Evil-noVNC: Gerçekçi Bir Kimlik Avı Simülasyonu

Evil-noVNC: Gerçekçi Bir Kimlik Avı Simülasyonu Genel Bakış

EvilnoVNC , saldırganların canlı oturum verilerini yakalayarak Çok Faktörlü Kimlik Doğrulamayı (MFA) tamamen atlatmasını sağlayan gelişmiş bir Ortadaki Saldırgan (AiTM) kimlik avı yöntemidir.

İşte nasıl çalıştığı:

• Saldırgan , VNC/X11 sanal masaüstü ortamının içinde bir tarayıcı oturumu kurar .
• Daha sonra bu oturum noVNC kullanılarak internet üzerinden erişilebilir hale getirilir ve uzaktan tarayıcı etkileşimine izin verilir.
• Saldırgan bu sanal tarayıcı içerisinde gerçek bir oturum açma sayfası (örneğin Gmail, Microsoft 365) yükler.
• Bu oturumun kimlik avı bağlantısı kurbana e-posta, QR kodu veya diğer sosyal mühendislik taktikleri aracılığıyla iletilir.
• Mağdur, gerçek oturum açma arayüzüyle etkileşime girdiğinde, saldırgan sessizce kullanıcı kimlik bilgilerini, MFA kodlarını ve etkin oturum çerezlerini yakalar ve hesabın tamamen ele geçirilmesini sağlar

Bu teknik, gerçek olandan neredeyse ayırt edilemez hale getiren, meşru görünümlü bir oturum açma akışı sunar; bu da EvilnoVNC’yi modern kimlik avı cephaneliğindeki güçlü bir araç haline getirir.

Ön koşul

• Kali Linux veya Python ve Docker yüklü herhangi bir Linux dağıtımı
• EvilnoVNC deposu klonlandı ( GitHub )
• Python3
• krom

Kurulum

Aracı Klonlayın ve Kurun

Öncelikle EvilnoVNC deposunu klonlayıp gerekli tüm bağımlılıkları (Python3, Flask, noVNC paketleri ve X11 desteği) yükleyerek başlayalım.

git clone https://github.com/JoelGMSec/EvilnoVNC
cd EvilnoVNC
sudo chown -R 103 Downloads

Docker’ın derleme bağlam dosyalarına uygun erişime sahip olduğundan emin olmak için, öncelikle İndirilenler dizininin sahipliği, konteynerin dahili kullanıcısıyla eşleşecek şekilde değiştirilir.

Daha sonra Evil-noVNC kimlik avı ortamı bir Docker imajına paketlenerek konteynerize dağıtıma hazırlanır.

Uygulamak

Hedefli Kimlik Avı Sayfasıyla Evil-noVNC’yi Başlatma

Bu adım, tüm betikleri çalıştırılabilir hale getirir. Ardından, belirtilen çözünürlükte bir Docker konteynerinin içinde sanal bir masaüstü başlatır ve gerçek Gmail oturum açma sayfasını bir tarayıcıda açarak, WebSockets üzerinden noVNC aracılığıyla etkileşimli olarak kullanıma sunar.

Mağdur Görüşü – Aldatıcı Bağlantı

Bir kimlik avı bağlantısı (e-posta, metin, QR) alıyoruz. Açıldığında gerçek Google oturum açma sayfasını görüyoruz , ancak bu sayfa saldırganın tarayıcısındaki noVNC oturumu aracılığıyla sunuluyor; aldatmacanın özü bu.

Oradan, bilindik bir giriş akışına geçiyoruz:

Öncelikle e-posta adresimizi giriyoruz .

Sırada şifremiz var .

Son olarak Çok Faktörlü Kimlik Doğrulama’yı (MFA) tamamlıyoruz .

Bilmeden attığımız her adım, kimlik bilgilerimiz, MFA kodlarımız ve oturum çerezlerimiz de dahil olmak üzere saldırgan tarafından gerçek zamanlı olarak görülebilir ve bu da onlara hesabımıza tam erişim sağlar.

