Bluekit PHaaS 平台 BitM 浏览器中间人钓鱼攻击机理与防御体系研究

Bluekit PHaaS 平台 BitM 浏览器中间人钓鱼攻击机理与防御体系研究 摘要传统代理型 AiTM 中间人钓鱼工具存在会话设备指纹不匹配、易被风险访问策略拦截的固有缺陷新型 PHaaS 钓鱼平台 Bluekit 创新采用 Browser-in-the-MiddleBitM浏览器中间人攻击架构依托 rrweb 屏幕录制、WebSocket 实时数据流、WebRTC 设备指纹检测实现全链路规避安全设备识别。2026 年 6 月 Netcraft 监测数据显示一周内全球上线 70 余个 Bluekit 恶意站点该工具面向微软等主流云身份系统实施账号劫持可完整捕获账号密码、多因素认证凭证与有效会话令牌大幅突破现有 MFA、设备基线风控防护机制。本文以 Bluekit 完整攻击链路为核心研究对象分层拆解预攻击机器人识别、BitM 实时页面镜像劫持、会话持久窃取三层技术流程对比 Evilginx 等传统 AiTM 工具的技术代差梳理多层规避检测架构实现逻辑反网络钓鱼技术专家芦笛指出BitM 攻击依托攻击者受控浏览器原生会话上下文设备指纹全程保持一致传统基于代理流量、会话重放的检测手段完全失效需从前端特征、网络流量、身份风控三层重构防御体系。本文基于攻击特征设计轻量化 Python 多维度检测代码构建事前机器人拦截、事中 BitM 流量识别、事后会话异常审计的闭环防护方案弥补现有钓鱼检测体系对浏览器中间人新型攻击的识别盲区为政企云身份平台、企业网关安全运维提供可落地技术参考。关键词网络钓鱼PHaaSBitM 浏览器中间人AiTMrrwebWebRTC会话劫持反钓鱼防御1 引言1.1 研究背景云协同办公、单点登录 SSO、多因素认证 MFA 已成为政企数字化身份安全基础设施为抵御传统仿站钓鱼、账号暴力破解提供基础防护。伴随身份安全体系迭代网络黑产逐步转向中间人钓鱼攻击以 Evilginx 为代表的 AiTM 代理工具长期成为窃取云身份凭证的主流载体但该类工具存在无法规避设备指纹校验的短板攻击者通过代理转发用户登录流量窃取会话令牌后在自有设备重放会话浏览器 UA、硬件特征、IP 地址与用户原始终端存在明显差异极易触发微软 Entra ID、Google Workspace 等平台风险访问阻断策略。2026 年海外安全厂商 Varonis Threat Labs 首次披露处于开发阶段的 Bluekit 钓鱼即服务平台同年 6 月 Netcraft 持续监测证实该平台已完成商业化上线并大规模投放一周内累计捕获 70 个活跃恶意域名。Bluekit 摒弃传统反向代理中间人架构创新性引入 Browser-in-the-Middle 浏览器中间人攻击范式依托远程浏览器实时渲染合法登录页面通过 rrweb 开源录屏工具、WebSocket 双向数据流同步用户全部 DOM 交互行为结合 WebRTC STUN 服务器探测完成多层机器人识别形成 “前置规避检测 — 实时浏览器劫持 — 完整会话窃取” 标准化攻击链路。该工具无需篡改目标网站前端代码受害者访问页面为真实可交互官方界面仅存在轻微鼠标操作延迟隐蔽性远超传统仿站钓鱼与代理中间人攻击针对政企职员、企业管理员、境外办公人员定向投放后账号失陷率显著提升。当前学术界与产业界针对中间人钓鱼的研究多聚焦 Evilginx、sslstrip 等传统代理型 AiTM 工具针对 BitM 浏览器中间人新型攻击的技术拆解、检测方案研究存在明显空白现有网络网关 WAF、终端 EDR、云身份风控均未适配 BitM 攻击独有特征无法区分普通合法访问与远程受控浏览器劫持流量安全防护存在系统性短板。基于上述现实威胁与研究缺口本文依托 Hackread 发布的 Bluekit 完整技术情报系统剖析 BitM 攻击底层运行逻辑对比传统中间人工具核心差异搭建分层闭环防御架构并配套自动化检测代码完善新型浏览器中间人钓鱼的理论研究与工程防护体系。1.2 研究意义1.2.1 理论意义本文拓展中间人网络钓鱼攻击的分类框架区分代理型 AiTM 与浏览器型 BitM 两类攻击范式厘清二者在会话生成、设备指纹、流量传输、规避检测层面的核心边界完整归纳 PHaaS 商业化钓鱼平台分层规避检测技术体系梳理 WebRTC 设备探测、硬件指纹校验、模拟人机验证等反爬虫机制的攻防逻辑构建面向 BitM 攻击的多维度风险识别理论模型填补端侧远程浏览器劫持场景下钓鱼检测理论空白为后续同类新型中间人钓鱼工具研究提供标准化分析范式。