介紹

2025 年，網路釣魚仍然是一種普遍存在的網路攻擊，佔全球電子郵件流量的 1.2%，相當於每天約 34 億封電子郵件。雖然只有大約 3% 的員工點擊惡意鏈接，但後果可能很嚴重，因為 91% 的網路攻擊源自網路釣魚電子郵件。由於其有效性，網路釣魚是 Threat actor 青睞的初始存取媒介。
Quarkslab 的對手模擬團隊在滲透測試和訓練期間利用先進的網路釣魚攻擊。這篇部落格文章回顧了目前網路釣魚攻擊中使用的方法，採取攻擊性的方式來分析惡意電子郵件散播所涉及的技術和基礎設施。重點是電子郵件網路釣魚，不包括簡訊網路釣魚或語音網路釣魚等其他社會工程攻擊。

進階網路釣魚技術

攻擊者的目標是透過網路釣魚來攻擊組織，因為網路釣魚是一條阻力較小的途徑。有多種取得認證或 Session 的方法，每種方法都有其優點和缺點。

• 經典方法：HTML 網頁
  • 經典的 HTML 網路釣魚網頁仍然是一種經常使用的技術。它涉及建立一個模仿合法網站的 HTML 網頁，通常會複製微軟等常見模仿公司的登入網頁以竊取認證。攻擊者只需要複製原始網頁的外觀，這意味著可以刪除或停用不必要的元素，例如按鈕和連結。例如，在 Microsoft 登入網頁上，只有「下一步」按鈕可能有用。另一個選項是，當使用者點擊不需要的按鈕時，重新導向到虛假錯誤網頁。為了避免被發現，應該刪除JavaScript ，因為它們可以向原始網站發送 HTTP 請求。在多步驟的網頁上，保留某些動畫效果可以增強網頁的真實性。一旦送出認證，受害者就會被重新導向到合法網站或錯誤網頁。
    為了防止使用者透過後退按鈕返回釣魚網頁，可以使用 JavaScript 的「fetch()」或「ajax」發送認證，然後使用「window.location.replace(url)」重新導向。
• 棘手的方法：
  • 瀏覽器中的瀏覽器（BITB）：
    該技術涉及在實際瀏覽器中建立一個虛假的瀏覽器窗口，以降低「檢查 URL」建議的可靠性。網路釣魚者(Phisher) 使用 HTML、CSS 和 JavaScript 重現透過受信任的第三方進行身份驗證的行為。透過將登入過程轉移到具有看似合法的 URL 的虛假瀏覽器網頁，網路釣魚者可以建立與他們希望獲取的認證不相關的藉口。以 iframe 形式實現的虛假瀏覽器視窗可以像真實視窗一樣進行拖曳，從而增加了真實感。提供適用於 Windows 和 MacOS 的模型，包括淺色和深色主題。此概念可以擴展以建立虛假的 SSL VPN 用戶端。
  • 偽造驗證碼：
    攻擊者使用偽造的 Google reCAPTCHA 挑戰進行人工驗證以部署惡意軟體。使用者不需要進行簡單的複選框或影像選擇，而是需要執行組合鍵操作。受害者不知道的是，使用 PowerShell 單行命令填滿了他們的剪貼簿。透過說明指引，受害者貼上並執行惡意程式碼，認為他們通過 CAPTCHA 。誘餌 HTA 檔案可以執行惡意程式碼並顯示虛假的錯誤訊息，以減少可疑性。

