分析概述
钓鱼网站的目标之一就是通过使用电子邮件、短信、社交媒体和即时通信App来诱导目标用户提供他们的个人敏感数据,例如个人身份信息、***数据和密码等等。在拿到这些数据之后,攻击者就可以用它们来访问目标用户的账号,并有可能给目标用户带来“毁灭性”的灾难。
就在不久之前,Akamai的安全研究人员Larry Cashdoller曾收到过一封网络钓鱼邮件,而这种类型的网络钓鱼邮件使用的技术非常新奇,它会尝试利用Google翻译来作为代理,并收集Larry Cashdoller的Google以及Facebook凭证。Larry曾在【这篇文章】中对这项技术进行了分析,感兴趣的同学可以阅读了解。
根据Larry以及Akamai其他研究人员的分析成果,我们在这篇文章中将对一款名叫Modlishka的钓鱼工具进行分析。Modlishka是一款功能强大且灵活性非常高的反向代理,攻击者可以在网络钓鱼活动中使用该工具来辅助完成网络钓鱼攻击。它是一款开源工具,开发人员最初只是为了实现教育目的而开发了这款软件,以帮助渗透测试人员对网络钓鱼活动进行分析,并帮助社区提高对现代网络钓鱼技术以及策略的认知。但很明显,这种强大的工具也会为网络犯罪分子所用。
工具分析
虽然Modlishka最初仅是为了实现教育目的而开发的,它也足以给大家演示目前黑市上在售的网络钓鱼工具的强大功能。在大多数网络钓鱼攻击活动中,攻击者会尝试利用互联网主机的漏洞来安装钓鱼工具,并仿造出目标站点以欺骗用户,而这些伪造的站点可以帮助攻击者收**法用户的账号凭证以及敏感信息。
该工具的功能比一般的网络钓鱼工具要强大得多,因为它不需要使用网站模板,它主要通过在合法网站以及目标用户扮演代理的角色来实现攻击。
根据该工具主要开发人员Piotr Duszynski提供的信息,Modlishka旨在:
1、帮助渗透测试人员进行高效的网络钓鱼活动,并证明网络钓鱼攻击所能带来的安全风险。
2、突出当前双因素身份验证机制存在的安全缺陷,并促使社区研发新的安全解决方案。
3、提升整个社区对网络钓鱼技术和策略的认知。
4、可为其他需要使用全局反向代理的开源项目提供支持。
上图显示了Modlishka针对启用了标准双因素身份验证机制的网站执行攻击的界面截图,我们使用了Google站点来进行概念验证PoC演示。
演示视频
开发人员还提供了一份演示视频,并在视频中使用了Modlishka来收集目标用户的凭证并伪造用户会话。在攻击过程中,攻击者的每一项活动看起来都是“合法”的,Modlishka作为用户与Google之间的流量代理,不过浏览器地址栏中的钓鱼域名URL还是“非法”的。
视频地址:【点我观看】
根据该工具GitHub库提供的信息,Modlishka的功能包括:
1、支持大部分双因素身份验证机制;
2、无网站模板,工具在终端用户和真实网站之间以代理的形式存在;
3、JavaScript Payload注入;
4、将网站从所有的加密和安全Header中剔除;
5、用户凭证收集;
6、可在Web面板中显示收集到的用户凭证以及用户会话摘要;
工具安装
使用“go get”命令从该项目的GitHub库中源码克隆至本地:
$ go get -u github.com/drk1wi/Modlishka
编译源码:
$ cd $GOPATH/src/github.com/drk1wi/Modlishka/
$ make
工具运行:
# ./dist/proxy -h
Usage of ./dist/proxy:
-cert string
base64 encoded TLS certificate
-certKey string
base64 encoded TLS certificate key
-certPool string
base64 encoded Certification Authority certificate
-config string
JSON configuration file. Convenient instead of using command line switches.
-controlCreds string
Username and password to protect the credentials page. user:pass format
-controlURL string
URL to view captured credentials and settings. (default "SayHello2Modlishka")
-credParams string
Credential regexp with matching groups. e.g. : baase64(username_regex),baase64(password_regex)
-debug
Print debug information
-disableSecurity
Disable proxy security features like anti-SSRF. 'Here be dragons' - disable at your own risk.
-dynamicMode
Enable dynamic mode for 'Client Domain Hooking'
-forceHTTP
Strip all TLS from the traffic and proxy through HTTP only
-forceHTTPS
Strip all clear-text from the traffic and proxy through HTTPS only
-jsRules string
Comma separated list of URL patterns and JS base64 encoded payloads that will be injected - e.g.: target.tld:base64(alert(1)),..,etc
-listeningAddress string
Listening address - e.g.: 0.0.0.0 (default "127.0.0.1")
-log string
Local file to which fetched requests will be written (appended)
-plugins string
Comma seperated list of enabled plugin names (default "all")
-proxyAddress string
Proxy that should be used (socks/https/http) - e.g.: http://127.0.0.1:8080
-proxyDomain string
Proxy domain name that will be used - e.g.: proxy.tld
-postOnly
Log only HTTP POST requests
-rules string
Comma separated list of 'string' patterns and their replacements - e.g.: base64(new):base64(old),base64(newer):base64(older)
-target string
Target domain name - e.g.: target.tld
-targetRes string
Comma separated list of domains that were not translated automatically. Use this to force domain translation - e.g.: static.target.tld
-terminateTriggers string
Session termination: Comma separated list of URLs from target's origin which will trigger session termination
-terminateUrl string
URL to which a client will be redirected after Session Termination rules trigger
-trackingCookie string
Name of the HTTP cookie used to track the client (default "id")
-trackingParam string
Name of the HTTP parameter used to track the client (default "id")
配置文件
该工具可以使用JSON配置文件来针对目标域名进行配置,该配置文件中包含的设置选项允许用户定义钓鱼域名、目标站点、日志文件和凭证设置等等。下面给出的是运行在本地回环IP地址的工具配置样本,目标域名为“ https://target-victim-domain.com”:
关于配置文件中的参数细节,可以参考【这篇文档】。
日志记录
收集到的用户凭证可以直接在工具代理的请求中实时查看到。除此之外,我们也可以通过访问日志文件来查看,其中也包括伪造的用户会话:
项目地址
工具ZIP包下载:【点我下载】
工具TAR包下载:【点我下载】
Modlishka:【GitHub传送门】
缓解方案
Larry Cashdollar建议广大用户,在操作任何邮件之前,请务必要花时间全面检查邮件的合法性以及安全性。除此之外,广大用户可以使用LastPass或1Password这样的密码管理工具来保存自己的凭证信息,这样可以防止浏览器直接将密码填写至钓鱼网站中。
参考资料
1、https://www.owasp.org/index.php/Phishing
5、http://www.phishing.org/what-is-phishing
7、https://www.akamai.com/us/en/resources/what-is-phishing.jsp
*参考来源:securityboulevard,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM