LIMITIS
Telefone

(11) 4118-4418

Simulações de Phishing em Red Team: Usando Evilginx2 e GoPhish

Neste artigo, exploramos o uso do Evilginx2 e do Gophish em simulações de phishing voltadas para red Team. Nosso objetivo é fornecer uma análise aprofundada e destacar aspectos práticos que frequentemente passam despercebidos em documentações e tutoriais tradicionais, oferecendo um olhar mais estratégico sobre essas ferramentas.

Abordagens

Ao configurar uma campanha de phishing para red team, você tem três opções:

  1. Clonar a página e apenas coletar dados.
  2. Clonar a página e verificar os dados capturados em uma página legítima.
  3. Realizar um ataque man-in-the-middle, onde sua página atua como proxy entre a vítima e o site legítimo.

Evilginx2

O terceiro método é realizado com o evilginx2, que, apesar do nome, não possui o nginx integrado. No entanto, sua funcionalidade é semelhante, com filtros embutidos e funções como inject_js, que tornam a vida do atacante mais prática.

Gophish

O gophish é uma ferramenta que permite gerenciar grupos e usuários, criar e-mails dinamicamente e enviá-los conforme necessário.

Integração

Recentemente, o Evilginx recebeu uma atualização (versão 3.3) que introduziu integração com o Gophish, uma estrutura para campanhas de phishing. Já existiram vários projetos semelhantes no passado, como o gophish1, mas neste texto vou focar no evilginx oficial desenvolvido por K. Gretzky.

Mais informações sobre a atualização e uma demonstração podem ser encontradas aqui: https://breakdev.org/evilginx-3-3-go-phish/

Ambas as ferramentas são desenvolvidas em Golang, uma linguagem relativamente fácil de entender.

Experiência com o Evilginx2

Um proxy malicioso com o evilginx apresenta várias desvantagens em comparação à simples clonagem de página.

  • Em primeiro lugar, a configuração é muito mais complicada.
  • Na clonagem, basta baixar os arquivos necessários por ferramentas de desenvolvedor e adicionar a funcionalidade de armazenar senhas via backend.
  • No caso do evilginx, é necessário um arquivo de configuração e um phishlet, que funciona como um modelo para o proxy de phishing. Configurar e rodar o evilginx2 na versão de produção levou mais de uma semana, enquanto a clonagem seria bem mais rápida.

Por outro lado, o evilginx escala muito melhor. Após aprender a criar phishlets, você pode alterar cenários de phishing facilmente, já que adicionar novos templates é trivial.

Entretanto, a documentação do projeto é bastante limitada e pouco útil para quem não tem experiência com o evilginx2. Algumas funcionalidades não estão documentadas, e é preciso ler e depurar o código-fonte para entender seu comportamento.

O projeto oferece um curso de excelente qualidade por US$ 400, mas isso substitui a documentação até certo ponto, o que não parece ideal. Ou é um projeto open-source completo, ou não é; neste caso, parece ser apenas open-code.

Além disso, o projeto possui muitos problemas abertos e bugs que não são resolvidos. Se você levar phishing a sério, provavelmente terá que editar o código-fonte e usar sua própria versão. Por exemplo, enviei uma solicitação de PR para corrigir um POST de uma requisição GET há três semanas2, mas ela ainda não foi aceita.

Mesmo assim, o evilginx2 é o melhor projeto do gênero. Depois de aprender seus detalhes e adaptá-lo às suas necessidades, ele se torna uma ferramenta poderosa para realizar campanhas automatizadas de todos os tipos.

Experiência com o Gophish

O gophish também não é atualizado frequentemente, mas até agora não encontrei bugs. Apesar de possuir uma API, ela carece de algumas funcionalidades úteis, como o relatório de eventos.

A comunidade de templates de e-mail do gophish é bastante ativa. É provável que você encontre réplicas prontas, como e-mails do o365, economizando tempo de criação.

A interface é muito boa, e recursos como a linha do tempo de eventos são apreciados pelos clientes nos relatórios.

Superando medidas anti-phishing

Se você enviar e-mails por um serviço conhecido, como o o365 ou Gmail, é recomendável primeiro configurar uma instância para coletar IPs de rastreadores, que podem ser bloqueados na instância de produção.

Além disso, ter um servidor SMTP com boa reputação é essencial. Não recomendo construir seu próprio servidor SMTP; em vez disso, utilize um serviço de e-mail com domínio próprio e boa reputação, como o Gmail Business.

Resumo

  • O evilginx2 oferece recursos avançados e escalabilidade, mas sua configuração complexa e documentação limitada são obstáculos significativos.
  • O gophish fornece ferramentas robustas de gerenciamento de campanhas, mas sofre com funcionalidade limitada na API.
  • Ambos exigem customização e entendimento aprofundado para uso eficaz em operações de red team.
  • Dominar as duas ferramentas traz recompensas significativas.

Obrigado por ler! Feedbacks são bem-vindos!

Referências

  • [1]: https://github.com/fin3ss3g0d/evilgophish 
  • [2]: https://github.com/kgretzky/evilginx2/pull/1047 
  • [3]: https://github.com/kgretzky/gophish

  • Rua Coronel José Eusébio, Nº95, C 13 CEP - 01239-030 Higienópolis, São Paulo - SP
Copyright © Limits 2024. Todos os direitos reservados.