Dem Phishing-Netz entkommen: Kryptographische Methoden im Kampf gegen Reverse-Proxy-Angriffe

defence

In diesem Blogpost beschäftigt sich Ksandros Apostoli vom SEC Consult DFIR-Team mit der Frage, warum es oft am schwierigsten ist, der ursprünglichen Kompromittierung von Benutzerdaten auf den Grund zu gehen.

Phishing Login Daten

In den meisten dieser Fälle hatten die Opfer MFA in ihrer Infrastruktur aktiviert, aber dennoch gaben die *Audit Logs* nicht sofort Aufschluss über anomale Aktivitäten. Erfahrungsgemäß sind Phishing-Kampagnen die Hauptschuldigen, wenn es zu einer unerklärlichen ersten Kompromittierung kommt. Herkömmliche Erkennungsmethoden für Phishing lieferten bei dieser neuen Welle von Vorfällen jedoch keine Ergebnisse. 

Nach einigen internen Untersuchungen kam unser Team zu demselben Ergebnis, das Microsoft etwa einen Monat später bekannt geben sollte: Reverse-Proxy-Phishing-Frameworks wie EvilginX, Modlishka und Muraena waren daran schuld.

Etwa ein weiteres Jahr später, Ende Mai 2023, nahm Ksandros Apostoli vom SEC Defence Team, an der x33fcon teil, wo er sich den Vortrag vom Drahtzieher von EvilginX, Kuba Gretzky alias @mrgretzky, ansah. Sein Vortrag über EvilginX mit dem Titel "*How much is the Phish?*" inspirierte ihn zu diesem Blogpost. 

Nähere Informationen finden Sie in unserem englischen Blogpost. 

 

Dieser Blogpost wurde von Ksandros Apostoli geschrieben und im Auftrag von SEC Defence veröffentlicht. 

Interessieren Sie sich für eine Karriere bei SEC Consult?

SEC Consult ist immer auf der Suche nach talentierten Sicherheitsexpert:innen, die unser Team verstärken möchten.