/ 中存储网

警惕! 分散式存储 IPFS 网络正在成为“网络钓鱼的温床”

2022-08-01 00:03:58 来源:科技号

警惕! 分散式存储 IPFS 网络正在成为“网络钓鱼的温床”

威胁组织越来越多地转向星际文件系统 (IPFS) 点对点数据站点来托管他们的网络钓鱼攻击,因为共享系统的分散性意味着恶意内容更有效且更容易隐藏。

网络安全供应商 Trustwave 的威胁分析师本周表示,在看到包含 IPFS URL 的网络钓鱼电子邮件数量增加后,星际文件系统 (IPFS) 正在成为“网络钓鱼的新温床”。

与此同时,反网络钓鱼公司 SlashNext 的创始人兼首席产品官 Atif Mushtaq 告诉The Register,他的公司正在检测托管在 ipfs.io、cloudflare-ipfs.com 和其他供应商系统上的网络钓鱼。

“这些类型的攻击是黑客使用受信任的域来托管他们的网络钓鱼攻击的一部分,”Mushtaq 说。“使用受信任域的好处是很难通过基于信誉的威胁检测来检测它们,而这种威胁检测正被组织广泛用于保护用户。”

Trustwave 研究人员在本周的一篇博客文章中写道,他们在过去 90 天内看到了超过 3,000 封电子邮件,其中包含使用 IPFS 的网络钓鱼 URL,并补充说“很明显,IPFS 正日益成为网络钓鱼网站的流行平台。”

网络钓鱼仍然是企业的祸害,也是网络犯罪分子破坏用户系统和打开恶意负载之门的主要手段。网络安全公司 Proofpoint 在今年早些时候的一份报告中表示,在接受调查的 4,000 多人中,有 83% 的人表示,他们的公司在 2021 年至少遭受了一次基于电子邮件的网络钓鱼攻击,78% 的组织看到了基于电子邮件的勒索软件攻击。

下一件大事

使用 IPFS 是攻击者使其网络钓鱼内容更持久、更容易分发和更难检测的一种方式。据 Trustwave 称,互联网上的大多数数据流量都使用 HTTP,它使用集中的客户端-服务器方法。IPFS——代表星际文件系统——是不同的。

IPFS 创建于 2015 年,是一个用于共享文件、网站、应用程序和数据的分布式 P2P 系统,它为网络提供了一种去中心化的方法。

这意味着“内容可通过位于世界各地的同行获得,他们可能正在传输信息、存储信息或两者兼而有之,”Trustwave 研究人员写道。“IPFS 可以使用文件的内容地址而不是位置来定位文件。为了能够访问一段内容,用户需要网关主机名和文件的内容标识符 (CID)。”

享文件被分发到其他系统,这些系统基本上作为网络文件系统中的节点运行。可以在需要时访问这些文件,并从网络上具有该内容的任何其他节点检索这些文件。在集中式网络中,如果服务器停机或链接断开,则无法访问数据。

使用 IPFS,数据是持久的——包括存储在网络上的任何恶意内容。即使恶意内容在一个节点中被删除,它也可能在其他节点中仍然可用。研究人员写道,即使在合法的 P2P 网络中也很难发现此类内容,因为没有统一资源标识符 (URI) 来定位和阻止恶意内容,并补充说:“由于数据持久性、强大的网络和很少的监管,IPFS 是攻击者托管和共享恶意内容的理想平台。”

Trustwave 展示了网络犯罪分子如何滥用区块链、谷歌和云存储服务来运行其 IPFS 网络钓鱼攻击的示例。

它是如何工作的?

攻击开始于其他网络钓鱼活动,犯罪分子使用社会工程技术诱使受害者点击网络钓鱼电子邮件中的恶意 IPFS 链接,这些链接看起来像是来自 Azure 或 DHL 等公司的合法邮件。

研究人员写道:“IPFS 成为网络钓鱼新场所的主要原因之一是许多网络托管、文件存储或云服务现在都在提供 IPFS 服务。” “这意味着网络钓鱼者在创建新类型的 URL 方面有更大的灵活性。”

同时,“垃圾邮件发送者可以通过在合法的网络托管服务中托管他们的内容或使用多种 URL 重定向技术来帮助阻止使用 URL 信誉或自动 URL 分析的扫描程序来轻松伪装他们的活动,”他们写道。

SlashNext 的 Mushtaq 表示,存储 HTML 内容并不是一个新概念。自 2007 年以来,Mega-d 和 Srizbi 等僵尸网络就将其垃圾邮件站点存储在僵尸网络上,他将其描述为自定义 P2P 网络。

“然而,当时的优势是人们不会介意点击仅 http 和 IP 托管的网站,”他说。“现在浏览器会立即标记 HTTP 站点,因此 [scammers] 没有其他选择,只能使用 Cloudflare 等受信任的网关。”

LARES Consulting 的 vCISO 的 Darryl MacLeod 告诉The Register,IPFS 的使用“代表了网络钓鱼的重大演变”,组织需要相应地调整其防御措施。一种方法是使用 DNS sinkholing 重定向流量并阻止对基于 IPFS 的网络钓鱼站点的访问。他们还可以使用网络过滤器来阻止对这些网站的访问。

MacLeod 警告说,网络犯罪分子将继续改进他们的攻击方法。

“展望未来,网络钓鱼者可能会开始使用更复杂的方法来复制站点,例如使用分布式哈希表,”他说。“分布式哈希表是一种经常用于点对点系统的数据结构,因为它们提供了一种在许多不同机器上分发数据的方法。”