網絡釣魚工具Modlishka的細節分析

2019-11-22 88337人圍觀 網絡安全

分析概述

釣魚網站的目標之一就是通過使用電子郵件、短信、社交媒體和即時通信App來誘導目標用戶提供他們的個人敏感數據,例如個人身份信息、***數據和密碼等等。在拿到這些數據之后,攻擊者就可以用它們來訪問目標用戶的賬號,并有可能給目標用戶帶來“毀滅性”的災難。

就在不久之前,Akamai的安全研究人員Larry Cashdoller曾收到過一封網絡釣魚郵件,而這種類型的網絡釣魚郵件使用的技術非常新奇,它會嘗試利用Google翻譯來作為代理,并收集Larry Cashdoller的Google以及Facebook憑證。Larry曾在【這篇文章】中對這項技術進行了分析,感興趣的同學可以閱讀了解。

根據Larry以及Akamai其他研究人員的分析成果,我們在這篇文章中將對一款名叫Modlishka的釣魚工具進行分析。Modlishka是一款功能強大且靈活性非常高的反向代理,攻擊者可以在網絡釣魚活動中使用該工具來輔助完成網絡釣魚攻擊。它是一款開源工具,開發人員最初只是為了實現教育目的而開發了這款軟件,以幫助滲透測試人員對網絡釣魚活動進行分析,并幫助社區提高對現代網絡釣魚技術以及策略的認知。但很明顯,這種強大的工具也會為網絡犯罪分子所用。

工具分析

雖然Modlishka最初僅是為了實現教育目的而開發的,它也足以給大家演示目前黑市上在售的網絡釣魚工具的強大功能。在大多數網絡釣魚攻擊活動中,攻擊者會嘗試利用互聯網主機的漏洞來安裝釣魚工具,并仿造出目標站點以欺騙用戶,而這些偽造的站點可以幫助攻擊者收**法用戶的賬號憑證以及敏感信息。

該工具的功能比一般的網絡釣魚工具要強大得多,因為它不需要使用網站模板,它主要通過在合法網站以及目標用戶扮演代理的角色來實現攻擊。

根據該工具主要開發人員Piotr Duszynski提供的信息,Modlishka旨在:

1、幫助滲透測試人員進行高效的網絡釣魚活動,并證明網絡釣魚攻擊所能帶來的安全風險。

2、突出當前雙因素身份驗證機制存在的安全缺陷,并促使社區研發新的安全解決方案。

3、提升整個社區對網絡釣魚技術和策略的認知。

4、可為其他需要使用全局反向代理的開源項目提供支持。

上圖顯示了Modlishka針對啟用了標準雙因素身份驗證機制的網站執行攻擊的界面截圖,我們使用了Google站點來進行概念驗證PoC演示。

演示視頻

開發人員還提供了一份演示視頻,并在視頻中使用了Modlishka來收集目標用戶的憑證并偽造用戶會話。在攻擊過程中,攻擊者的每一項活動看起來都是“合法”的,Modlishka作為用戶與Google之間的流量代理,不過瀏覽器地址欄中的釣魚域名URL還是“非法”的。

視頻地址:【點我觀看

根據該工具GitHub庫提供的信息,Modlishka的功能包括:

1、支持大部分雙因素身份驗證機制;

2、無網站模板,工具在終端用戶和真實網站之間以代理的形式存在;

3、JavaScript Payload注入;

4、將網站從所有的加密和安全Header中剔除;

5、用戶憑證收集;

6、可在Web面板中顯示收集到的用戶憑證以及用戶會話摘要;

工具安裝

使用“go get”命令從該項目的GitHub庫中源碼克隆至本地:

$ go get -u github.com/drk1wi/Modlishka

編譯源碼:

$ cd $GOPATH/src/github.com/drk1wi/Modlishka/

$ make

工具運行:

# ./dist/proxy -h

Usage of ./dist/proxy:

  -cert string

     base64 encoded TLS certificate

  -certKey string

     base64 encoded TLS certificate key

  -certPool string

     base64 encoded Certification Authority certificate

  -config string

     JSON configuration file. Convenient instead of using command line switches.

