原文标题:Catching Transparent Phish: Analyzing and Detecting MITM Phishing Toolkits
原文作者:Brian Kondracki, Babak Amin Azad, Oleksii Starov, and Nick Nikiforakis
发表会议:2021 ACM Computer and Communications Security Conference
原文链接:https://securitee.org/files/transparent-phish_ccs2021.pdf
笔记作者:Norns@SecQuan
笔记小编:bight@SecQuan
0x01 MITM Phishing Toolkits
在钓鱼攻击中,攻击者通常使用钓鱼工具包(phishing toolkits)搭建钓鱼网站。随着钓鱼攻击技术的进步,中间人攻击(Man-in-the-Middle)的思想被应用于钓鱼工具包中,开发出中间人钓鱼工具包。
由传统工具包搭建的钓鱼网站通常独立部署在Web服务器上,通过拷贝目标网站页面的方式,获取用户的信任并窃取用户的隐私信息。在这种方式中,攻击者通常需要频繁地根据目标网站的页面的变化对钓鱼页面进行调整。与此不同的是,由MITM钓鱼工具包搭建的钓鱼网站不直接将内容返回给用户,而是充当反向代理(reverse proxy)服务器,在用户和目标服务器之间充当中间人,将目标网站返回到钓鱼站点的内容原封不动地返回给用户。
这篇论文是第一篇对MITM钓鱼工具包进行研究的文章,因此作者对这一工具包进行了定义:MITM钓鱼工具包是一个反向代理服务器,它在获取凭证,双因子验证码以及传输中网页内容时,将目标页面镜像到用户。(For the scope of this paper, we define a MITM phishing toolkit as a reverse proxy server that mirrors a target web page to a victim while harvesting credentials, 2FA codes, and web page content in transit.)
0x02 Exploratory Data Analysis
在上文中提到,MITM钓鱼工具包在用户和目标服务器之间充当代理,工具包需要同时维护用户到工具包,工具包到目标服务器两个HTTPS链接。在这一情况下,TCP SYN/ACK请求与HTTP GET请求时间的比例会比直接和Web服务器通信要高的多。同时,反向代理服务器需要解析TLS请求,这使得这一差异更加明显。
0x03 MITM Phishing Toolkit Classifier
在这一种钓鱼攻击中,攻击者完全控制着传输的应用层数据。因此,在本文中,作者选取更加贴近中间人架构特征描述这一工具包。
Network Timing Features
正如上文所述,MITM钓鱼工具包会给数据包带来更高的延迟。在本文中,作者使用不同点TCP和TLS握手往返时间(RTT)比例,以及HTTP GET请求的时间作为特征。
TLS Library Features
由于MITM钓鱼工具包使用的Web或反向代理服务器软件与正常网站使用的不同,它们利用不同的TLS库来处理来自客户端的HTTPS连接。因此,作者将TLS的应用作为区分MITM的特征。
最终,作者最终选定199个特征作为分类器的输入:其中包括14个网络时间特征和185个TLS库特征。
Model Training and Validation
作者选用随机森林模型作为分类模型,并将收集的数据按照1:1的比例划分数据集,最终得到的分类结果为:
PHOCA: MITM Phishing Toolkit Detection
进一步,作者对分类模型进行了部署,开发了名为***PHOCA***的工具,这个工具能够自动地收集数据,并判断其是否为MITM工具包。
0x04 Discovering MITM Phishing Sites in the Wild
利用PHOCA,作者对现实网络环境中MITM钓鱼工具包的使用情况进行了调研。
MITM Phishing Toolkit Presence
作者自2020年3月25日至2021年3月25日对使用MITM钓鱼工具包的钓鱼网站进行了收集,结果发现:MITM钓鱼工具包的使用越来越广泛,呈现上升趋势。虽然在2020年12月,这种钓鱼网站数量有所下降,但这是因为该月收集的钓鱼网站URL较少,在比例上,MITM钓鱼工具包的使用频率继续上升。
MITM Phishing Website Life Cycle
利用WHOIS查询,作者对MITM钓鱼工具包所创建的钓鱼网站的生命周期进行调研,结果如下:
Phishing Blocklist Presence
通过查询知名的钓鱼网站屏蔽列表,对比收集的MITM钓鱼网站,作者发现目前广泛应用的屏蔽列表存在缺陷,只有43.7%的站点出现在至少一个屏蔽列表中。同时,这些屏蔽列表的更新存在着明显的滞后。屏蔽列表更新时间平均比作者提出发现的时间要晚一个星期。这说明应用MITM钓鱼工具包的钓鱼网站更难以被发现,因为在已有的对传统钓鱼网站的检测中,屏蔽列表的更新仅比检测出来的时间平均慢9个小时。
0x05 Conclusion
本文第一次对中间人钓鱼攻击这种攻击方式进行了研究,这种攻击更加地精细,也更难以被用户发觉。基于这种攻击的中间人架构,作者提出可以使用网络时间特征和TLS库特征对MITM工具包进行检测,基于这些特征,作者使用随机森林模型对MITM工具包进行了有效的检测。
使用训练好的分类器,作者开发了一个自动检测网络上使用MITM钓鱼工具包的网站的工具,PHOCA。作者使用PHOCA对网络上的网站进行了检测,发现使用MITM钓鱼工具包的网站呈上升趋势,并且现有的屏蔽列表难以防范这种攻击。
安全学术圈招募队友-ing, 有兴趣加入学术圈的请联系secdr#qq.com
原文始发于微信公众号(安全学术圈):捕获透明网络钓鱼:分析和检测中间人网络钓鱼工具套件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论