PhishingKitTracker是一款功能强大的钓鱼活动跟踪工具包。它集成了众多最新钓鱼攻击工具,旨在支持广大研究人员的数据分析和取证工作。除了提供基本的数据分析功能外,PhishingKitTracker还能提供简单的统计信息,帮助用户更好地了解网络钓鱼活动的情况。
该项目中包含了大量网络钓鱼工具,这些工具被许多网络犯罪分子用于窃取用户信息。这些工具的原始版本存储在项目的raw目录中,请广大研究人员不要将其用于恶意目的。PhishingKitTracker利用Git大文件系统(Git Large File Storage, Git-LFS)进行托管,因此,在克隆该项目之前,需要先安装Git-LFS。
工具下载
在配置好Git-LFS后,研究人员可以使用以下命令将PhishingKitTracker项目源码克隆至本地:
1 git clone https://github.com/marcoramilli/PhishingkitTracker.git原始数据
项目的raw目录包含了最新的网络钓鱼工具的原始版本。这些工具由后台脚本持续不断地从公共资源网站收集,并下载到raw文件夹中。由于许多工具的大小超过了100MB,因此该项目选择了使用Git大文件系统来进行托管。
以下是该项目中部分网络钓鱼工具的列表:
统计信息
Stats目录中包含了两个持续更新的文件:
files_name文件中包含了扫描到的钓鱼工具文件名之间的相关率,用于验证网络钓鱼工具的真实性。sites文件中包含了托管目标钓鱼工具的域名出现频率,即保存了钓鱼工具的托管域名。如果跟踪的钓鱼工具没有重复,则频率和文件名都是唯一的。例如,“3 li.humanbiomics-project.org”意味着工具已经在“li.humanbiomics-project.org”上找到了三款不同的网络钓鱼工具。这些文件由以下bash脚本生成:
1. ls raw/ | cut -d'_' -f1 | uniq -c | sort -bgr > stats/sites.txt
2. ls raw/ | cut -d'_' -f2 | uniq -c | sort -bgr > stats/files_name.txtSIMILARITY.CSV结构
SIMILARITY.CSV文件的相似性结构数据包含FileA、FileB、SimilarityAVG、SimilarityMin和SimilarityMax。其中:
- FileA:待分析的钓鱼工具文件。
- FileB:需要跟FileA进行对比的钓鱼工具文件。
- SimilarityAVG:SimilarityAVG是相似性的平均值,这个平均值是通过将FileA中的每个文件与FileB中的每个文件对比计算得出的。
- SimilarityMin:SimilarityMin是PhishingKitA和PhishingKitB之间的最低相似度值。
- SimilarityMax:SimilarityMax是PhishingKitA和PhishingKitB之间的最大相似度值。
如果你想要自行生成SIMILARITY.CSV,我们还在src目录中提供了一个简单的脚本来帮助你实现。
src文件配置
广大研究人员可以根据自己的需求来修改compute_similarity.py文件中的变量,例如:
1 EXTENSION_FOR_ANALYSIS['.html','.js','.vbs','.xls','.xlsm','.doc','.docm', '.ps1']
2 OUTPUT_FILE = 'similarity.csv'
3 RAW_FOLDER = '/tmp/raw/'
4 TEMP_FOLDER = '/tmp/tt'当研究人员修改了脚本运行参数之后,该工具将会进入RAW_FOLDER目录下,获取.zip文件,并计算两个文件的代码相似度。处理完成后,该工具会将分析结果存储至OUTPUT_FILE中。接下来,我们就可以将其以文件的形式导入到其他的电子表格处理工具中,并显示代码的相似度分析结果。
目前,PhishingKitTracker只能支持进行zip文件对比。
项目地址
PhishingKitTracker的GitHub传送门:项目链接
声明
我们尊重原创,发布的文章除注明作者和文章来源外,均会注明来源。如作者见到请及时联系我们,我们在得到您的授权后重新发布或第一时间删改,谢谢!文章来源:FreeBuf。
