Trong bối cảnh an ninh mạng ngày càng phức tạp, các tác nhân đe dọa đang chuyển sang sử dụng các công cụ tinh vi để vượt qua các lớp bảo mật truyền thống. Một trong số đó là Evilginx, một công cụ adversary-in-the-middle (AiTM) mạnh mẽ. Công cụ này được thiết kế để vượt qua xác thực đa yếu tố (MFA) và chiếm quyền kiểm soát các tài khoản đám mây, sử dụng một kỹ thuật tấn công mạng phức tạp và khó phát hiện.

Khung công tác Evilginx hoạt động như một proxy ngược giữa nạn nhân và các trang đăng nhập Single Sign-On (SSO) thực tế. Nhờ vậy, màn hình đăng nhập hiển thị cho người dùng trông và hoạt động hệt như trang thật.

Đối với người dùng, trang web giả mạo này có vẻ bình thường, với chứng chỉ TLS hợp lệ và nhận diện thương hiệu quen thuộc. Điều này giúp các cuộc tấn công trở nên đáng tin cậy hơn, làm giảm khả năng nghi ngờ của nạn nhân.

Cơ chế hoạt động của Evilginx: Vượt qua Xác thực Đa yếu tố (MFA)

Các cuộc tấn công bằng Evilginx thường bắt đầu bằng các email lừa đảo (phishing) được nhắm mục tiêu. Những email này dẫn dụ nạn nhân đến các cổng thông tin SSO giả mạo được tạo ra một cách tỉ mỉ.

Các trang giả mạo này sao chép bố cục, script và luồng hoạt động của các nền tảng nhận dạng phổ biến, bao gồm cả cổng SSO cấp doanh nghiệp.

Khi người dùng nhập thông tin đăng nhập và hoàn tất MFA, Evilginx sẽ âm thầm thu thập các cookie phiên và token. Đồng thời, nó vẫn chuyển tiếp lưu lượng truy cập đến nhà cung cấp dịch vụ thực tế.

Quá trình này minh họa việc chuyển tiếp có dàn dựng từ nạn nhân đến nhà cung cấp danh tính, nơi thông tin nhạy cảm bị đánh cắp trong thời gian thực.

Các chiến dịch thực tế và sự dịch chuyển rủi ro

Các nhà phân tích bảo mật của Infoblox đã xác định các chiến dịch gần đây sử dụng Evilginx để mạo danh các trang SSO hợp pháp của công ty. Mục tiêu là đánh cắp token cho các nền tảng email và cộng tác.

Nghiên cứu của Infoblox chỉ ra rằng các cookie bị đánh cắp cho phép kẻ tấn công phát lại các phiên làm việc mà không cần mật khẩu hoặc mã MFA nữa.

Điều này làm cho rủi ro bảo mật dịch chuyển từ việc đánh cắp thông tin đăng nhập cổ điển sang chiếm đoạt phiên làm việc hoàn toàn (full session hijack). Điều này đặc biệt nguy hiểm vì nó bỏ qua các biện pháp bảo mật dựa trên mật khẩu và MFA.

Xem thêm phân tích về cơ sở hạ tầng được sử dụng trong các cuộc tấn công SSO tại: Infoblox – DNS Uncovers Infrastructure Used in SSO Attacks.

Tác động và Hậu quả của Việc chiếm đoạt Phiên làm việc với Evilginx

Tác động của việc chiếm đoạt phiên làm việc là rất nghiêm trọng đối với cả công ty và người dùng. Với một token phiên hoạt động, kẻ tấn công có thể thực hiện nhiều hành vi độc hại.

• Đọc và gửi email.
• Đặt lại mật khẩu trên các ứng dụng liên kết.
• Triển khai các phương pháp MFA mới để duy trì quyền truy cập.
• Cài đặt cửa hậu (backdoor) để truy cập lâu dài.

Những hành vi này có thể dẫn đến nhiều hậu quả nghiêm trọng như:

• Business Email Compromise (BEC): Lừa đảo qua email doanh nghiệp.
• Đánh cắp dữ liệu nhạy cảm.
• Truy cập ẩn danh kéo dài mà khó có thể truy dấu trở lại cú nhấp chuột phishing ban đầu.

Luồng tấn công này cho thấy cách các cookie bị đánh cắp mở khóa các dịch vụ hạ nguồn, cung cấp quyền truy cập rộng rãi vào hệ thống và dữ liệu của nạn nhân.

Kỹ thuật né tránh phát hiện của Evilginx trong An ninh mạng

Một trong những yếu tố quan trọng trong việc phân tích kỹ thuật của Evilginx là cách nó tránh bị phát hiện trong suốt quá trình tấn công.

Khung công tác này chuyển tiếp tất cả nội dung từ trang SSO thực tế, bao gồm script, kiểu dáng và các yêu cầu động. Điều này khiến các kiểm tra trực quan truyền thống gần như vô dụng.

Hơn nữa, Evilginx sử dụng các chứng chỉ SSL/TLS thực trên các tên miền giả mạo (lookalike domains). Do đó, biểu tượng khóa bảo mật trên trình duyệt vẫn hiển thị màu xanh và đáng tin cậy, đánh lừa người dùng.

Về mặt kỹ thuật, Evilginx hoạt động như một proxy, chuyển tiếp và ghi lại các tiêu đề (headers) HTTP để duy trì phiên làm việc. Đồng thời, nó loại bỏ các cookie nhạy cảm để đánh cắp.

Bằng cách ghi lại cookie ở lớp proxy, kẻ tấn công có thể thu thập dữ liệu phiên trước khi nó được bảo vệ bởi thiết bị của người dùng hoặc các công cụ bảo mật của công ty.

Quy trình này minh họa cách các tiêu đề và cookie luân chuyển qua proxy, làm nổi bật các điểm mà token bị chặn lại. Điều này thể hiện sự khéo léo của Evilginx trong việc lẩn tránh các biện pháp an ninh thông thường.