1.2.2 实践意义第一完整拆解 Bluekit 全链路攻击流程与技术细节明确 BitM 攻击区别于传统钓鱼的独有特征为安全运维人员建立新型威胁识别标准第二设计轻量化 Python 综合检测模块集成机器人行为识别、BitM WebSocket 流量特征抓取、远程录屏脚本检测功能可部署于企业出口网关、WAF、云身份风控后台第三针对云身份平台设备基线校验、MFA 防护机制提出优化改造方案解决传统风控无法识别 BitM 会话劫持的痛点第四形成标准化事前预警、实时拦截、事后溯源处置流程降低政企云账号、企业办公系统遭受 BitM 钓鱼攻击的泄密风险。1.3 研究内容与文章框架本文主体分为七大模块第一部分梳理 Bluekit 平台商业化现状、攻击目标与整体威胁规模第二部分分层拆解 Bluekit 双层运行架构完整还原预攻击规避检测、BitM 浏览器中间人劫持两大核心阶段技术流程第三部分横向对比 Bluekit BitM 与 Evilginx AiTM 代理中间人攻击的技术差异总结 BitM 攻击的核心优势与防御难点第四部分归纳当前政企安全防护体系针对 BitM 攻击存在的多层短板第五部分构建 “前端页面检测 — 网络流量识别 — 身份风控加固 — 人员安全管控” 四维闭环防御体系第六部分实现适配网关与风控平台的 BitM 钓鱼自动化检测 Python 代码并完成模块功能、部署场景解析第七部分总结全文研究结论提出 BitM 钓鱼攻击未来攻防演进方向。2 Bluekit PHaaS 钓鱼平台整体威胁概况2.1 Bluekit 平台商业化运营现状Bluekit 属于标准化钓鱼即服务PHaaS商业化平台攻击者无需具备前端、网络代理开发能力仅通过付费订阅即可获取全套 BitM 攻击工具链、恶意域名托管、机器人检测模板、远程浏览器调度服务。2026 年上半年 Varonis Threat Labs 监测到该平台处于内测开发阶段仅少量测试域名上线截至 6 月 Netcraft 专项监测数据显示单周内新增 70 个处于活跃攻击状态的恶意站点平台已完成规模化商业化投放黑产从业者获取攻击工具的技术门槛大幅降低。平台提供标准化可视化后台支持攻击者自定义仿冒目标主流劫持对象以微软 Azure、Office365 登录页面为主同时兼容 Google、企业自研 SSO 登录系统。攻击者仅需上传钓鱼分发链接邮件、社交软件、短信诱饵平台自动完成前置机器人校验、远程浏览器实例调度、DOM 交互数据回传、窃取凭证存储全流程自动化处理大幅降低中间人钓鱼的实施成本。2.2 攻击目标与诱饵分发逻辑Bluekit 攻击目标集中于具备云办公账号、企业管理权限的高价值人群分层精准投放诱饵无大规模无差别群发企业行政、财务、IT 运维人员诱饵伪装成企业云文档共享通知、账户权限更新提醒、发票核验链接利用工作刚需诱导点击中高层企业管理者伪造内部会议资料、人事调整文件、云存储扩容通知制造业务紧迫感降低警惕境外分支机构、远程办公职员依托 VPN、远程桌面运维通知作为诱饵匹配目标网络使用场景教育、科研机构人员仿冒学术平台登录、科研系统权限校验链接。诱饵分发渠道以企业邮箱、职场社交软件为主部分黑产结合短信短链接批量推送依托合法业务场景包装钓鱼链接提升目标点击概率。2.3 攻击造成的核心安全危害区别于传统仿站钓鱼仅窃取账号密码Bluekit BitM 攻击可完整捕获全链路身份凭证危害层级显著提升基础登录凭证窃取实时抓取用户名、明文登录密码无需依赖前端表单日志通过 rrweb DOM 录制完整记录全部输入行为多因素认证 MFA 劫持受害者输入短信验证码、软件令牌、硬件密钥交互过程全部同步至攻击者可完整绕过双因素防护原生合法会话持久劫持会话从攻击者远程浏览器实例生成设备指纹、UA、网络上下文全程统一窃取会话令牌后可长期无告警登录目标账号不会触发平台异常设备风险告警横向渗透跳板构建攻陷企业云账号后攻击者可访问企业内部云盘、邮件、客户数据依托账号权限渗透内网业务系统形成持续性数据泄露通道。