研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。
网络安全公司Trustwave SpiderLabs发现过去3个月内有超过3000封钓鱼邮件中使用IPFS钓鱼URL作为攻击向量。表明越来越多的钓鱼攻击开始使用IPFS作为其基础设施。
IPFS(InterPlanetary File System, 星际文件系统)是一种内容可寻址的对等超媒体分发协议,旨在创建持久且分布式存储和共享文件的网络传输协议。在IPFS网络中的节点将构成一个分布式文件系统,使用加密哈希而非URL或文件名来存储和分析文件数据。每个哈希都成为了一个唯一的内容id(CID)。要实现对特定内容的访问,用户需要一个网关主机名和文件的内容Id:
https:///ipfs/
图1 P2P网络(右)与中心化网络(左)对比
传统的数据传输使用的是HTTP协议,而IPFS旨在通过P2P网络打造一个完全去中心化的网络。此外,在合法的P2P网络中是很难发现恶意流量的。数据永久保存、鲁邦的网络和缺乏监管,IPFS是攻击者保存和分享恶意内容的理想平台。
目前,已经有多个服务被用于IPFS中保存文件。网络攻击者利用这些服务进行钓鱼攻击。部分IPFS钓鱼网站和URL行为如下:
Blockchain服务:infura[.]io
通用URL格式:
hxxp://{59 character string}.ipfs.infura-ipfs.io/?filename={file name}.html/
图2. 钓鱼攻击活动中使用的Infura IPFS服务
在点击钓鱼URL后,会尝试访问favicon.png文件,该文件看似包含在一个IPFS路径牡蛎中。
图 2.1 包含IPFS路径的png文件
钓鱼页面源码包含要从受害者处窃取的信息细节。
图 2.2 Infura IPFS钓鱼URL源码
谷歌云服务—— googleweblight[.]com
通用URL格式:
http://googleweblight[.]com/i?u={IPFS URL redirection}
钓鱼行为:
使用IPFS URL访问Googleweblight后,会有自动的多次URL重定向。钓鱼重定向链如下所示:
初始URL的源码中一般包含混淆的代码。
图 3. 包含IPFS路径的GoogleWeblight URL源码
滥用云存储服务
Filebase[.]io
URL格式:
hxxps://ipfs[.]filebase.io/ipfs/{59 random character string}
图 4. 使用Filebase-IPFS服务的DHL钓鱼URL
钓鱼行为:
访问URL后,钓鱼活动就会在同一页面产生,没有URL重定向;
钓鱼URL的源码中包含form标签,form标签使用另一个钓鱼URL来保存窃取的凭证信息。
图 4.1 包含另一个钓鱼URL的源码截图
Nftstorage[.]link
URL格式:
hxxps://nftstorage[.]link/ipfs/{59 random character string}/#{target email address}
hxxps://{59 random character string}.ipfs.nftstorage[.]link/#{target email address}
图 5. 使用Nftstorage-IPFS的钓鱼URL示例
钓鱼行为:
钓鱼URL的源码常使用‘Unescape’编码。然后,解码的源码中含有钓鱼代码注入模板。
图 5.1 使用unescape编码格式的源码
包含账单收据的虚假通知钓鱼邮件如下所示:
图 6. Phishing email
钓鱼邮件显示Azure订阅的支付已经处理,账单收据附后。发送者自称邮件管理员(Mail Administrator),而且域名也不是微软的。
图 6.1 欺骗邮件的header信息
恶意HTML附件中含有JS代码,可以启动钓鱼页面。其中,setTimeout()函数用来在新的浏览器标签页中打开钓鱼URL。函数中的location.href可以设置当前页面的URL。
图 7. 来自HTML 附件的代码
附件是一个虚假的微软页面,要求用户支付Azure账单。
图 8. 滥用Fleek-IPFS服务的钓鱼网站
按下“Contact your billing administrators”(联系账单管理员)后会转向最终的网站payload,要求用户输入微软凭证登录后才能继续。
图 8.1 伪造的微软登录页
网站的源代码是百分号编码(Percent-Encoding)。
图 8.2 混淆的源代码
使用unescape函数可以看到解码后的网站内容:
图 8.3 解码后的网站源代码内容
从解码后的内容可以看出,垃圾邮件发送者滥用了‘surge[.]sh’域名作为钓鱼图像资源。Surge是一个静态网站托管服务,用户可以通过命令行与其进行交互。
图 8.4 钓鱼网站的图像源
进一步分析表明,垃圾邮件发送者使用的钓鱼模板位于‘o365spammerstestlink[.]surge[.]sh’的URL:
图 8.5 垃圾邮件发送使用的模板
最后,submit按钮被按下后,窃取的凭证就会被post。
图 8.6 使用POST方法的代码段
在解码脚本的最开始,可以看到一个签名code by t[.]me/o635spams。该链接是一个名为O365 Spam Tools的Telegram群组,群组含有236个成员。
图 9. Telegram垃圾邮件组
参考及来源:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/ipfs-the-new-hotbed-of-phishing/