MFA бессилен: Evilginx перехватывает сессии, не оставляя следов

На первый взгляд, Evilginx — это просто ещё один инструмент в арсенале атакующих. Однако за этим невзрачным названием скрывается одна из самых изощрённых реализаций схемы Adversary-in-the-Middle (AitM), позволяющая обойти даже многофакторную аутентификацию. По данным исследователей Sophos, основанный на легитимном веб-сервере nginx, этот инструмент превращает привычный механизм проксирования в механизм кражи сессий.

Принцип работы Evilginx заключается в создании фишингового сайта, максимально имитирующего внешний вид популярных сервисов, таких как Microsoft 365. Всё, что видит жертва — это настоящие формы входа и изображения, полученные напрямую с легитимного сайта. Но каждое действие пользователя проходит через сервер злоумышленника, где перехватываются данные — логины, пароли, cookie и токены авторизации. Это позволяет обойти защиту, основанную на двухфакторной аутентификации, включая push-уведомления и OTP-коды.

В процессе атаки ключевым элементом становится сессионный токен, особенно если жертва выбирает опцию «Оставаться в системе». Этот токен перехватывается и сохраняется в базу данных вместе с IP-адресом, user-agent и другими параметрами. После этого атакующий может просто импортировать cookie в свой браузер и получить доступ к почтовому ящику или другому сервису от имени жертвы — как будто вошёл в систему сам пользователь.

Последствия подобного взлома могут быть серьёзными: доступ к письмам, перенаправление входящей корреспонденции с помощью новых правил, сброс настроек MFA и замена пароля. Всё это — инструменты для закрепления в системе и подготовки новых атак.

Для защиты Microsoft предоставляет несколько уровней логирования и мониторинга. Журналы входа в Entra ID (ранее Azure AD) и унифицированный аудит Microsoft 365 позволяют обнаружить аномальную активность. Примеры включают попытки входа с подозрительных IP-адресов, смену устройств MFA и появление неожиданных правил переадресации писем.

Для защиты специалисты призывают переходить к более стойким формам аутентификации. FIDO2 и аппаратные ключи вроде Yubikey, а также биометрическая аутентификация через Apple Touch ID или Windows Hello обеспечивают реальную стойкость к фишинговым схемам. Кроме того, политики условного доступа позволяют ограничить вход только с доверенных устройств, а не просто IP-адресов.

Тем не менее, даже при лучшей технической защите остаётся фактор человеческой ошибки. Ни один пользователь не застрахован от фишинга, а потому архитектура безопасности должна предусматривать устойчивость к подобным сбоям. В случае успешной атаки необходимо оперативно отозвать все сессии и токены через Entra ID и Microsoft 365, сбросить пароли и настройки MFA, а также проверить журналы на предмет скрытых изменений, таких как правила почты.

Evilginx иллюстрирует опасность инструментов, основанных на легитимном софте, но использующихся в злонамеренных целях. Его способность обходить стандартные методы защиты делает его особенно опасным, но своевременные меры и переход к более устойчивой архитектуре аутентификации способны свести риски к минимуму.