performing-adversary-in-the-middle-phishing-detection
检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。
Best use case
performing-adversary-in-the-middle-phishing-detection is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。
Teams using performing-adversary-in-the-middle-phishing-detection should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-adversary-in-the-middle-phishing-detection/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-adversary-in-the-middle-phishing-detection Compares
| Feature / Agent | performing-adversary-in-the-middle-phishing-detection | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行中间人钓鱼检测 ## 概述 中间人(AiTM)钓鱼攻击使用反向代理基础设施介于受害者与合法认证服务之间,实时拦截凭据和会话 Cookie。这使攻击者能够绕过多因素认证(MFA)。2025 年最流行的钓鱼即服务(PhaaS)工具包包括 Tycoon 2FA、Sneaky 2FA、EvilProxy 和 Evilginx。仅在 2025 年 1-2 月就检测到超过 100 万次 PhaaS 攻击。这些攻击已从使用二维码演变为使用 HTML 附件和 SVG 文件进行链接分发。 ## 前置条件 - Azure AD / Entra ID 条件访问策略 - 具备认证日志摄入能力的 SIEM(Azure AD 登录日志) - 具备 SSL 检测和 URL 分类的 Web 代理 - 端点检测与响应(EDR)解决方案 - FIDO2/抗钓鱼 MFA 能力 ## 核心概念 ### AiTM 工作原理 1. 受害者收到含有攻击者控制域名链接的钓鱼邮件 2. 攻击者域名运行反向代理,镜像合法登录页面 3. 受害者在代理页面上输入凭据;凭据在传输过程中被捕获 4. 反向代理将凭据转发至真实认证服务 5. MFA 挑战发送给受害者;受害者在代理页面上完成 MFA 6. 攻击者捕获合法服务返回的会话 Cookie 7. 攻击者重放会话 Cookie,无需 MFA 即可访问受害者账户 ### 主要 AiTM 工具包(2025) | 工具包 | 类型 | 主要目标 | 规避技术 | |---|---|---|---| | Tycoon 2FA | PhaaS | Microsoft 365、Google | CAPTCHA、Cloudflare turnstile | | EvilProxy | PhaaS | Microsoft 365、Google、Okta | 随机 URL、IP 轮换 | | Evilginx | 开源 | 任意 Web 应用 | 自定义 phishlet | | Sneaky 2FA | PhaaS | Microsoft 365 | 反机器人检查 | | NakedPages | PhaaS | 多目标 | 最小化基础设施 | ### 检测指标 - 来自与用户配置文件不符的异常 IP 的认证 - 与认证时不同 IP/设备的会话 Cookie 重用 - 从非 Microsoft/非 Google 基础设施提供的登录页面 - 从钓鱼域名向合法认证提供商发出的 CDN 请求 - 认证与会话使用之间的不可能旅行 ## 实施步骤 ### 步骤一:部署抗钓鱼 MFA - 为高价值账户实施 FIDO2 安全密钥或 Windows Hello for Business - 配置条件访问,要求管理员使用抗钓鱼 MFA - 尽可能启用基于证书的认证 - 为特权账户禁用 SMS 和语音 MFA - AiTM 无法拦截 FIDO2,因为认证绑定到源域名 ### 步骤二:配置条件访问策略 - 要求使用合规/受管理设备才能访问敏感应用 - 封锁来自匿名代理和 Tor 出口节点的认证 - 强制令牌绑定以限制会话 Cookie 重放 - 配置持续访问评估(CAE)以实现实时令牌撤销 - 实施登录风险策略,对高风险登录要求重新认证 ### 步骤三:构建 AiTM 检测规则 - 对登录后 10 分钟内来自不同 IP 的会话发出告警 - 检测代理 IP 与用户预期位置不匹配的认证 - 监控会话使用中的不可能旅行模式 - 对认证后立即创建的收件箱规则发出告警(常见入侵后行为) - 检测来自可疑登录的新 MFA 方法注册 ### 步骤四:监控 Web 代理中的 AiTM 基础设施 - 记录并分析对新注册域名的 DNS 查询 - 检测与已知 PhaaS 基础设施 IP 的连接 - 对通过代理域名从合法 CDN 加载的认证页面背景发出告警 - 监控颁发给模仿企业登录页面域名的 SSL 证书 - 通过威胁情报封锁对已知 EvilProxy/Evilginx 基础设施的访问 ### 步骤五:实施入侵后检测 - 对可疑认证后创建的邮箱转发规则发出告警 - 检测 AiTM 登录后的 OAuth 应用授权 - 监控表明 BEC 后续行动的邮件发送模式 - 对会话劫持后 SharePoint/OneDrive 批量下载发出告警 - 追踪来自已入侵账户的横向移动 ## 工具与资源 - **Microsoft Entra ID Protection**:基于风险的条件访问 - **Azure AD 登录日志**:认证事件分析 - **Okta ThreatInsight**:IdP 级别的 AiTM 代理检测 - **Sekoia TDR**:AiTM 活动追踪和情报 - **Evilginx(防御用途)**:了解攻击机制以用于检测 ## 验证 - 抗钓鱼 MFA 在测试场景中封锁 AiTM 会话捕获 - 条件访问拒绝来自不同设备/IP 的会话重放 - SIEM 告警在模拟 AiTM 登录模式时触发 - Web 代理封锁与已知 PhaaS 基础设施的连接 - 入侵后规则检测到可疑认证后创建的收件箱规则
Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-vulnerability-scanning-with-nessus
使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。