  執行方法可以有所不同，允許攻擊者使用各種手段執行其Payload。

• 最快、最省事的方法：Attacker-in-The-Middle (AITM)
  • AITM 涉及將攻擊者定位在受害者和伺服器之間，充當反向代理。網路釣魚者設定他們的伺服器以向合法網站發送請求，然後將回應發送回客戶端，從而受害者無法察覺。 Evilginx 3.0 等工具不僅可用於擷取認證，還可擷取Session（cookie、Token），從而繞過 MFA。
  • Evilginx 是一個靜態編譯的 Go 二進位檔，部署在暴露的主機上，其 DNS 記錄將網路釣魚網域指向Evilginx 。用 YAML 編寫的 Phishlets 定義了反向代理如何針對特定網站運行，包括指定要代理的網域和動態字串替換。 `js_inject` 指令可以將客制的 JavaScript 新增到傳回的回應中。 Modlishka 是另一個具有相同用途的工具，但它的維護頻率不如 Evilginx 高，並且缺乏一種簡單的方法來捕獲透過 cookie 以外的其他方式驗證的Session。
• 混合方法：無框架的瀏覽器中的瀏覽器
  • 無框 BITB 將 BITB 技術與真實的代理身份驗證網頁相結合，以提高有效性並繞過網路釣魚指標。它使用包含真實身份驗證網頁的虛假瀏覽器視窗。 BITB 效果是透過使用客制的 HTML 程式碼取代原始驗證網頁的元素來實現的，從而無需使用 iframe。使用者與攻擊者的網頁進行互動，該網頁似乎在後台使用不相關的 URL ，同時顯示由 Evilginx 代理的原始身份驗證網頁。
• 重量級的方法：
  • 無VNC：
    該技術涉及在實際瀏覽器中建立一個虛假的瀏覽器窗口，以降低「檢查 URL」建議的可靠性。網路釣魚者使用 HTML、CSS 和 JavaScript 重現透過受信任的第三方進行身份驗證的行為。透過將登入過程轉移到具有看似合法的 URL 的虛假瀏覽器網頁，網路釣魚者可以建立與他們希望獲取的認證無關的藉口。以 iframe 形式實現的虛假瀏覽器視窗可以像真實視窗一樣進行拖曳，從而增加了真實感。提供適用於 Windows 和 MacOS 的模型，包括淺色和深色主題。此概念可以擴展以建立虛假的 SSL VPN 用戶端。
    EvilnoVNC 使用 Docker 容器對瀏覽器進行沙箱 (Sand Box) 處理並降低逃脫風險。受害者的個人資料被保存，允許攻擊者導入並劫持經過身份驗證的 Session 。某些 Session cookie 無法透過匯入在其他瀏覽器中重複使用，需要 Session 保持「運作」。
  • WebRTC：
    這會將瀏覽器置於客戶端和網站之間，將瀏覽器傳輸到目標。目標的操作在受控的瀏覽器中複製，從而使攻擊者能夠控制使用者的輸入。 CuddlePhish 使用專為螢幕共用而設計的技術 WebRTC 來執行此攻擊。瀏覽器在 Xvfb 內部運作並使用 Puppeteer 進行控制。 CuddlePhish 有一個管理部分，用於執行諸如重新導向、控制瀏覽器和獲取 cookie 等操作。如果 STUN 被阻止，CuddlePhish 將恢復到 TURN。

網路釣魚技術比較

✅ : Fully | ⚠️ : Partially | ❌ : Not

網路釣魚基礎設施

對於任何網路釣魚攻擊來說，強大的基礎設施都至關重要。

• 託管：一個低規格的簡單 VPS 就足夠了，但更簡潔的方法涉及劃分服務並正確處理敏感資料。 Session cookie 或認證等敏感資料應儲存在具有完全存取權限的安全機器上。公開的反向代理可以將請求轉送到內部區域服務。
• 域名：選項包括註冊新網域、註冊過期網域或使用受信任的網域。網域的年齡對於網路釣魚偵測至關重要。 ExpiredDomains.net 可用於尋找具有現有分類的過期網域名稱。雲端服務可用於借用可信任網域，主要雲端提供者都提供相同的結果。
• 編排：編排涉及協調不同的元素，其中 Gophish 是管理多個活動的合適工具。 Gophish 允許使用者管理活動、建立目標「群組」以及設定「傳送設定檔」。它還允許用戶直接在瀏覽器中建立電子郵件和登入網頁模板，然後匯入它們。 Kuba Gretzky 建立了一個 Gophish 分支，可與他的 Evilginx 工具整合。
• 保護：保護基礎設施包括控制誰存取網路釣魚網頁。基本保護包括使用 Nginx 設定根據使用者代理和 IP 位址將訪客列入白名單。可以使用 Cloudflare 等外部提供者來緩解機器人攻擊。另一個選擇是使用 Google reCAPTCHA。指紋 (Fingerprint) 是一種收集指標並使用「智慧訊號」進行評估的Script，可用於識別有效目標。

散播方式

發送令人信服的網路釣魚電子郵件需要仔細考慮寄件者和電子郵件的外觀。

• 寄件人

  實施電子郵件安全措施，阻止網路釣魚電子郵件。

• 電子郵件外觀

  網路釣魚者複製電子郵件佈局以利用「視覺熟悉度」。品牌模仿涉及重現潛在受害者經常看到和識別的圖案和細節。 HTML 標誌可以繞過遠端內容或 base64 編碼圖像的限制。權威偏見和「緊迫性偏見」也可以被利用。

• 關聯

  短網址、XSS 和 Open Redirect 漏洞可被利用來使惡意連結看起來值得信賴。雲端供應商提供了一種建立看似合法的 URL 的方法，使其成為完美的網路釣魚工具。

結論

文章全面分析了網路釣魚攻擊的現狀，強調了其日益複雜的狀況及其帶來的挑戰。網路釣魚已經從基本的 HTML 網頁發展到高級技術，例如瀏覽器中的瀏覽器 (BITB)、中間人攻擊者 (AITM) 和基於 WebRTC 的方法，而無框 BITB 等混合方法進一步增強了其有效性。本文的要點包括：

• 不斷發展的技術：網路釣魚攻擊現在採用先進的方法來繞過多因素身份驗證並創造令人信服的用戶體驗。
• 基礎設施利用：攻擊者利用雲端提供者網域和複雜的散播方法，使惡意電子郵件更難被發現。
• 人為因素：社會工程策略利用視覺熟悉度、權威性和緊迫性等心理偏見來操縱受害者。
• 防禦策略：有效的防禦需要多層次的方法，將技術控制與知情的安全團隊和員工意識結合。

本文強調，隨著攻擊者不斷改進其技術，組織必須採取主動和全面的方法來防禦網路釣魚攻擊。

參考資料