Qualquer pessoa pode rastrear você online em menos de 10 minutos — e é completamente legal. Visual: tela preta + cursor piscando. Subtítulo: "O que é OSINT e por que isso muda tudo para sua empresa." 02 Slide OSINT não é espionagem. É investigação com dados que você mesmo deixou para trás. Open Source Intelligence = inteligência gerada a partir de fontes públicas: redes sociais, registros, domínios, metadados. Tudo legal. Tudo disponível. E tudo sobre você. 03 Slide Empresas perdem processos por não saber o que está publicado sobre elas. Documentos vazados, e-mails esquecidos, fotos com metadados, contratos em cache. A prova que condena sua empresa pode estar indexada no Google agora. 04 Slide Provas digitais têm validade legal — mas só se coletadas corretamente. Print de tela não serve em juízo. Hash criptográfico, timestamp certificado e cadeia de custódia são o que diferenciam evidência de suposição. 05 Slide O erro mais comum: descobrir a prova e destruí-la sem querer ao ...
À medida que as organizações trabalham para se tornar cada vez mais seguras, implementar a autenticação multifator é geralmente uma das primeiras coisas que fazem, pois geralmente é simples de implementar e altamente eficaz. No entanto, mesmo com a MFA em vigor, ela ainda pode ser abusada por agentes de ameaças que obtêm acesso às contas.
Hoje vou falar sobre uma ferramenta red team chamada EvilGinx2 . EvilGinx2 é uma estrutura de ataque man-in-the-middle usada para credenciais de login de phishing junto com cookies de sessão, que por sua vez permite ignorar as proteções MFA.
Antes de começar, note que este NÃO é um tutorial de como implementar o EvilGinx2, mas apenas informações sobre a ferramenta e como ela pode ser útil durante seus compromissos.
Sem mais delongas, vamos pular para ele!
Você pode encontrar o Evilginx2 em sua página oficial do GitHub abaixo, um grande agradecimento a Kuba Gretzky, que criou uma ferramenta tão legal!
A ferramenta atua como um proxy entre um navegador e um site phishing. Ao implementar e configurar um domínio na Internet usando AWS ou Azure, você pode apontá-lo para seu host executando o Evilginx2.
EvilGinx2
Quando configurado, o Evilginx2 gerará um certificado válido para o site phishing e o clonará com base nos modelos já disponibilizados (por exemplo, Outlook ou Office365).
Site do Outlook clonado
Quando os usuários visitam o site clonado, eles serão solicitados a inserir seu nome de usuário e senha, juntamente com seu código MFA ou push prompt do Microsoft Authenticator. O usuário será redirecionado para o site legítimo e tudo parecerá normal.
No lado do Evilginx2, você poderá capturar o nome de usuário, a senha e o cookie de autenticação. O que é mais interessante aqui é o cookie, pois contém todas as informações de autenticação de que precisamos para fazer login como usuário sem realmente fazer login.
Sessão capturada com nome de usuário, senha e cookie
Podemos simplesmente copiar o cookie obtido do Evilginx2 e usar uma ferramenta de edição de cookies para importar o cookie roubado. Depois que o cookie é importado, é tão fácil quanto navegar até o aplicativo e você estará conectado!
Usando EditThisCookie para importar o cookie capturado
Como você provavelmente já sabe, a implementação da MFA pode ajudar a impedir o acesso não autorizado às contas. No entanto, é importante perceber que existem maneiras de contornar essas proteções e os agentes de ameaças estão sempre procurando maneiras de contorná-las. Nesse caso específico, é importante fornecer aos usuários finais um treinamento de phishing agendado regularmente para ajudar a detectar e-mails de phishing que podem levar a um comprometimento.
Se você quiser brincar com o Evilginx2 por conta própria, existem vários blogs ou vídeos com instruções passo a passo sobre como configurar a infraestrutura e testá-la.
Comentários
Postar um comentário