网络钓鱼工具包的使用策略及解决办法

01 前言

中间人(MitM)攻击是一种当下较为流行的钓鱼攻击类型，MitM能绕过许多基于内容的网络钓鱼检测引擎，攻击双因素身份验证(2FA)。攻击过程中使用反向代理服务器将原始登录页面直接中继到用户的浏览器，不显示虚假目标登录页。这种手法可以绕过许多传统防御手段。

近期多起钓鱼事件使用MitM策略攻击商业电子邮件帐户并窃取组织的机密信息。有一些流行的MitM网络钓鱼工具包只需点击几下即可轻松发起MitM钓鱼攻击。

这些工具包不断扩展其功能集，变得更加直观和易于使用。许多恶意工具包制作者已经采用了复杂的伪装技术，能够逃避传统网络钓鱼检测系统的检测。

在防御角度，可以通过高级URL过滤实时阻止MitM钓鱼页面，从而免受该类钓鱼攻击。

02 传统网络钓鱼攻击

钓鱼攻击的目的是建立一个虚假的登录页面，诱使用户输入登录凭证。

在传统的网络钓鱼攻击中，攻击者通常会创建自己的网络钓鱼页面来模仿合法的登录页面。他们可能会破坏合法域并将其网络钓鱼页面托管在该域上，或者使用现有的SaaS平台托管其网络钓鱼内容。

“网络钓鱼工具包”供了一套标准程序或脚本，简化了创建和部署网络钓鱼攻击的过程，这样即使是没有经验的攻击者也可以发起自己的网络钓鱼攻击。这些工具通常使用模板化的网页，模仿目标公司的实际登录页面。基于Web的网络钓鱼即服务(PhaaS)平台的攻击服务则更进一步，如Caffeine(如图1所示)和Robin Banks，通过提供易于使用的界面，允许攻击者配置和部署网络钓鱼攻击。

在传统的网络钓鱼攻击中，网络钓鱼页面通常直接托管在恶意或受损的服务器上，且不一定是合法登录页面的完美副本。例如，若攻击者要创建一个模仿GitHub登录的网络钓鱼页面，他们可能不愿意重新创建围绕核心登录功能的所有其他功能，例如“忘记密码”链接。

通过分析可以发现合法的GitHub登录页面和欺骗的钓鱼页面之间的细微差异，如下图所示。

类似地，基于内容的自动网络钓鱼预防引擎可以注意到这些非法登录页面包含可疑内容的迹象（例如断开的链接或拼写错误），并将其标记为可能的网络钓鱼网站。

（左图：网络钓鱼攻击中使用的假冒Microsoft登录页面示例，右图：截至2022年11月21日的原始Microsoft登录页面）

双因素身份验证（2FA），也称为多因素身份验证，已成为一种主流的添加额外安全层来防御网络钓鱼攻击的方式。

双因素身份验证实际应用的一个例子是，除了要求用户名和密码外，合法的登录网站还要求额外的身份验证形式，例如发送到用户注册电子邮件地址的一次性密码(OTP)。即使攻击者通过成功的钓鱼攻击获得了受害者的用户名和密码，他们也无法以该用户身份登录，因为他们无法检索在恶意登录尝试期间发送的OTP。

03 MitM网络钓鱼攻击

MitM网络钓鱼攻击是一种绕过基于内容的防御和双因素身份验证的新型网络钓鱼攻击。与传统的网络钓鱼攻击不同，MitM攻击显示的是合法登录页面的独立但虚假的版本，它向用户显示的内容与他们在合法登录页面上看到的内容完全相同。MitM服务器没有托管合法登录页面的副本，而是简单地获取合法站点上呈现的内容并将其转发给最终用户，如下图所示。

换句话说，MitM服务器充当目标和合法登录页面之间的代理。当目标将其凭据输入到代理页面时，MitM服务器将凭据存储起来，并将其转发到合法的登录页面，从而成功登录。从受害者的角度来看和登录到了合法页面非常相似。

此外这两个连接(MitM服务器到合法站点，受害者到MitM服务器)都是通过HTTPS协议提供的，因此受害者将根据web浏览器地址栏中的挂锁图标看到连接是“安全的”。

（MitM网络钓鱼攻击的可视化表示）

由于显示给目标的内容与他们在合法登录页面上看到的内容完全相同，这种基于代理的方法使受害者更难从视觉上辨别出可疑的事情正在发生，并且使基于内容的网络钓鱼检测引擎很难检测到可疑目标。

MitM网络钓鱼攻击就像通过隐藏得很好的镜子观看原画。MitM攻击除了上述好处外，还有其他几个好处。例如，如果用户设置了双因素身份验证，这种基于代理的方法允许MitM服务器自动绕过这个双因素身份验证。在MitM服务器将用户名和密码转发到合法站点后，合法站点将按照其正常行为向其客户端发送OTP。如果被欺骗，则目标将在MitM网络钓鱼页面中输入一次性密码，允许MitM服务器将密码中继到合法站点，从而完全完成登录尝试。

此时，MitM服务器将从合法站点接收一个真实的会话cookie。这种持久的登录允许受害者继续正常浏览网站（尽管仍然通过攻击者的web服务器），从而进一步保持网络钓鱼攻击的合法性。