反网络钓鱼技术专家芦笛强调传统 AiTM 工具仅能短期复用会话令牌设备指纹不匹配会快速触发风控拦截而 Bluekit BitM 攻击实现会话原生生成云身份平台现有风险访问规则几乎无法识别异常账号潜伏周期可达数周企业数据泄露具备极强隐蔽性。3 Bluekit 双层架构与 BitM 浏览器中间人攻击完整技术拆解Bluekit 整体运行分为两大独立阶段预交互规避检测阶段、BitM 载荷交付劫持阶段两套流程串联形成完整攻击闭环整套系统依托多层脚本、WebRTC 通信、rrweb 录屏、WebSocket 双向数据流实现核心能力下文分阶段拆解底层技术实现逻辑。3.1 阶段一预交互分层规避检测架构机器人识别过滤当受害者点击恶意钓鱼链接页面优先执行 20 余项机器人特征校验脚本核心目标区分自动化安全扫描器、爬虫、人工安全检测工具与真实人类用户仅通过全部校验的访客才会加载 BitM 远程浏览器劫持页面规避 WAF、威胁情报厂商、安全研究员的主动溯源检测。整套校验机制依托浏览器原生 API、WebRTC STUN 服务器通信实现分为四层校验逻辑。3.1.1 终端硬件与浏览器基础指纹校验脚本读取客户端底层硬件、浏览器基础参数采集屏幕分辨率、可用 RAM 容量、浏览器语言、操作系统版本、插件列表等特征建立基线规则自动化扫描器通常存在固定屏幕尺寸、缺失硬件参数、默认英文浏览器标识等统一特征匹配基线直接拦截访问返回空白页面或 404 错误安全设备无法抓取恶意页面载荷。3.1.2 WebRTC STUN 服务器网络环境探测调用 WebRTC 接口对接公共 STUN 服务器探测用户真实公网 IP、内网网段、代理 / VPN 链路特征若检测到用户使用数据中心代理、安全厂商专用扫描节点 IP直接阻断页面加载仅普通民用宽带、手机流量 IP 可进入下一阶段校验。该机制可有效规避安全厂商批量爬虫、云扫描节点对恶意站点的抓取。3.1.3 模拟 Cloudflare 人机验证二次筛选完成硬件、网络校验后页面展示仿 Cloudflare CAPTCHA 人机验证弹窗界面 UI、交互逻辑完全复刻官方验证页面普通用户无法分辨真伪。该步骤存在双重作用一是进一步过滤无交互能力的自动化扫描工具二是降低人类用户戒备心理完成验证后自然加载 “官方登录页面”减少用户中途退出概率。3.1.4 多层脚本混淆隐藏校验逻辑全部机器人检测 JavaScript 脚本采用多重 Base64 编码、字符串混淆、动态变量生成技术WAF 静态 JS 特征匹配无法识别恶意校验逻辑脚本分片段异步加载无完整恶意代码文本留存传统静态页面检测工具难以提取攻击特征进一步提升规避检测能力。3.2 阶段二BitM 浏览器中间人载荷交付与会话劫持核心流程完成全部预交互校验后系统调度攻击者后台受控远程浏览器实例启动 Browser-in-the-Middle 中间人攻击依托 rrweb 录屏框架、WebSocket 长连接实现受害者与攻击者浏览器的实时交互同步完整劫持登录会话整套流程分为五步。3.2.1 远程浏览器实例调度与合法页面加载Bluekit 后台维护分布式远程浏览器集群用户通过机器人校验后系统分配空闲无头浏览器实例实例内直接访问微软、Google 等官方真实登录域名加载完整原生合法登录页面不存在仿站伪造页面 DOM 结构页面证书、域名、前端资源全部为官方可信资源流量加密特征与正常用户访问无差异网关无法通过页面内容识别钓鱼行为。3.2.2 rrweb 录屏与 WebSocket 双向数据流搭建远程浏览器实例内置 rrweb 开源录屏组件建立 WebSocket 长连接与受害者本地浏览器双向通信上行数据流远程浏览器页面全部 DOM 变更、鼠标点击、键盘输入、弹窗交互操作实时序列化通过 WebSocket 推送至受害者本地浏览器渲染展示受害者视觉上看到完整、可正常操作的官方登录界面下行数据流受害者本地鼠标、键盘操作指令反向通过 WebSocket 回传至攻击者远程浏览器实例所有输入行为直接作用于真实登录页面 DOM 元素。技术核心受害者所有账号、验证码输入操作直接写入攻击者受控浏览器的官方登录表单数据不会经过钓鱼站点中间代理转发不存在代理流量篡改特征传统 AiTM 流量检测规则完全失效。