Not: Temel fikir, noVNC oturumunun gerçek oturum açma sayfasını görsel olarak yerel bir tarayıcı sekmesiyle aynı şekilde görüntülemesidir; bu da Tarayıcı İçinde Tarayıcı (BitB) tekniğini geleneksel sahte sayfalardan veya HTML klonlarından çok daha ikna edici kılar.

http://192.168.1.39 adresindeki bir bağlantıya eriştik ve farkında olmadan saldırganın VNC tarayıcısının içinde çalışan gerçek Gmail arayüzüyle etkileşime girdiğimiz bir kimlik avı oturumuna girdik; tüm girdilerimiz sessizce onların ortamında yakalandı.

Not: Burada görülen Gmail giriş sayfası sahte bir klon değil , saldırganın VNC tabanlı tarayıcısına yüklenen gerçek Gmail arayüzüdür . NoVNC üzerinden erişildiği için, kurbanın tüm girdileri saldırganın ortamında oluşturulur .

Saldırgan Görünümü – Kontrol Edilen Tarayıcı

Gmail, saldırganın yerel bilgisayarında açık kalır ve bize Dockerize edilmiş VNC oturumu içindeki kurbanın eylemlerinin gerçek zamanlı bir görünümünü sunar. Bu, Evil-noVNC’nin herhangi bir kod enjeksiyonu veya HTTP proxy’si olmadan tam etkileşimli kontrol sağlama gücünü gösterir.

Temel Avantaj:

Bu kurulum, saldırganların kimlik bilgilerini gerçek zamanlı olarak ele geçirmesine olanak tanır. Saldırganlar ayrıca MFA istemlerini atlatabilir, oturum açtıktan hemen sonra oturum belirteçlerini alabilir ve kurbanın oturumu üzerinde tam kontrol sahibi olabilir.

Tüm bunlar, kurbanın saldırgan tarafından barındırılan bir VNC oturumunda Gmail kullandığını doğruluyor. Saldırgan, oturumu yerel olarak izleyip kontrol ederek, geleneksel kimlik avı tespitini atlatıyor ve gerçek zamanlı olarak kimliği doğrulanmış oturumları çalıyor.

Daha sonra, oturum ortamımızda çalıştığı için oturum çerezlerini kendi tarayıcımızdan çıkarır. Bunları, kimlik avı yapıtlarına, kod enjeksiyonuna veya trafik proxy’sine ihtiyaç duymadan tam erişim için Chromium’a aktarır.

Chromium’da chrome://history adresini ziyaret etmek, oturumun tamamen saldırganın Evil-noVNC tarafından kontrol edilen tarayıcısında başlaması ve yürütülmesi nedeniyle kurbanın tarama geçmişini gösterir.

Evil-noVNC, kurbanın oturumu sırasında tuş vuruşlarını sıklıkla kaydeder. /novnc/download/ dizinine erişerek, yakalanan girdileri içeren tuş kaydedici çıktı dosyalarını (örneğin, .txt günlükleri) bulabiliriz. Örneğin, kurbanın oturum açma sırasında girilen Gmail kullanıcı adı ve şifresi gibi. Bu, oturum erişiminin yanı sıra kimlik bilgilerinin açık metin kaydını da sağlar.

/novnc/download/ dizininin içinde, VNC tarayıcısından dışa aktarılan oturum çerezlerini içeren bir cookies.txt dosyası da alabiliriz.

Bu çerezleri Chromium gibi başka bir tarayıcıya aktararak, kurbanın kimlik bilgilerine veya MFA’ya ihtiyaç duymadan, kimliği doğrulanmış oturumunu anında ele geçirebilirsiniz.

Azaltma

• Kimlik avına dayanıklı MFA (WebAuthn, Passkeys) kullanın
• Şüpheli noVNC oturumlarını veya tünelleme araçlarını izleyin
• Tarayıcı tarafı algılamayı dağıtın (noVNC tuval desenlerini arayın)
• Kullanıcıları BitB kimlik avı saldırılarını (kullanıcı arayüzü anormallikleri, açılır pencereler) tespit etmeleri için eğitin
• Kimlik doğrulama için cihaza bağlı belirteçleri kullanın (OAuth cihaz bağlama)