IPFS成为钓鱼攻击的温床
2022-8-3 12:2:41 Author: 嘶吼专业版(查看原文) 阅读量:11 收藏

研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。

网络安全公司Trustwave SpiderLabs发现过去3个月内有超过3000封钓鱼邮件中使用IPFS钓鱼URL作为攻击向量。表明越来越多的钓鱼攻击开始使用IPFS作为其基础设施。

IPFS(InterPlanetary File System, 星际文件系统)是一种内容可寻址的对等超媒体分发协议,旨在创建持久且分布式存储和共享文件的网络传输协议。在IPFS网络中的节点将构成一个分布式文件系统,使用加密哈希而非URL或文件名来存储和分析文件数据。每个哈希都成为了一个唯一的内容id(CID)。要实现对特定内容的访问,用户需要一个网关主机名和文件的内容Id:

https:///ipfs/

图1 P2P网络(右)与中心化网络(左)对比

传统的数据传输使用的是HTTP协议,而IPFS旨在通过P2P网络打造一个完全去中心化的网络。此外,在合法的P2P网络中是很难发现恶意流量的。数据永久保存、鲁邦的网络和缺乏监管,IPFS是攻击者保存和分享恶意内容的理想平台。

目前,已经有多个服务被用于IPFS中保存文件。网络攻击者利用这些服务进行钓鱼攻击。部分IPFS钓鱼网站和URL行为如下:

Blockchain服务:infura[.]io

通用URL格式:

hxxp://{59 character string}.ipfs.infura-ipfs.io/?filename={file name}.html/

图2. 钓鱼攻击活动中使用的Infura IPFS服务

在点击钓鱼URL后,会尝试访问favicon.png文件,该文件看似包含在一个IPFS路径牡蛎中。

图 2.1 包含IPFS路径的png文件

钓鱼页面源码包含要从受害者处窃取的信息细节。

图 2.2 Infura IPFS钓鱼URL源码

谷歌云服务—— googleweblight[.]com

通用URL格式:

http://googleweblight[.]com/i?u={IPFS URL redirection}

钓鱼行为:

使用IPFS URL访问Googleweblight后,会有自动的多次URL重定向。钓鱼重定向链如下所示:

初始URL的源码中一般包含混淆的代码。

图 3. 包含IPFS路径的GoogleWeblight URL源码

滥用云存储服务

Filebase[.]io

URL格式:

hxxps://ipfs[.]filebase.io/ipfs/{59 random character string}

图 4. 使用Filebase-IPFS服务的DHL钓鱼URL

钓鱼行为:

访问URL后,钓鱼活动就会在同一页面产生,没有URL重定向;

钓鱼URL的源码中包含form标签,form标签使用另一个钓鱼URL来保存窃取的凭证信息。

图 4.1 包含另一个钓鱼URL的源码截图

Nftstorage[.]link

URL格式:

hxxps://nftstorage[.]link/ipfs/{59 random character string}/#{target email address}

hxxps://{59 random character string}.ipfs.nftstorage[.]link/#{target email address}          

图 5. 使用Nftstorage-IPFS的钓鱼URL示例

钓鱼行为:

钓鱼URL的源码常使用‘Unescape’编码。然后,解码的源码中含有钓鱼代码注入模板。

图 5.1 使用unescape编码格式的源码

包含账单收据的虚假通知钓鱼邮件如下所示:

图 6. Phishing email

钓鱼邮件显示Azure订阅的支付已经处理,账单收据附后。发送者自称邮件管理员(Mail Administrator),而且域名也不是微软的。

图 6.1 欺骗邮件的header信息

恶意HTML附件中含有JS代码,可以启动钓鱼页面。其中,setTimeout()函数用来在新的浏览器标签页中打开钓鱼URL。函数中的location.href可以设置当前页面的URL。

图 7. 来自HTML 附件的代码

附件是一个虚假的微软页面,要求用户支付Azure账单。

图 8. 滥用Fleek-IPFS服务的钓鱼网站

按下“Contact your billing administrators”(联系账单管理员)后会转向最终的网站payload,要求用户输入微软凭证登录后才能继续。

图 8.1 伪造的微软登录页 

网站的源代码是百分号编码(Percent-Encoding)。

图 8.2 混淆的源代码

使用unescape函数可以看到解码后的网站内容:

图 8.3 解码后的网站源代码内容

从解码后的内容可以看出,垃圾邮件发送者滥用了‘surge[.]sh’域名作为钓鱼图像资源。Surge是一个静态网站托管服务,用户可以通过命令行与其进行交互。

图 8.4 钓鱼网站的图像源

进一步分析表明,垃圾邮件发送者使用的钓鱼模板位于‘o365spammerstestlink[.]surge[.]sh’的URL:

图 8.5 垃圾邮件发送使用的模板

最后,submit按钮被按下后,窃取的凭证就会被post。

图 8.6 使用POST方法的代码段

在解码脚本的最开始,可以看到一个签名code by t[.]me/o635spams。该链接是一个名为O365 Spam Tools的Telegram群组,群组含有236个成员。

图 9. Telegram垃圾邮件组

参考及来源:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/ipfs-the-new-hotbed-of-phishing/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247547235&idx=1&sn=06a4ecba097340c9b5293091a85fd29e&chksm=e915e959de62604f602e1a657607a3c77d11769405f42d57d4f3365b6d85566528034c2312be#rd
如有侵权请联系:admin#unsafe.sh