IPFS成為釣魚攻擊的溫床

研究人員發現越來越多的釣魚攻擊開始使用去中心化的IPFS網絡。

網絡安全公司Trustwave SpiderLabs發現過去3個月內有超過3000封釣魚郵件中使用IPFS釣魚URL作為攻擊向量。表明越來越多的釣魚攻擊開始使用IPFS作為其基礎設施。

IPFS

IPFS（InterPlanetary File System, 星際文件系統）是一種內容可尋址的對等超媒體分發協議,旨在創建持久且分布式存儲和共享文件的網絡傳輸協議。在IPFS網絡中的節點將構成一個分布式文件系統，使用加密哈希而非URL或文件名來存儲和分析文件數據。每個哈希都成為了一個唯一的內容id（CID）。要實現對特定內容的訪問，用戶需要一個網關主機名和文件的內容Id：

https:///ipfs/

圖1 P2P網絡（右）與中心化網絡（左）對比

傳統的數據傳輸使用的是HTTP協議，而IPFS旨在通過P2P網絡打造一個完全去中心化的網絡。此外，在合法的P2P網絡中是很難發現惡意流量的。數據永久保存、魯邦的網絡和缺乏監管，IPFS是攻擊者保存和分享惡意內容的理想平臺。

基于IPFS的釣魚攻擊

目前，已經有多個服務被用于IPFS中保存文件。網絡攻擊者利用這些服務進行釣魚攻擊。部分IPFS釣魚網站和URL行為如下：

Blockchain服務：infura[.]io

通用URL格式：

hxxp://{59 character string}.ipfs.infura-ipfs.io/?filename={file name}.html/

圖2. 釣魚攻擊活動中使用的Infura IPFS服務

在點擊釣魚URL后，會嘗試訪問favicon.png文件，該文件看似包含在一個IPFS路徑牡蠣中。

圖 2.1 包含IPFS路徑的png文件

釣魚頁面源碼包含要從受害者處竊取的信息細節。

圖 2.2 Infura IPFS釣魚URL源碼

谷歌云服務—— googleweblight[.]com

通用URL格式：

http://googleweblight[.]com/i?u={IPFS URL redirection}

釣魚行為：

使用IPFS URL訪問Googleweblight后，會有自動的多次URL重定向。釣魚重定向鏈如下所示：

初始URL的源碼中一般包含混淆的代碼。

圖 3. 包含IPFS路徑的GoogleWeblight URL源碼

濫用云存儲服務

Filebase[.]io

URL格式：

hxxps://ipfs[.]filebase.io/ipfs/{59 random character string}

圖 4. 使用Filebase-IPFS服務的DHL釣魚URL

釣魚行為：

訪問URL后，釣魚活動就會在同一頁面產生，沒有URL重定向；

釣魚URL的源碼中包含form標簽，form標簽使用另一個釣魚URL來保存竊取的憑證信息。

圖 4.1 包含另一個釣魚URL的源碼截圖

Nftstorage[.]link

URL格式：

hxxps://nftstorage[.]link/ipfs/{59 random character string}/#{target email address}

hxxps://{59 random character string}.ipfs.nftstorage[.]link/#{target email address}          

圖 5. 使用Nftstorage-IPFS的釣魚URL示例

釣魚行為：

釣魚URL的源碼常使用‘Unescape’編碼。然后，解碼的源碼中含有釣魚代碼注入模板。

圖 5.1 使用unescape編碼格式的源碼

濫用web托管網站的釣魚郵件

包含賬單收據的虛假通知釣魚郵件如下所示：

圖 6. Phishing email

釣魚郵件顯示Azure訂閱的支付已經處理，賬單收據附后。發送者自稱郵件管理員（Mail Administrator），而且域名也不是微軟的。

圖 6.1 欺騙郵件的header信息

惡意HTML附件中含有JS代碼，可以啟動釣魚頁面。其中，setTimeout()函數用來在新的瀏覽器標簽頁中打開釣魚URL。函數中的location.href可以設置當前頁面的URL。

圖 7. 來自HTML 附件的代碼

附件是一個虛假的微軟頁面，要求用戶支付Azure賬單。

圖 8. 濫用Fleek-IPFS服務的釣魚網站

按下“Contact your billing administrators”（聯系賬單管理員）后會轉向最終的網站payload，要求用戶輸入微軟憑證登錄后才能繼續。

圖 8.1 偽造的微軟登錄頁 

網站的源代碼是百分號編碼(Percent-Encoding)。

圖 8.2 混淆的源代碼

使用unescape函數可以看到解碼后的網站內容：

圖 8.3 解碼后的網站源代碼內容

從解碼后的內容可以看出，垃圾郵件發送者濫用了‘surge[.]sh’域名作為釣魚圖像資源。Surge是一個靜態網站托管服務，用戶可以通過命令行與其進行交互。

圖 8.4 釣魚網站的圖像源

進一步分析表明，垃圾郵件發送者使用的釣魚模板位于‘o365spammerstestlink[.]surge[.]sh’的URL：

圖 8.5 垃圾郵件發送使用的模板

最后，submit按鈕被按下后，竊取的憑證就會被post。

圖 8.6 使用POST方法的代碼段

在解碼腳本的最開始，可以看到一個簽名code by t[.]me/o635spams。該鏈接是一個名為O365 Spam Tools的Telegram群組，群組含有236個成員。

圖 9. Telegram垃圾郵件組