3.2.3 凭证实时捕获与会话令牌留存攻击者后台同步监听远程浏览器 DOM 输入事件与存储容器键盘输入监听完整记录用户名、登录密码、MFA 验证码全部明文内容实时存储至 Bluekit 平台后台数据库浏览器存储劫持登录完成后远程浏览器生成的会话 Cookie、身份令牌、持久登录凭证全部留存于攻击者实例无需从受害者终端窃取令牌不存在会话跨设备重放行为。3.2.4 原生统一设备指纹规避风控告警传统 Evilginx 类 AiTM 工具流量经代理转发受害者终端与攻击者登录设备属于两套独立浏览器环境UA、硬件指纹、IP 地址存在明显冲突云身份风控识别设备不匹配直接阻断会话。Bluekit BitM 攻击中登录会话完整生成于攻击者远程浏览器实例平台记录的设备指纹、浏览器标识、网络 IP 均为攻击者远程浏览器统一特征全程无设备信息变更云身份风险访问策略无法识别会话异常攻击者可长期持有有效登录会话静默访问目标企业系统。3.2.5 交互隐蔽性设计降低用户察觉概率整套交互仅存在轻微鼠标点击延迟无页面错位、图片加载失败、证书报错等传统钓鱼典型异常特征页面跳转、弹窗、验证流程与官方站点完全一致普通用户难以通过视觉、交互感知识别劫持行为仅极少数具备安全专业知识的用户可通过操作延迟判断异常。3.3 BitM 攻击完整数据闭环逻辑从诱饵点击、机器人校验、远程浏览器渲染、用户交互输入、凭证回传、会话持久持有形成完整自循环攻击闭环受害者完成登录认证后攻击者无需二次操作即可持续使用合法会话访问目标账号同时平台支持攻击者导出全部窃取凭证、会话 Cookie用于横向渗透其他关联业务系统平台同步记录目标企业域名、账号信息用于后续批量生成同类型钓鱼诱饵持续扩大攻击范围。4 Bluekit BitM 与传统 AiTM 中间人钓鱼技术对比及防御难点4.1 Bluekit BitM 与 Evilginx 代理型 AiTM 核心差异对比当前主流中间人钓鱼以 Evilginx 反向代理 AiTM 为代表二者技术架构、会话生成逻辑、规避检测能力存在本质代差多维度对比如表 1 所示。表 1 BitM 浏览器中间人攻击与传统代理 AiTM 攻击对比表格对比维度 Bluekit BitM 浏览器中间人 Evilginx 代理型 AiTM 中间人页面来源 攻击者远程浏览器加载官方真实页面 钓鱼服务器反向代理转发官方页面数据传输链路 WebSocket 双向同步 DOM 交互无代理转发 HTTP/HTTPS 代理流量中转全部数据经过钓鱼服务器会话生成位置 攻击者受控远程浏览器实例 受害者本地浏览器代理转发凭证设备指纹一致性 全程统一无设备特征冲突 受害者终端与攻击者设备指纹完全割裂MFA 劫持能力 完整捕获全部验证交互无拦截限制 可窃取验证码但会话重放易触发风控静态页面检测抗性 页面为官方原生资源无恶意 DOM 特征 页面存在代理转发特征WAF 可识别机器人规避手段 20 余项硬件 WebRTC 网络多层校验 仅基础 UA、Cookie 简单爬虫过滤用户可感知异常 仅轻微鼠标操作延迟 页面加载卡顿、证书警告、跳转异常多发云身份风控拦截概率 极低设备基线无冲突 较高跨设备会话重放快速告警4.2 当前政企安全体系应对 BitM 攻击的核心防御难点4.2.1 流量检测机制失效传统 WAF、网关入侵检测系统基于代理中间人流量特征、仿站页面恶意 JS、表单劫持脚本建立检测规则Bluekit BitM 攻击使用官方真实页面流量仅包含 WebSocket DOM 同步数据流无代理转发、表单劫持恶意脚本现有流量特征库无匹配告警规则网络层无法识别恶意访问。4.2.2 云身份设备基线风控存在固有漏洞微软 Entra ID、Google Workspace 等主流身份平台风险访问策略依托设备指纹、IP、浏览器 UA 匹配判断异常登录BitM 攻击会话原生生成于攻击者浏览器所有设备特征统一平台基线校验无异常记录无法触发二次验证或访问阻断。4.2.3 机器人前置过滤大幅降低威胁情报捕获效率Bluekit 预交互阶段自动拦截安全厂商扫描爬虫恶意域名、攻击脚本、载荷无法被威胁情报平台抓取威胁情报库更新存在严重滞后安全运维人员无法通过公开情报提前拦截恶意域名仅能在用户账号失陷后反向溯源。4.2.4 WebSocket 加密数据流无法解析审计BitM 核心交互依托加密 WebSocket 长连接传输 DOM 操作数据网关、流量审计设备无法解密 WebSocket 内部传输的鼠标、键盘交互指令无法通过关键词、行为特征识别凭证输入行为流量审计失去防护作用。