Evilginx adalah alat berbahaya yang menunjukkan bagaimana teknologi sah dapat disalahgunakan untuk tujuan jahat. Dibangun di atas server web open-source nginx yang banyak digunakan, Evilginx memungkinkan penyerang mencuri nama pengguna, kata sandi, dan token sesi, sehingga dapat melewati autentikasi multi-faktor (MFA). Dalam artikel ini, kami akan menjelaskan cara kerja Evilginx, jenis informasi yang dapat dicuri, serta cara mendeteksi dan mengurangi risikonya di lingkungan Anda.
Cara Kerja Evilginx
Pada dasarnya, Evilginx bertindak sebagai proxy antara pengguna dan layanan sah seperti Microsoft 365, dalam serangan yang dikenal sebagai Adversary-in-the-Middle (AitM). Penyerang membuat domain palsu yang meniru halaman login asli menggunakan yang disebut phishlet. Ketika korban membuka halaman ini, Evilginx menampilkan formulir dan gambar langsung dari situs asli sehingga tampak sah.
Saat pengguna melakukan proses login yang tampak normal, Evilginx diam-diam mencatat data kredensial dan sesi mereka. Dalam simulasi yang kami lakukan, kami mencoba login dengan akun yang dilindungi MFA — dan Evilginx berhasil melewati MFA dengan menangkap token sesi dan data lainnya.
Panel kontrol Evilginx menunjukkan data yang berhasil dicuri, seperti:
- Nama pengguna dan kata sandi
- Cookie sesi
- User agent (informasi perangkat)
- Alamat IP publik
Dengan cookie ini, penyerang cukup mengimpornya ke browser mereka dan dapat mengakses akun korban seolah-olah sebagai pengguna yang sah, tanpa perlu autentikasi ulang.
Apa yang Bisa Dilakukan Penyerang Setelahnya?
Setelah berhasil masuk, penyerang bisa:
- Membuka dan membaca email korban
- Membuat aturan kotak masuk (inbox rules) untuk menyembunyikan atau meneruskan pesan
- Mengatur ulang perangkat MFA
- Mengubah kata sandi
- Meningkatkan kontrol dan menciptakan persistensi dalam akun
Dengan langkah-langkah ini, penyerang bisa mempertahankan akses jangka panjang tanpa terdeteksi.
Cara Mendeteksi Aktivitas Evilginx
Meski serangan ini canggih, ada beberapa cara untuk mendeteksinya. Di Microsoft 365 dan Azure (Entra ID), log dapat menunjukkan:
- Login dari alamat IP mencurigakan
- Aktivitas tak biasa pada akun
- Penambahan perangkat MFA baru
- Perubahan aturan kotak masuk (inbox rule)
Dalam pengujian kami, terlihat login dari IP Evilginx dan node Tor, serta penambahan aplikasi MFA dan aturan inbox mencurigakan bernama “Completely Legit Forwarder”.
Log ini dapat diperiksa lebih lanjut menggunakan Unified Audit Log (UAL) di Microsoft 365 dengan Kusto Query Language (KQL). Selain itu, peringatan keamanan otomatis bisa muncul jika aktivitas mencurigakan terdeteksi.
Untuk pelanggan Sophos, integrasi memungkinkan pengambilan log dan peringatan dari Microsoft ke dalam Sophos Central. Pengguna XDR atau MDR mendapatkan deteksi berbasis identitas yang akan dianalisis dan ditindaklanjuti oleh tim MDR.
Strategi Mitigasi
Tindakan mitigasi terbagi dalam dua jenis: preventif dan reaktif.
Preventif
- Beralih ke MFA yang tahan phishing, seperti FIDO2, YubiKey, Apple Touch ID, atau Windows Hello
- Terapkan kebijakan akses bersyarat (conditional access) untuk membatasi akses hanya ke perangkat terpercaya
- Blokir domain berbahaya dengan intelijen ancaman terkini
- Edukasi pengguna, namun jangan sepenuhnya bergantung pada kesadaran mereka — siapa pun bisa terkena phishing
Reaktif
Jika aktivitas Evilginx terdeteksi:
- Cabut semua sesi dan token melalui Entra ID dan Microsoft 365
- Reset kata sandi dan perangkat MFA
- Periksa semua aktivitas terbaru, termasuk perubahan aturan inbox atau penambahan perangkat
- Gunakan panduan Microsoft untuk investigasi pencurian token
Kesimpulan
Evilginx menjadikan teknik serangan canggih menjadi lebih mudah dilakukan, memungkinkan lebih banyak pelaku ancaman untuk melewati MFA. Namun, kabar baiknya adalah mitigasi yang kuat sudah tersedia. Dengan pertahanan berlapis, MFA yang tahan phishing, dan monitoring berkelanjutan, organisasi dapat secara signifikan mengurangi risiko dari ancaman seperti Evilginx.
Kalau kamu butuh versi lebih teknis atau disesuaikan untuk presentasi ke manajemen atau tim IT, saya bisa bantu juga!
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi sophos.ilogoindonesia.id untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia jika Anda ingin penjelasan lebih mendalam.
