IPFS成为钓鱼攻击的温床

研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。

网络安全公司Trustwave SpiderLabs发现过去3个月内有超过3000封钓鱼邮件中使用IPFS钓鱼URL作为攻击向量。表明越来越多的钓鱼攻击开始使用IPFS作为其基础设施。

IPFS

IPFS（InterPlanetary File System, 星际文件系统）是一种内容可寻址的对等超媒体分发协议,旨在创建持久且分布式存储和共享文件的网络传输协议。在IPFS网络中的节点将构成一个分布式文件系统，使用加密哈希而非URL或文件名来存储和分析文件数据。每个哈希都成为了一个唯一的内容id（CID）。要实现对特定内容的访问，用户需要一个网关主机名和文件的内容Id：

https:///ipfs/

图1 P2P网络（右）与中心化网络（左）对比

传统的数据传输使用的是HTTP协议，而IPFS旨在通过P2P网络打造一个完全去中心化的网络。此外，在合法的P2P网络中是很难发现恶意流量的。数据永久保存、鲁邦的网络和缺乏监管，IPFS是攻击者保存和分享恶意内容的理想平台。

基于IPFS的钓鱼攻击

目前，已经有多个服务被用于IPFS中保存文件。网络攻击者利用这些服务进行钓鱼攻击。部分IPFS钓鱼网站和URL行为如下：

Blockchain服务：infura[.]io

通用URL格式：

hxxp://{59 character string}.ipfs.infura-ipfs.io/?filename={file name}.html/

图2. 钓鱼攻击活动中使用的Infura IPFS服务

在点击钓鱼URL后，会尝试访问favicon.png文件，该文件看似包含在一个IPFS路径牡蛎中。

图 2.1 包含IPFS路径的png文件

钓鱼页面源码包含要从受害者处窃取的信息细节。

图 2.2 Infura IPFS钓鱼URL源码

谷歌云服务—— googleweblight[.]com

通用URL格式：

http://googleweblight[.]com/i?u={IPFS URL redirection}

钓鱼行为：

使用IPFS URL访问Googleweblight后，会有自动的多次URL重定向。钓鱼重定向链如下所示：

初始URL的源码中一般包含混淆的代码。

图 3. 包含IPFS路径的GoogleWeblight URL源码

滥用云存储服务

Filebase[.]io

URL格式：

hxxps://ipfs[.]filebase.io/ipfs/{59 random character string}

图 4. 使用Filebase-IPFS服务的DHL钓鱼URL

钓鱼行为：

访问URL后，钓鱼活动就会在同一页面产生，没有URL重定向；

钓鱼URL的源码中包含form标签，form标签使用另一个钓鱼URL来保存窃取的凭证信息。

图 4.1 包含另一个钓鱼URL的源码截图

Nftstorage[.]link

URL格式：

hxxps://nftstorage[.]link/ipfs/{59 random character string}/#{target email address}

hxxps://{59 random character string}.ipfs.nftstorage[.]link/#{target email address}          

图 5. 使用Nftstorage-IPFS的钓鱼URL示例

钓鱼行为：

钓鱼URL的源码常使用‘Unescape’编码。然后，解码的源码中含有钓鱼代码注入模板。

图 5.1 使用unescape编码格式的源码

滥用web托管网站的钓鱼邮件

包含账单收据的虚假通知钓鱼邮件如下所示：

图 6. Phishing email

钓鱼邮件显示Azure订阅的支付已经处理，账单收据附后。发送者自称邮件管理员（Mail Administrator），而且域名也不是微软的。

图 6.1 欺骗邮件的header信息

恶意HTML附件中含有JS代码，可以启动钓鱼页面。其中，setTimeout()函数用来在新的浏览器标签页中打开钓鱼URL。函数中的location.href可以设置当前页面的URL。

图 7. 来自HTML 附件的代码

附件是一个虚假的微软页面，要求用户支付Azure账单。

图 8. 滥用Fleek-IPFS服务的钓鱼网站

按下“Contact your billing administrators”（联系账单管理员）后会转向最终的网站payload，要求用户输入微软凭证登录后才能继续。

图 8.1 伪造的微软登录页 

网站的源代码是百分号编码(Percent-Encoding)。

图 8.2 混淆的源代码

使用unescape函数可以看到解码后的网站内容：

图 8.3 解码后的网站源代码内容

从解码后的内容可以看出，垃圾邮件发送者滥用了‘surge[.]sh’域名作为钓鱼图像资源。Surge是一个静态网站托管服务，用户可以通过命令行与其进行交互。

图 8.4 钓鱼网站的图像源

进一步分析表明，垃圾邮件发送者使用的钓鱼模板位于‘o365spammerstestlink[.]surge[.]sh’的URL：

图 8.5 垃圾邮件发送使用的模板

最后，submit按钮被按下后，窃取的凭证就会被post。

图 8.6 使用POST方法的代码段

在解码脚本的最开始，可以看到一个签名code by t[.]me/o635spams。该链接是一个名为O365 Spam Tools的Telegram群组，群组含有236个成员。

图 9. Telegram垃圾邮件组