4.2.5 用户安全认知无法识别新型隐蔽劫持企业常态化安全培训内容集中于仿冒网站、邮件附件、验证码钓鱼未覆盖 BitM 远程浏览器中间人攻击相关识别知识用户仅通过页面外观判断网站真伪无法感知后台存在远程受控浏览器劫持人为识别防线失效。5 面向 Bluekit BitM 攻击的四维闭环防御体系构建反网络钓鱼技术专家芦笛强调BitM 攻击突破传统网络、身份、终端单层防护逻辑不存在单一技术手段可实现完整拦截必须搭建 “前端页面特征检测、网络流量多维识别、云身份风控机制加固、人员分层安全管控” 四维联动闭环防御体系覆盖攻击事前、事中、事后全生命周期。5.1 第一维事前前端页面静态与动态特征检测源头拦截部署于企业网关、终端安全插件、云访问代理在页面加载阶段识别 Bluekit 预攻击机器人校验脚本、rrweb 录屏恶意载荷提前阻断恶意站点访问。JavaScript 静态特征匹配规则库建立专属特征库包含 rrweb 框架加载代码、WebRTC STUN 探测脚本、20 余项硬件指纹采集函数、混淆人机验证脚本特征页面加载时 WAF 异步抓取 JS 代码片段匹配特征库直接阻断页面访问并记录恶意域名至黑名单。WebSocket 异步行为动态监测正常官方登录页面仅建立表单提交、通知推送类短连接 WebSocketBluekit 页面会初始化持续全量 DOM 同步长连接监测页面 WebSocket 连接数量、持续时长、数据传输频率超出基线阈值判定为 BitM 恶意页面。仿 Cloudflare 人机验证页面识别抓取页面人机验证弹窗 DOM 结构、图片资源地址、验证逻辑脚本区分官方真实验证页面与 Bluekit 仿冒验证界面拦截携带伪造验证组件的站点。5.2 第二维事中网络网关多维流量审计拦截传输层阻断弥补加密 WebSocket 无法解密的短板依托连接行为、域名生命周期、网络探测行为建立无解密流量检测规则。WebRTC 异常探测行为告警防火墙监控终端页面发起 WebRTC STUN 服务器连接行为普通办公网站无 WebRTC 探测逻辑仅视频会议、实时通信网站存在相关请求登录页面触发 WebRTC 网络指纹探测直接标记高危访问弹窗提醒用户并阻断站点。恶意域名生命周期管控建立域名风险评分机制新注册 7 天内域名、境外匿名注册商域名、无备案境外域名自动加权高风险结合威胁情报库定期同步 Bluekit 恶意域名列表网关全局拦截访问请求。WebSocket 流量基线管控针对企业员工访问微软、Google 登录域名建立 WebSocket 流量基线限制单页面长连接持续传输 DOM 序列化数据超出传输流量阈值自动断开连接并上报安全运维平台。5.3 第三维云身份平台风控机制加固会话层兜底防护针对 BitM 攻击设备指纹统一、无跨设备会话特征的漏洞重构身份平台风险访问判断逻辑补充多维度校验维度。新增操作时序行为基线除设备、IP 指纹外采集用户鼠标操作间隔、键盘输入速度、页面滚动轨迹等人机行为特征BitM 攻击存在固定操作延迟偏差行为时序与正常用户存在明显差异触发额外二次身份核验。会话持久化分级管控关闭默认持久登录权限高权限账号强制单次会话有效时限超过时限自动下线禁止陌生网络环境长期留存会话 Cookie定期强制重新完成 MFA 验证。企业内网 IP 白名单绑定政企办公账号绑定企业固定办公 IP 段外部公网 IP 访问时强制启用硬件密钥二次验证即便 BitM 窃取会话令牌外部 IP 访问仍会触发高强度身份校验阻断账号操作。5.4 第四维人员安全意识常态化管控长效治本技术防护存在规则绕过可能性人员安全认知是闭环防御最后屏障针对 BitM 攻击开展专项分层培训。BitM 新型钓鱼专项科普培训向全体员工讲解 BitM 攻击核心特征正规登录页面不会出现明显鼠标点击延迟、官方站点不会在登录前强制弹出第三方人机验证、任何登录页面调用网络探测、硬件信息采集脚本均为恶意站点定期推送 Bluekit 攻击案例演练。可疑链接标准化核验流程制定办公链接核验规范收到陌生云文档、权限更新链接禁止直接点击通过企业内部通讯渠道联系发件人线下核验访问登录页面出现操作延迟、额外验证弹窗立即关闭页面并上报安全部门。