大量时间来更新和调整模板。

相反,攻击者所需要的是一个钓鱼域名(托管在Modlishka服务器上)以及一个有效的TLS证书,来避免警告用户网站缺少HTTPS连接。

最后一步是配置一个简单的配置文件,在用户发现这个可疑的钓鱼域名之前,攻击者会在网络钓鱼操作结束时将用户引导至真正的网站。

在一封发送给ZDNet的邮件中,Duszyński将Modlishka描述为一个“点选式”且“易于自动化”的系统,并且不怎么需要维护,这个不同于之前其他渗透测试人员所使用的钓鱼工具包。

研究人员告诉我们:“当我开始这一项目的时候(2018年早些时候),我的主要目标是编写一个易于使用的工具,当我每一次发动钓鱼攻击时,也就不需要固定的网页模板。”

“创建一个通用且易于自动化的反向代理(作为中间人攻击的发起者)的方法,似乎是最自然的方向。虽然在整个过程中出现了一些技术性挑战,但是整体的结果似乎是很值得的。”他补充道。

“我所编写的这个工具或许会改变行业规则,因为它可以被用作‘点选式’代理,允许轻松实现钓鱼行为的自动化,以及完全支持2FA(除了基于U2F协议的口令,即目前唯一的第二因子安全认证)。”

Duszyński向ZDNet表示:“在一些情况下,需要手动调整,但是工具会为这些提供完整支持,并且也会在未来对其进行改进。”

大赦国际于去年12月份发表的一篇报告表明,由国家赞助的高级行为发动者已经开始使用能够绕过2FA的网络钓鱼系统。

很多人现在都担心Modlishka可能会降低准入门槛,让所谓的“脚本小子”在几分钟之内就能建立钓鱼站点,并且不需要什么技术性技能。此外,这一工具将能够让网络犯罪团队很容易就创建出易于维护且难以被受害者发现的钓鱼页面。

当我们问他为什么要在GitHub上发布这个危险的工具时,Duszyński给出了一个很有意思的答案。

“我们需要面对这样一个事实,即如果没有一个可靠的概念证明,那么这个风险就是理论上的风险,因此就没有能够妥善解决这一问题的措施。”他说道。

“这一现状以及缺乏对于风险的意识,对于恶意行为的发动者来说是一个很完美的境地,他们也很乐意利用这一点。”

Duszyński表示,虽然他的工具能够根据短信和一次性代码来自动化钓鱼网站绕过2FA检查的过程,但是Modlishka还不足以应对基于硬件安全秘钥的U2F机制。

在开源许可下,Modlishka现可在GitHub上下载。Duszyński的博客也提供了其它信息。

原文作者:Catalin Cimpanu

信息化和软件服务网 - 助力数字中国建设 | 责编:赵曜 左右