performing-adversary-in-the-middle-phishing-detection

检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。

9 stars

Best use case

performing-adversary-in-the-middle-phishing-detection is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。

Teams using performing-adversary-in-the-middle-phishing-detection should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-adversary-in-the-middle-phishing-detection/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-adversary-in-the-middle-phishing-detection/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-adversary-in-the-middle-phishing-detection/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-adversary-in-the-middle-phishing-detection Compares

Feature / Agentperforming-adversary-in-the-middle-phishing-detectionStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行中间人钓鱼检测

## 概述

中间人(AiTM)钓鱼攻击使用反向代理基础设施介于受害者与合法认证服务之间,实时拦截凭据和会话 Cookie。这使攻击者能够绕过多因素认证(MFA)。2025 年最流行的钓鱼即服务(PhaaS)工具包包括 Tycoon 2FA、Sneaky 2FA、EvilProxy 和 Evilginx。仅在 2025 年 1-2 月就检测到超过 100 万次 PhaaS 攻击。这些攻击已从使用二维码演变为使用 HTML 附件和 SVG 文件进行链接分发。

## 前置条件

- Azure AD / Entra ID 条件访问策略
- 具备认证日志摄入能力的 SIEM(Azure AD 登录日志)
- 具备 SSL 检测和 URL 分类的 Web 代理
- 端点检测与响应(EDR)解决方案
- FIDO2/抗钓鱼 MFA 能力

## 核心概念

### AiTM 工作原理

1. 受害者收到含有攻击者控制域名链接的钓鱼邮件
2. 攻击者域名运行反向代理,镜像合法登录页面
3. 受害者在代理页面上输入凭据;凭据在传输过程中被捕获
4. 反向代理将凭据转发至真实认证服务
5. MFA 挑战发送给受害者;受害者在代理页面上完成 MFA
6. 攻击者捕获合法服务返回的会话 Cookie
7. 攻击者重放会话 Cookie,无需 MFA 即可访问受害者账户

### 主要 AiTM 工具包(2025)

| 工具包 | 类型 | 主要目标 | 规避技术 |
|---|---|---|---|
| Tycoon 2FA | PhaaS | Microsoft 365、Google | CAPTCHA、Cloudflare turnstile |
| EvilProxy | PhaaS | Microsoft 365、Google、Okta | 随机 URL、IP 轮换 |
| Evilginx | 开源 | 任意 Web 应用 | 自定义 phishlet |
| Sneaky 2FA | PhaaS | Microsoft 365 | 反机器人检查 |
| NakedPages | PhaaS | 多目标 | 最小化基础设施 |

### 检测指标

- 来自与用户配置文件不符的异常 IP 的认证
- 与认证时不同 IP/设备的会话 Cookie 重用
- 从非 Microsoft/非 Google 基础设施提供的登录页面
- 从钓鱼域名向合法认证提供商发出的 CDN 请求
- 认证与会话使用之间的不可能旅行

## 实施步骤

### 步骤一:部署抗钓鱼 MFA

- 为高价值账户实施 FIDO2 安全密钥或 Windows Hello for Business
- 配置条件访问,要求管理员使用抗钓鱼 MFA
- 尽可能启用基于证书的认证
- 为特权账户禁用 SMS 和语音 MFA
- AiTM 无法拦截 FIDO2,因为认证绑定到源域名

### 步骤二:配置条件访问策略

- 要求使用合规/受管理设备才能访问敏感应用
- 封锁来自匿名代理和 Tor 出口节点的认证
- 强制令牌绑定以限制会话 Cookie 重放
- 配置持续访问评估(CAE)以实现实时令牌撤销
- 实施登录风险策略,对高风险登录要求重新认证

### 步骤三:构建 AiTM 检测规则

- 对登录后 10 分钟内来自不同 IP 的会话发出告警
- 检测代理 IP 与用户预期位置不匹配的认证
- 监控会话使用中的不可能旅行模式
- 对认证后立即创建的收件箱规则发出告警(常见入侵后行为)
- 检测来自可疑登录的新 MFA 方法注册

### 步骤四:监控 Web 代理中的 AiTM 基础设施

- 记录并分析对新注册域名的 DNS 查询
- 检测与已知 PhaaS 基础设施 IP 的连接
- 对通过代理域名从合法 CDN 加载的认证页面背景发出告警
- 监控颁发给模仿企业登录页面域名的 SSL 证书
- 通过威胁情报封锁对已知 EvilProxy/Evilginx 基础设施的访问

### 步骤五:实施入侵后检测

- 对可疑认证后创建的邮箱转发规则发出告警
- 检测 AiTM 登录后的 OAuth 应用授权
- 监控表明 BEC 后续行动的邮件发送模式
- 对会话劫持后 SharePoint/OneDrive 批量下载发出告警
- 追踪来自已入侵账户的横向移动

## 工具与资源

- **Microsoft Entra ID Protection**:基于风险的条件访问
- **Azure AD 登录日志**:认证事件分析
- **Okta ThreatInsight**:IdP 级别的 AiTM 代理检测
- **Sekoia TDR**:AiTM 活动追踪和情报
- **Evilginx(防御用途)**:了解攻击机制以用于检测

## 验证

- 抗钓鱼 MFA 在测试场景中封锁 AiTM 会话捕获
- 条件访问拒绝来自不同设备/IP 的会话重放
- SIEM 告警在模拟 AiTM 登录模式时触发
- Web 代理封锁与已知 PhaaS 基础设施的连接
- 入侵后规则检测到可疑认证后创建的收件箱规则

Related Skills

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。