钓鱼诱饵一键上报机制终端安全插件内置可疑页面一键上报功能员工发现仿冒验证、页面操作延迟、异常网络探测弹窗可实时上传页面源码、域名、流量日志运维团队快速提取攻击特征同步更新全网 WAF 拦截规则。5.5 事后失陷账号标准化应急处置闭环若出现员工账号遭 BitM 劫持事件执行标准化处置流程降低泄密损失会话紧急失效身份平台一键注销该账号全部在线会话作废所有本地存储会话 Cookie 与持久凭证强制用户重置登录密码、更换 MFA 绑定设备。恶意站点溯源取证提取钓鱼域名、页面 JS 载荷、WebSocket 流量日志上传威胁情报平台全网同步拦截该域名及同特征站点。横向风险排查检索企业内部同部门、同岗位员工访问记录批量推送 BitM 钓鱼风险预警排查是否存在同类诱饵扩散。防御体系迭代复盘梳理攻击突破防护环节补充 JS 特征、流量基线、身份风控规则更新员工安全培训案例填补防护短板。6 BitM 钓鱼攻击自动化检测 Python 代码实现基于前文网关、WAF、云风控平台检测需求开发三合一轻量化检测模块包含三大核心功能页面 JS 恶意特征识别、WebRTC/WebSocket 流量行为检测、人机验证仿冒页面判定适配 Python3.9 及以上版本依赖 requests、beautifulsoup4、re、websockets 开源库无重型深度学习框架支持网关离线批量扫描与在线实时检测双模式。6.1 环境依赖安装命令pip install requests beautifulsoup4 websockets re6.2 完整可运行检测代码import reimport requestsfrom bs4 import BeautifulSoupfrom requests.exceptions import RequestException# 全局BitM攻击风险特征库 # rrweb录屏组件恶意JS特征字符串RRWEB_MALICIOUS_SIGN [rrweb.record, rrweb.Replayer, rrweb-snapshot]# WebRTC STUN探测脚本特征WEBRTC_STUN_SIGN [RTCPeerConnection, stun:stun., getStats()]# 仿Cloudflare人机验证DOM特征FAKE_CAPTCHA_SIGN [cf-turnstile, cloudflare-challenge, fake-captcha-box]# WebSocket长连接DOM同步风险标识WS_DOM_SYNC_SIGN [websocket.send(JSON.stringify(snapshot))]# 硬件指纹采集脚本关键词HARDWARE_FINGER_SIGN [screen.width, navigator.deviceMemory, navigator.language]# 风险判定总分阈值≥6判定为BitM恶意钓鱼页面RISK_THRESHOLD 6# 模块1页面静态JS特征检测 def detect_bitm_js_feature(page_html: str) - dict:解析页面HTML匹配Bluekit预攻击与BitM劫持恶意JS特征risk_score 0risk_label []soup BeautifulSoup(page_html, html.parser)script_list soup.find_all(script)all_script_text for script in script_list:text str(script.string) if script.string else str(script.get(src, ))all_script_text text# 检测rrweb录屏组件for sig in RRWEB_MALICIOUS_SIGN:if sig in all_script_text:risk_score 3risk_label.append(f页面加载rrweb录屏组件BitM核心特征{sig})# 检测WebRTC STUN网络探测脚本for sig in WEBRTC_STUN_SIGN:if sig in all_script_text:risk_score 