研究人员发现,越来越多的钓鱼攻击正在利用去中心化的IPFS网络。网络安全公司TrustwaveSpiderLabs发现,在过去3个月内,有超过3000封钓鱼邮件使用IPFS钓鱼URL作为攻击媒介。这表明越来越多的网络钓鱼攻击开始使用IPFS作为其基础设施。IPFSIPFS(InterPlanetaryFileSystem,星际文件系统)是一种内容可寻址的点对点超媒体分发协议,旨在创建一个持久化和分布式存储和共享文件的网络传输协议。IPFS网络中的节点将形成一个分布式文件系统,该系统使用加密的哈希值而不是URL或文件名来存储和分析文件数据。每个哈希成为一个唯一的内容ID(CID)。用户要实现对特定内容的访问,需要一个网关主机名和文件的内容Id:https:///ipfs/图1P2P网络(右)和中心化网络(左)与传统使用HTTP协议的数据传输对比,而IPFS旨在通过P2P网络创建一个完全去中心化的网络。此外,很难检测合法P2P网络中的恶意流量。凭借永久数据存储、Lupin网络和缺乏监督,IPFS是攻击者存储和共享恶意内容的理想平台。基于IPFS的钓鱼攻击目前,已经有几种服务被用来在IPFS中保存文件。网络攻击者利用这些服务进行网络钓鱼攻击。部分IPFS钓鱼网站及URL行为如下:区块链服务:infura[.]io一般URL格式:hxxp://{59字符串}.ipfs.infura-ipfs.io/?filename={文件名}.html/图2.单击网络钓鱼URL后,网络钓鱼攻击中使用的InfuraIPFS服务将尝试访问favicon.png文件,该文件似乎包含在IPFS路径oyster中。图2.1包含IPFS路径的png文件。钓鱼页面的源代码包含要从受害者那里窃取的信息的详细信息。图2.2InfuraIPFS钓鱼URL源码谷歌云服务——googleweblight[.]com一般URL格式:http://googleweblight[.]com/i?u={IPFSURL重定向}钓鱼行为:使用IPFSURL访问后Googleweblight,会有自动多个URL重定向。钓鱼重定向链如下:初始URL源代码一般包含混淆代码图3.包含IPFS路径的GoogleWeblightURL源代码滥用云存储服务Filebase[.]ioURL格式:hxxps://ipfs[.]filebase.io/ipfs/{59随机字符串}图4.使用Filebase-IPFS服务的DHL钓鱼URL的钓鱼行为:访问该URL后,钓鱼活动将在同一页面生成,无需URL重定向;钓鱼网址的源代码包含表单标签,表单标签使用另一个钓鱼网址来保存被盗的凭据信息。图4.1包含另一个钓鱼URLNftstorage[.]linkURL格式的源代码截图:hxxps://nftstorage[.]link/ipfs/{59随机字符串}/#{目标邮箱地址}hxxps://{59随机字符string}.ipfs.nftstorage[.]link/#{targetemailaddress}图5.使用Nftstorage-IPFS的网络钓鱼URL示例网络钓鱼行为:网络钓鱼URL的源代码通常使用“Unescape”编码。然后,解码后的源代码包含钓鱼代码注入模板。图5.1使用未转义编码的源代码滥用网站托管站点的钓鱼电子邮件包含错误的帐单收据通知的钓鱼电子邮件如下所示:图6.钓鱼电子邮件显示Azure订阅的付款已处理,并且帐单附上收据。发件人自称是邮件管理员(MailAdministrator),域名不是微软。图6.1欺骗邮件的头部信息恶意HTML附件中包含JS代码,可以启动钓鱼页面。其中,setTimeout()函数用于在新的浏览器选项卡中打开钓鱼URL。函数中的location.href可以设置当前页面的URL。图7.HTML附件中的代码附件是一个伪造的Microsoft页面,要求用户支付Azure账单。图8.滥用Fleek-IPFS服务的网络钓鱼网站将在按下“联系您的账单管理员”后重定向到最终网站负载,要求用户输入Microsoft凭据登录才能继续。图8.1伪造的微软登录页面网站的源代码是Percent-Encoding。图8.2混淆后的源码使用unescape功能查看解码后的网站内容:图8.3解码后的网站源码内容从解码后的内容可以看出垃圾邮件发送者滥用了'surge[.]sh'域名作为钓鱼图片资源.Surge是一种静态网站托管服务,用户可以通过命令行与之交互。图8.4钓鱼网站图片来源进一步分析可知,垃圾邮件发送者使用的钓鱼模板位于'o365spammerstestlink[.]surge[.]sh'的网址:图8.5垃圾邮件发送者使用的模板最后,经过按下提交按钮,将发布被盗的凭据。图8.6使用POST方法的代码片段在解码脚本的最开始,您可以看到t[.]me/o635spams的签名代码。该链接指向一个名为O365SpamTools的Telegram群组,该群组有236名成员。图9.Telegram垃圾邮件组
