捕獲透明網絡釣魚:分析和檢測中間人網絡釣魚工具套件
0x01 MITM Phishing Toolkits
在釣魚攻擊中,攻擊者通常使用釣魚工具包(phishing toolkits)搭建釣魚網站。隨著釣魚攻擊技術的進步,中間人攻擊(Man-in-the-Middle)的思想被應用于釣魚工具包中,開發出中間人釣魚工具包。
由傳統工具包搭建的釣魚網站通常獨立部署在Web服務器上,通過拷貝目標網站頁面的方式,獲取用戶的信任并竊取用戶的隱私信息。在這種方式中,攻擊者通常需要頻繁地根據目標網站的頁面的變化對釣魚頁面進行調整。與此不同的是,由MITM釣魚工具包搭建的釣魚網站不直接將內容返回給用戶,而是充當反向代理(reverse proxy)服務器,在用戶和目標服務器之間充當中間人,將目標網站返回到釣魚站點的內容原封不動地返回給用戶。
這篇論文是第一篇對MITM釣魚工具包進行研究的文章,因此作者對這一工具包進行了定義:MITM釣魚工具包是一個反向代理服務器,它在獲取憑證,雙因子驗證碼以及傳輸中網頁內容時,將目標頁面鏡像到用戶。(For the scope of this paper, we define a MITM phishing toolkit as a reverse proxy server that mirrors a target web page to a victim while harvesting credentials, 2FA codes, and web page content in transit.)
0x02 Exploratory Data Analysis
在上文中提到,MITM釣魚工具包在用戶和目標服務器之間充當代理,工具包需要同時維護用戶到工具包,工具包到目標服務器兩個HTTPS鏈接。在這一情況下,TCP SYN/ACK請求與HTTP GET請求時間的比例會比直接和Web服務器通信要高的多。同時,反向代理服務器需要解析TLS請求,這使得這一差異更加明顯。
0x03 MITM Phishing Toolkit Classifier
在這一種釣魚攻擊中,攻擊者完全控制著傳輸的應用層數據。因此,在本文中,作者選取更加貼近中間人架構特征描述這一工具包。
Network Timing Features
正如上文所述,MITM釣魚工具包會給數據包帶來更高的延遲。在本文中,作者使用不同點TCP和TLS握手往返時間(RTT)比例,以及HTTP GET請求的時間作為特征。
TLS Library Features
由于MITM釣魚工具包使用的Web或反向代理服務器軟件與正常網站使用的不同,它們利用不同的TLS庫來處理來自客戶端的HTTPS連接。因此,作者將TLS的應用作為區分MITM的特征。
最終,作者最終選定199個特征作為分類器的輸入:其中包括14個網絡時間特征和185個TLS庫特征。
Model Training and Validation
作者選用隨機森林模型作為分類模型,并將收集的數據按照1:1的比例劃分數據集,最終得到的分類結果為:
PHOCA: MITM Phishing Toolkit Detection
進一步,作者對分類模型進行了部署,開發了名為***PHOCA***的工具,這個工具能夠自動地收集數據,并判斷其是否為MITM工具包。
0x04 Discovering MITM Phishing Sites in the Wild
利用PHOCA,作者對現實網絡環境中MITM釣魚工具包的使用情況進行了調研。
MITM Phishing Toolkit Presence
作者自2020年3月25日至2021年3月25日對使用MITM釣魚工具包的釣魚網站進行了收集,結果發現:MITM釣魚工具包的使用越來越廣泛,呈現上升趨勢。雖然在2020年12月,這種釣魚網站數量有所下降,但這是因為該月收集的釣魚網站URL較少,在比例上,MITM釣魚工具包的使用頻率繼續上升。
MITM Phishing Website Life Cycle
利用WHOIS查詢,作者對MITM釣魚工具包所創建的釣魚網站的生命周期進行調研,結果如下:
Phishing Blocklist Presence
通過查詢知名的釣魚網站屏蔽列表,對比收集的MITM釣魚網站,作者發現目前廣泛應用的屏蔽列表存在缺陷,只有43.7%的站點出現在至少一個屏蔽列表中。同時,這些屏蔽列表的更新存在著明顯的滯后。屏蔽列表更新時間平均比作者提出發現的時間要晚一個星期。這說明應用MITM釣魚工具包的釣魚網站更難以被發現,因為在已有的對傳統釣魚網站的檢測中,屏蔽列表的更新僅比檢測出來的時間平均慢9個小時。
0x05 Conclusion
本文第一次對中間人釣魚攻擊這種攻擊方式進行了研究,這種攻擊更加地精細,也更難以被用戶發覺。基于這種攻擊的中間人架構,作者提出可以使用網絡時間特征和TLS庫特征對MITM工具包進行檢測,基于這些特征,作者使用隨機森林模型對MITM工具包進行了有效的檢測。
使用訓練好的分類器,作者開發了一個自動檢測網絡上使用MITM釣魚工具包的網站的工具,PHOCA。作者使用PHOCA對網絡上的網站進行了檢測,發現使用MITM釣魚工具包的網站呈上升趨勢,并且現有的屏蔽列表難以防范這種攻擊。