2risk_label.append(f页面存在WebRTC IP探测脚本{sig})# 检测硬件指纹采集代码for sig in HARDWARE_FINGER_SIGN:if sig in all_script_text:risk_score 1risk_label.append(f页面采集终端硬件指纹{sig})# 检测WebSocket DOM同步传输代码for sig in WS_DOM_SYNC_SIGN:if sig in all_script_text:risk_score 3risk_label.append(WebSocket长连接同步DOM操作BitM劫持特征)# 检测仿冒Cloudflare人机验证for sig in FAKE_CAPTCHA_SIGN:if sig in page_html:risk_score 2risk_label.append(页面包含伪造Cloudflare人机验证弹窗)is_malicious True if risk_score RISK_THRESHOLD else Falsereturn {js_risk_score: risk_score,risk_detail: risk_label,js_malicious_flag: is_malicious}# 模块2URL页面综合抓取检测 def analyze_bitm_target_url(target_url: str) - dict:请求目标页面获取HTML并执行JS特征检测捕获访问异常风险risk_score 0risk_label []headers {User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/120.0.0.0 Safari/537.36}try:resp requests.get(target_url, headersheaders, timeout8, verifyFalse)html_content resp.textjs_detect_res detect_bitm_js_feature(html_content)risk_score js_detect_res[js_risk_score]risk_label.extend(js_detect_res[risk_detail])# 页面状态码异常风险加分if resp.status_code not in [200, 403]:risk_score 1risk_label.append(f页面返回异常状态码{resp.status_code})except RequestException:risk_score 4risk_label.append(链接访问超时/连接失败疑似Bluekit隐匿恶意站点)url_malicious True if risk_score RISK_THRESHOLD else Falseoutput {target_url: target_url,total_risk_score: risk_score,risk_info: risk_label,is_bitm_phish: url_malicious}return output# 模块3批量检测入口函数 def batch_bitm_scan(url_list: list):批量扫描多个钓鱼链接输出综合检测结果scan_result []for link in url_list:res analyze_bitm_target_url(link)scan_result.append(res)return scan_result# 测试示例 if __name__ __main__:# 模拟Bluekit恶意钓鱼链接测试test_malicious_url https://fake-login-top.xyz/microsoft-authtest_urls [test_malicious_url, https://office365.com]scan_output batch_bitm_scan(test_urls)import jsonprint(json.dumps(scan_output, ensure_asciiFalse, indent2))6.3 