  -controlCreds string

      Username and password to protect the credentials page.  user:pass format

  -controlURL string

      URL to view captured credentials and settings. (default "SayHello2Modlishka")

  -credParams string

       Credential regexp with matching groups. e.g. : baase64(username_regex),baase64(password_regex)

  -debug

     Print debug information

  -disableSecurity

     Disable proxy security features like anti-SSRF. 'Here be dragons' - disable at your own risk.

  -dynamicMode

       Enable dynamic mode for 'Client Domain Hooking'

  -forceHTTP

      Strip all TLS from the traffic and proxy through HTTP only

  -forceHTTPS

      Strip all clear-text from the traffic and proxy through HTTPS only

  -jsRules string

     Comma separated list of URL patterns and JS base64 encoded payloads that will be injected - e.g.: target.tld:base64(alert(1)),..,etc

  -listeningAddress string

     Listening address - e.g.: 0.0.0.0  (default "127.0.0.1")

  -log string

     Local file to which fetched requests will be written (appended)

  -plugins string

     Comma seperated list of enabled plugin names (default "all")

  -proxyAddress string

    Proxy that should be used (socks/https/http) - e.g.: http://127.0.0.1:8080 

  -proxyDomain string

     Proxy domain name that will be used - e.g.: proxy.tld

  -postOnly

     Log only HTTP POST requests

  -rules string

       Comma separated list of 'string' patterns and their replacements - e.g.: base64(new):base64(old),base64(newer):base64(older)

  -target string

     Target domain name  - e.g.: target.tld

  -targetRes string

     Comma separated list of domains that were not translated automatically. Use this to force domain translation - e.g.: static.target.tld 

  -terminateTriggers string

     Session termination: Comma separated list of URLs from target's origin which will trigger session termination

  -terminateUrl string

     URL to which a client will be redirected after Session Termination rules trigger

  -trackingCookie string

     Name of the HTTP cookie used to track the client (default "id")

  -trackingParam string

     Name of the HTTP parameter used to track the client (default "id")

配置文件

該工具可以使用JSON配置文件來針對目標域名進行配置,該配置文件中包含的設置選項允許用戶定義釣魚域名、目標站點、日志文件和憑證設置等等。下面給出的是運行在本地回環IP地址的工具配置樣本,目標域名為“ https://target-victim-domain.com”:

關于配置文件中的參數細節,可以參考【這篇文檔】。

日志記錄

收集到的用戶憑證可以直接在工具代理的請求中實時查看到。除此之外,我們也可以通過訪問日志文件來查看,其中也包括偽造的用戶會話:

項目地址

工具ZIP包下載:【點我下載

工具TAR包下載:【點我下載

Modlishka:【GitHub傳送門

緩解方案

Larry Cashdollar建議廣大用戶,在操作任何郵件之前,請務必要花時間全面檢查郵件的合法性以及安全性。除此之外,廣大用戶可以使用LastPass或1Password這樣的密碼管理工具來保存自己的憑證信息,這樣可以防止瀏覽器直接將密碼填寫至釣魚網站中。

參考資料

1、https://www.owasp.org/index.php/Phishing

2、https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-financial-services-attack-economy-report-2019.pdf

3、https://learn.akamai.com/en-us/webhelp/enterprise-threat-protector/enterprise-threat-protector/GUID-4654BD70-9D3F-49AA-A06E-E4FED132A73F.html

4、https://blogs.akamai.com/

5、http://www.phishing.org/what-is-phishing

6、https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html

7、https://www.akamai.com/us/en/resources/what-is-phishing.jsp

*參考來源:securityboulevard,FB小編Alpha_h4ck編譯,轉載請注明來自FreeBuf.COM

相關推薦
取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 什么app能玩二人麻将