02/04/25
На первый взгляд, Evilginx — это просто ещё один инструмент в арсенале атакующих. Однако за этим невзрачным названием скрывается одна из самых изощрённых реализаций схемы Adversary-in-the-Middle (AitM). По данным исследователей Sophos, основанный на легитимном веб-сервере nginx, этот инструмент превращает привычный механизм проксирования в механизм кражи сессий.
Принцип работы Evilginx заключается в создании фишингового сайта, максимально имитирующего внешний вид популярных сервисов, таких как Microsoft 365, пишут в Securitylab. Всё, что видит жертва — это настоящие формы входа и изображения, полученные напрямую с легитимного сайта. Но каждое действие пользователя проходит через сервер злоумышленника, где перехватываются данные — логины, пароли, cookie и токены авторизации. Это позволяет обойти защиту, основанную на двухфакторной аутентификации, включая push-уведомления и OTP-коды.
В процессе атаки ключевым элементом становится сессионный токен, особенно если жертва выбирает опцию «Оставаться в системе». Этот токен перехватывается и сохраняется в базу данных вместе с IP-адресом, user-agent и другими параметрами. После этого атакующий может просто импортировать cookie в свой браузер и получить доступ к почтовому ящику или другому сервису от имени жертвы — как будто вошёл в систему сам пользователь.
Последствия подобного взлома могут быть серьёзными: доступ к письмам, перенаправление входящей корреспонденции с помощью новых правил, сброс настроек MFA и замена пароля. Всё это — инструменты для закрепления в системе и подготовки новых атак.
Для защиты Microsoft предоставляет несколько уровней логирования и мониторинга. Журналы входа в Entra ID (ранее Azure AD) и унифицированный аудит Microsoft 365 позволяют обнаружить аномальную активность. Примеры включают попытки входа с подозрительных IP-адресов, смену устройств MFA и появление неожиданных правил переадресации писем.
Для защиты специалисты призывают переходить к более стойким формам аутентификации. FIDO2 и аппаратные ключи вроде Yubikey, а также биометрическая аутентификация через Apple Touch ID или Windows Hello обеспечивают реальную стойкость к фишинговым схемам. Кроме того, политики условного доступа позволяют ограничить вход только с доверенных устройств, а не просто IP-адресов.
Тем не менее, даже при лучшей технической защите остаётся фактор человеческой ошибки. Ни один пользователь не застрахован от фишинга, а потому архитектура безопасности должна предусматривать устойчивость к подобным сбоям. В случае успешной атаки необходимо оперативно отозвать все сессии и токены через Entra ID и Microsoft 365, сбросить пароли и настройки MFA, а также проверить журналы на предмет скрытых изменений, таких как правила почты.
