Phishing Kit を解説:検出を回避する手口と延命のための悪知恵とは?

Phishing kits constantly evolve to evade security software

2022/03/24 BleepingComputer — サイバー犯罪フォーラムで販売されている最新の Phishing Kit は、インターネット・セキュリティ・ソリューションが脅威として認識しないように、複数の高度な検知回避システムとトラフィック・フィルタリング・システムを備えている。有名ブランドを模倣した偽 Web サイトは、インターネット上に数多く存在し、被害者を誘い出し、支払詳細やアカウント情報を盗み出す。これらの偽 Web サイトの多くは、ブランドのロゴやリアルなログ・インページを提供するが、基本的な要素から組み立てられた動的な Web ページなどを特徴とする、高度な Phishing Kit も存在する。

Advanced phishing kit dictionary
Advanced phishing kit dictionary (Kaspersky)

Phishing Kit は、前日の検知によりブロックされたサイトを置き換えるために、毎日のように何百もの偽 Web サイトを立ち上げる必要があるため、多くの脅威アクターたちは使用している。しかし、だからといって、これらの Kit の作者が、長期間におよぶ稼働を実現するために、アンチ・ディテクション・システムを組み込む努力を放棄するわけはない。Kaspersky が、その主な方法をまとめたレポートを発表している

フィッシング・キットを隠蔽する方法

まず、Phishing Kit には、ボット、および、解析ソフト、対象外のゲスト侵入を防ぐビジター・フィルタリング設定などが施されている。また、検索結果の上位に出てしまうと露出のリスクが高まり、速やかな検知につながるため、検索エンジン・クローラーからのアクセスをブロックする必要がある。そして、インターネット・セキュリティ・ツールからの検出を防ぐことを目的とした、難読化のオプションも存在する。

  • シーザー暗号:テキスト中の全文字を、アルファベットの下位にある固定された文字に置き換えることで、コンテンツが意味をなさないようにする。ページが読み込まれると、シフトは元に戻り、正しい文字が表示される。
  • ページソース・エンコーディング:テキストまたはページの HTML コードに AES もしくは base64 エンコーディングを施し、シーザー方式よりはるかに強力な符号化を行う。ページが読み込まれる際に、ブラウザ上でコンテンツがデコードされる。
  • 見えない HTML タグ:ページがブラウザでレンダリングされるときに非表示になり、悪意の部分を隠す無害なノイズとしてのみ機能する、数多くのジャンク HTML タグを追加する。
  • 文字列のスライス:文字列を再整理可能な文字群に切り分け、コード表を用いて参照する。つまり、ページが読み込まれると、文字列は再び組み立てられて完成する。
  • HTML 属性のランダム化:ランダムなタグ属性値を大量に追加し、アンチフィッシング・ツールの推測を信頼できないものにする。それにより効果的に無効化し、放置させる。
Junk HTML tags in phishing site
Junk HTML tags in phishing site (Kaspersky)


また、上記のトリックの中には、被害者から盗み出したデータや Phishing Kit のコードを難読化し、他のギャングによるタダ乗りのコピー/フォークを防ぐためにも使用される。

移り変わる市場

Kaspersky によると、2021年には、少なくとも 120 万件の Phishing Web サイト をサポートする、469の個別の Phishing Kit が検出されている。

Number of unique domains using the top 10 phishing kits
Number of unique domains using the top 10 phishing kits (Kaspersky)


Kaspersky が強調しているように、アンチボット/アンチディテクション/ジオブロックなどの機能を含む、高度な Phishing Kit の数は常に増加している。これらのサイトへの URL は、電子メール/インスタント・メッセージ/フォーラム/YouTube などを通じて流布されているため、注意が必要となる。

さきほどの Botnet-as-a-Service の話に続いて、今度は Phishing Kit です。2021年9月22日の「Microsoft 警告:Phishing-as-a-Service (PHaaS) が流行りだしてきた」や、2022年2月17日の「2022年の脅威を予測する:Malware-as-a-Service と Phishing-as-a-Service と・・・」で、Phishing-as-a-Service の動向を追いかけてきましたが、Phishing Web サイト は 120万もあり、Phishing Kit の方は 469 種類もあるようです。ビジネスとして回転しているから、このような投資が可能なのでしょう。

%d bloggers like this: