网安 - 专业的网络安全产业、社区、知识平台

分散式 IPFS 网络形成“网络钓鱼的温床”

VSole2022-07-29 18:00:00

威胁组织越来越多地转向星际文件系统 (IPFS) 点对点数据站点来托管他们的网络钓鱼攻击,因为共享系统的分散性意味着恶意内容更有效且更容易隐藏。

网络安全供应商 Trustwave 的威胁分析师本周表示,在看到包含 IPFS URL 的网络钓鱼电子邮件数量增加后,星际文件系统 (IPFS) 正在成为“网络钓鱼的新温床”。

与此同时,反网络钓鱼公司 SlashNext 的创始人兼首席产品官 Atif Mushtaq 告诉The Register,他的公司正在检测托管在 ipfs.io、cloudflare-ipfs.com 和其他供应商系统上的网络钓鱼。

“这些类型的攻击是黑客使用受信任的域来托管他们的网络钓鱼攻击的一部分,”Mushtaq 说。“使用受信任域的好处是很难通过基于信誉的威胁检测来检测它们,而这种威胁检测正被组织广泛用于保护用户。”

Trustwave 研究人员在本周的一篇博客文章中写道,他们在过去 90 天内看到了超过 3,000 封电子邮件,其中包含使用 IPFS 的网络钓鱼 URL,并补充说“很明显,IPFS 正日益成为网络钓鱼网站的流行平台。”

网络钓鱼仍然是企业的祸害,也是网络犯罪分子破坏用户系统和打开恶意负载之门的主要手段。网络安全公司 Proofpoint 在今年早些时候的一份报告中表示,在接受调查的 4,000 多人中,有 83% 的人表示,他们的公司在 2021 年至少遭受了一次基于电子邮件的网络钓鱼攻击,78% 的组织看到了基于电子邮件的勒索软件攻击。

下一件大事

使用 IPFS 是攻击者使其网络钓鱼内容更持久、更容易分发和更难检测的一种方式。据 Trustwave 称,互联网上的大多数数据流量都使用 HTTP,它使用集中的客户端-服务器方法。IPFS——代表星际文件系统——是不同的。

IPFS 创建于 2015 年,是一个用于共享文件、网站、应用程序和数据的分布式 P2P 系统,它为网络提供了一种去中心化的方法。

这意味着“内容可通过位于世界各地的同行获得,他们可能正在传输信息、存储信息或两者兼而有之,”Trustwave 研究人员写道。“IPFS 可以使用文件的内容地址而不是位置来定位文件。为了能够访问一段内容,用户需要网关主机名和文件的内容标识符 (CID)。”

共享文件被分发到其他系统,这些系统基本上作为网络文件系统中的节点运行。可以在需要时访问这些文件,并从网络上具有该内容的任何其他节点检索这些文件。在集中式网络中,如果服务器停机或链接断开,则无法访问数据。

使用 IPFS,数据是持久的——包括存储在网络上的任何恶意内容。即使恶意内容在一个节点中被删除,它也可能在其他节点中仍然可用。研究人员写道,即使在合法的 P2P 网络中也很难发现此类内容,因为没有统一资源标识符 (URI) 来定位和阻止恶意内容,并补充说:“由于数据持久性、强大的网络和很少的监管,IPFS 是也许是攻击者托管和共享恶意内容的理想平台。”

Trustwave 展示了网络犯罪分子如何滥用区块链、谷歌和云存储服务来运行其 IPFS 网络钓鱼攻击的示例。

它是如何工作的?

这些攻击与其他网络钓鱼活动一样开始,犯罪分子使用社会工程技术诱使受害者点击网络钓鱼电子邮件中的恶意 IPFS 链接,这些链接看起来像是来自 Azure 或 DHL 等公司的合法邮件。

研究人员写道:“IPFS 成为网络钓鱼新场所的主要原因之一是许多网络托管、文件存储或云服务现在都在提供 IPFS 服务。” “这意味着网络钓鱼者在创建新类型的 URL 方面有更大的灵活性。”

同时,“垃圾邮件发送者可以通过在合法的网络托管服务中托管他们的内容或使用多种 URL 重定向技术来帮助阻止使用 URL 信誉或自动 URL 分析的扫描程序来轻松伪装他们的活动,”他们写道。

SlashNext 的 Mushtaq 表示,存储 HTML 内容并不是一个新概念。自 2007 年以来,Mega-d 和 Srizbi 等僵尸网络就将其垃圾邮件站点存储在僵尸网络上,他将其描述为自定义 P2P 网络。

“然而,当时的优势是人们不会介意点击仅 http 和 IP 托管的网站,”他说。“现在浏览器会立即标记 HTTP 站点,因此 [scammers] 没有其他选择,只能使用 Cloudflare 等受信任的网关。”

LARES Consulting 的 vCISO 的 Darryl MacLeod 告诉The Register,IPFS 的使用“代表了网络钓鱼的重大演变”,组织需要相应地调整其防御措施。一种方法是使用 DNS sinkholing 重定向流量并阻止对基于 IPFS 的网络钓鱼站点的访问。他们还可以使用网络过滤器来阻止对这些网站的访问。

MacLeod 警告说,网络犯罪分子将继续改进他们的攻击方法。

“展望未来,网络钓鱼者可能会开始使用更复杂的方法来复制站点,例如使用分布式哈希表,”他说。“分布式哈希表是一种经常用于点对点系统的数据结构,因为它们提供了一种在许多不同机器上分发数据的方法。” 

网络钓鱼ipfs
本作品采用《CC 协议》,转载必须注明作者和本文链接
更多的网络钓鱼活动在利用IPFS网络协议
2023-04-13 09:46:20
据卡巴斯基的最新研究报告显示,星际文件系统(IPFS)的欺诈性使用现象最近似乎有所增加。自2022年以来,IPFS一直被网络犯罪分子用于发动电子邮件网络钓鱼攻击。
IPFS 网络钓鱼正在兴起,使活动删除变得更加复杂
2022-08-03 08:30:00
为了成功进行网络钓鱼操作,网络犯罪分子通常需要在线托管网络钓鱼页面。受害者连接到它并向它提供他们的凭据或信用卡号,从而上当受骗。
分散式 IPFS 网络形成“网络钓鱼的温床”
2022-07-29 18:00:00
威胁组织越来越多地转向星际文件系统 (IPFS) 点对点数据站点来托管他们的网络钓鱼攻击,因为共享系统的分散性意味着恶意内容更有效且更容易隐藏。
网络空间对抗资讯快报
2022-08-02 06:30:29
意大利当局已展开调查。奥地利内政部表示,尚未收到任何事件的报告。澳大利亚联邦警察称,该男子将该软件卖给了128个国家的14,500多人。此外,其中一名购买者还在儿童性犯罪者登记册上登记。这名澳大利亚男子面临六项指控,最高刑期为20年。最近宣布的试点延期将预计完成日期推迟到2023年1月。
研究人员警告说,使用分散IPFS网络钓鱼攻击将增加
2022-08-02 19:50:44
这些发现正值电子邮件威胁形势发生更大变化之际,微软计划阻止导致威胁参与者调整策略以分发可执行文件的宏,从而导致后续侦察、数据盗窃和勒索软件。网络安全公司IronNet本周透露,事实上,上个月发现的一场大规模活动是利用一个名为Robin Banks的四个月前的PhaaS平台,从澳大利亚、加拿大、英国和美国的知名银行的客户那里掠夺凭证和窃取财务信息。
可信域名中的隐藏风险:邮件网络钓鱼攻击中的欺骗性URL重定向
2024-02-21 14:42:17
在当前不断发展的网络威胁环境中,电子邮件已经成为了网络钓鱼攻击的主要目标。威胁行为者正在不断采用更复杂的技术方法来绕过安全监测机制并欺骗目标用户以实施威胁行为。目前,最为流行的攻击策略之一就是利用合法平台实现欺骗性链接并进行重定向攻击。在此类活动中,威胁行为者会利用可信任平台进行重定向攻击,并将毫无戒心的目标用户重定向到恶意URL目的地。
Dark Utilities C2 服务吸引了成千上万的网络犯罪分子
2022-08-08 06:31:00
自今年早些时候推出以来,一个让网络犯罪分子更容易建立命令和控制 (C2) 服务器的平台已经吸引了 3,000 名用户,并且可能会在未来几个月内扩大其客户名单。
越来越多的恶意软件攻击利用黑暗实用程序“C2 即服务”
2022-08-05 21:33:30
一项名为Dark Utilities的新兴服务已经吸引了 3,000 名用户,因为它能够提供命令和控制 (C2) 服务,以征用受损系统。
免费获取全球开源威胁情报的9个来源
2023-05-15 09:11:49
PhishTankPhishTank由思科公司所属的Talos威胁情报团队负责运营,这是一个主要针对网络钓鱼方面数据和信息的开放性联合研究项目。一旦当反病毒分析引擎确定提交的文件为恶意文件时,VirusTotal会及时通知用户,并显示检测标签。
VSole
网络安全专家