04 MitM工具包

与传统的钓鱼套件类似，MitM钓鱼套件提供了脚本、甚至图形用户界面（GUI），使攻击者可以轻松配置和发起MitM钓鱼攻击。

接下来本文将介绍一些流行的MitM钓鱼工具包。这些工具包都采用了将原始登录页面传递给受害者浏览器的核心策略，但它们在实现细节和附加功能(例如，隐身和TLS证书生成)方面有所不同。例如Evilginx2生成唯一的标记化URL(又名“诱饵”)，必须直接访问以显示钓鱼内容。对任何其他路径的请求都会导致重定向到良性站点。

4.1 Evilginx2

2018年7月(2017年5月发布的第一个版本)首次发布，是一款功能丰富的MitM钓鱼工具包，具有易于使用的命令行界面和内置隐藏功能。生成URL中必须存在的唯一令牌（诱饵），此工具的命令行界面如下图所示。

4.2 Modlishka

2019年1月发布，自动化几个配置步骤和攻击后的操作，例如使用被盗的会话cookie启动一个插入指令的Chrome实例。

4.3 Muraena

2019年5月发布，barebones MitM工具包。与其他自动创建TLS证书的工具包不同，Muraena要求攻击者提供自己的证书。

4.4 EvilnoVNC

2022年9月发布，使用真实的web浏览器在攻击服务器上渲染登录页面，并通过VNC将内容提供给受害者的浏览器。

4.5 EvilProxy

2022年9月发布，MitM网络钓鱼攻击的网络钓鱼即服务平台。提供一个易于使用的GUI，攻击者可以设置和管理他们自己的MitM网络钓鱼活动。

05 MitM攻击案例

2022年7月，微软报告了一起使用Evilginx2窃取目标微软证书的网络钓鱼活动。该活动向潜在受害者发送电子邮件，促使他们下载一个重要的附件。在打开附件并通过一系列重定向路由之后，受害者将到达如下图所示的MitM钓鱼页面。在攻击者成功拦截身份验证cookie后，他们会登录到受攻击的Outlook帐户，并不断搜索与金融相关的电子邮件和附件，以寻找欺诈的机会。

为了避免被检测，该活动使用了各种隐藏技术，确保只有当受害者通过原始HTML附件导航到页面时钓鱼内容才会加载。截止微软的威胁情报文章发表的几个月的时间里，已有超过10000个组织成为了这次活动的目标。

2022年9月，另一个活动被发现使用MitM网络钓鱼策略窃取目标的GitHub登录凭据。几个域被用来模拟CircleCI登录页面，提示受害者使用GitHub凭据登录。

ci[.]com.2022年9月GitHub钓鱼活动的示例登录页面，点击“登录GitHub”，用户会看到一个MitM凭证窃取页面，它反映了GitHub的实际登录页面。

上图中网页链接到的MitM凭证窃取页面，该网页从GitHub本身转发，并未托管在网络钓鱼服务器上。对于已经设置了基于OTP的双因素身份验证的目标，MitM服务器还会提示输入OTP，然后将其转发到GitHub成功登录。攻击者会通过快速创建个人访问令牌(pat)或将他们自己的SSH密钥添加到受害者的帐户来坚持他们的访问权限。这样即使受害者更改了用户名和密码，攻击者也可以继续访问被泄露的帐户。

Dropbox在2022年11月成为MitM网络钓鱼攻击的受害者，攻击者可以攻击并复制130个私人存储库。表明这些MitM网络钓鱼攻击已经在实际活动中产生了重大影响。在Dropbox对这次攻击的回应中，他们计划将双因素身份验证协议从OTP转移到WebAuthn，这是一种更能抵御网络钓鱼的双因素身份验证形式。

最近几周，Palo Alto 的高级URL过滤服务检测到更多的MitM钓鱼URL，像Microsoft 365这样的企业登录是主要目标。

随着不断拓展功能集，MitM网络钓鱼工具包越来越受欢迎，此类攻击的流行程度也会增加。此外Evilginx 3.0即将发布，该版本还将提供执行MitM网络钓鱼攻击的在线课程。

06 总结

MitM网络钓鱼攻击已经造成了严重影响，随着MitM网络钓鱼工具包的不断普及，预计其流行程度将会上升。因此对于各类组织来说，保护自己免受这类网络钓鱼攻击变得越来越重要。

目前，终端用户可以采取的保护自己免受MitM网络钓鱼攻击的措施包括:

● 在输入任何凭证之前验证URL的有效性，例如确保一个URL真的是“github[.]com”，而不是“github-impersonator[.]org”；

● 使用密码管理器存储和输入凭据，如果发现自己处于密码管理器无法识别的网站上的MitM钓鱼页面，密码管理器将在输入凭据之前发出警告；

● 使用最先进的MFA方法，如硬件安全密钥或网络认证双因素身份验证；

● 公共网络环境下（例如公共 WiFi），没有 HTTPS 加密的敏感网站不要随便登录，一般不可信；

● 在任何网站上登录自己的账号前确保网址为 HTTPS 加密协议。

07 参考链接