代码模块功能解析页面 JS 静态特征检测模块核心匹配 rrweb 录屏组件、WebRTC 网络探测、硬件指纹采集、WebSocket DOM 同步、伪造人机验证五大 Bluekit 独有特征输出风险评分与特征标签部署于 WAF 页面解析节点页面加载前完成拦截URL 综合抓取检测模块模拟标准浏览器 UA 访问目标站点抓取完整页面源码调用 JS 检测函数对无法正常访问的隐匿站点自动加高风险分值适配网关在线实时检测批量扫描入口支持批量导入企业员工访问日志中的外部链接离线回溯扫描历史访问记录排查已发生的 BitM 钓鱼访问行为用于事后风险溯源审计。6.4 落地部署适配场景企业出口 WAF、云访问安全代理 CASB实时拦截员工访问 BitM 恶意站点云身份风控后台对用户点击的外部登录链接自动执行扫描检测安全运维审计平台每日批量扫描员工邮件、办公软件内外部链接终端 EDR 安全插件本地检测浏览器加载页面的恶意 JS 脚本本地弹窗告警阻断访问。7 结论与研究展望7.1 研究结论本文以 2026 年 6 月大规模商业化投放的 Bluekit PHaaS BitM 浏览器中间人钓鱼平台为核心研究样本完整拆解新型中间人攻击双层运行架构对比传统代理 AiTM 工具技术代差形成三项核心研究结论第一网络钓鱼中间人攻击完成技术范式迭代从代理转发式 AiTM 转向远程浏览器渲染 BitM 架构。Bluekit 依托 rrweb 录屏、WebSocket 双向数据流实现真实官方页面镜像劫持会话原生生成于攻击者受控浏览器设备指纹全程统一彻底规避云身份平台基于设备基线的风险访问拦截机制搭配 20 余项硬件、WebRTC 网络前置机器人校验大幅降低被安全设备捕获的概率现有传统流量、页面检测体系基本失效。反网络钓鱼技术专家芦笛指出BitM 攻击打破 “MFA 设备指纹” 双重防护的固有安全认知单纯依靠身份认证机制无法抵御此类新型社工劫持攻击。第二当前政企多层安全防护存在系统性短板网络网关无法解析加密 WebSocket DOM 同步流量、云身份风控缺少人机行为时序校验维度、威胁情报难以抓取前置过滤后的恶意站点、员工安全培训未覆盖 BitM 隐蔽劫持识别要点单一防护维度无法阻断完整攻击链路必须构建页面静态检测、网络流量审计、身份风控加固、人员安全管控四维联动闭环防御体系实现事前、事中、事后全流程防护。第三本文设计的轻量化 Python BitM 钓鱼自动化检测模块精准匹配 Bluekit 独有 JS、WebRTC、WebSocket 特征支持在线实时拦截与离线批量溯源双场景部署可快速集成至企业 WAF、CASB、终端安全插件填补新型浏览器中间人攻击自动化识别工具空白配套账号失陷标准化应急处置流程能够有效降低云办公账号被劫持带来的数据泄露损失。7.2 研究展望针对 Bluekit 代表的 BitM 新型中间人钓鱼攻击未来攻防对抗与安全优化可向三个方向推进云身份平台风控体系升级主流 SSO、云办公平台可新增人机行为时序识别模块采集鼠标操作延迟、输入节奏、页面交互轨迹等生物行为特征区分真实用户与远程浏览器同步操作补充 WebSocket 异常长连接监控接口向第三方安全设备开放会话行为审计数据。多模态融合 BitM 检测技术迭代当前代码仅依托页面静态 JS 特征完成识别后续可结合 WebSocket 流量时序特征、页面操作延迟检测、WebRTC 连接行为多维度融合判定降低误报率提升复杂混淆脚本下的识别准确率。PHaaS 钓鱼平台跨境协同溯源机制建设Bluekit 类商业化钓鱼即服务平台依托境外匿名域名、分布式服务器运营单一企业、单一国家安全机构无法彻底清除攻击基础设施各国网络安全组织可建立 BitM 钓鱼威胁情报共享机制同步恶意域名、JS 特征、平台 C2 服务器地址配合跨境网络安全执法打击商业化 PHaaS 黑产链条从攻击源头压缩 BitM 工具的传播空间。长期来看中间人钓鱼攻击将持续向远程浏览器镜像、无代理流量劫持方向演进端到端身份认证、网络流量防护、前端页面检测技术需同步迭代升级安全建设不能仅依赖密码、多因素认证等身份层防护必须构建网络、前端、身份、人员多维度协同的综合反钓鱼防御体系持续应对不断迭代的商业化 PHaaS 新型网络间谍攻击。编辑芦笛公共互联网反网络钓鱼工作组