攻击者快速采用 Web3 IPFS 技术
天选团队2022 年,unit42 观察到,IPFS ( InterPlanetary File System, 星际文件系统 ) 被广泛用作恶意工具。IPFS 是一种全新的超媒体文本传输协议,可以把它理解为一种支持分布式存储的网站。
与任何技术一样,IPFS 也可能被攻击者者滥用。然而,由于 IPFS 上的托管内容是去中心化和分布式的,因此在定位和删除生态系统中的恶意内容方面存在挑战,这使其类似于 bullet-proof 托管。
从 2021 第四季度到 2022 年第四季度末,Palo Alto Networks 检测到 IPFS 相关流量增加了 893%。调查还显示,病毒总数在同一时期增长了 27000% 以上。IPFS 相关流量的增加伴随着恶意活动的显著增加。检测发现,2022 年的许多攻击活动涵盖了网络钓鱼、凭证盗窃和恶意有效负载传播。
从 2022 年第一季度开始,Palo Alto Networks 的 IPFS 流量显著增加,如下图所示。2022 年第一季度,研究人员检测到 IPFS 流量与 2021 年最后一个季度末的记录相比增长了 178%。
之所以会出现这种增长,是因为采用了 IPFS 技术。新技术出现后总会有人恶意使用它。研究人员在 Palo Alto Networks 和 VirusTotal 提交的 IPFS 流量中观察到的显著增加也包括使用 IPFS 的恶意活动的大幅增加。
研究人员观察到,攻击者经常为他们的诈骗服务做广告,使用各种宣传。也就是说,由于 IPFS 分布式文件系统的性质,IPFS 为他们的活动提供了持久性。
攻击者正在使用公共 IPFS 网关作为传递其恶意内容的方式。如果没有这些互联网可访问网关,攻击者将无法将 IPFS 网络作为其攻击活动的一部分。这一趋势在许多网络钓鱼和网络犯罪活动中使用互联网可访问的 IPFS 链接中可以看到,这些活动的初始攻击媒介通常是电子邮件诱饵。
接下来,我们将详细介绍在分析恶意使用 IPFS 技术时看到的一些攻击活动。
下图显示了 IPFS 与网络钓鱼相关的网络流量呈指数级增长,尤其是在今年最后一个季度。与托管在网络上的传统网络钓鱼页面不同,托管提供商或管理机构无法轻松删除 IPFS 网络钓鱼内容。
一旦发布到 IPFS 网络,任何人都可以在自己的节点上获取并重新发布内容。网络钓鱼内容可以托管在多个节点上,并且必须向每个主机发出删除内容的请求。如果任何一个主机不同意删除,那么内容几乎不可能被删除。
由于网站所有者、托管提供商或版主删除或暂停内容,网络钓鱼活动的生存时间(TTL)通常比其他类型的网络犯罪更短。IPFS 的结构使攻击者能够通过使其更具抵御能力来延长他们的活动。
IPFS 网络钓鱼活动与传统网络钓鱼活动类似,攻击者模仿合法服务和软件(如 DHL、DocuSign 和 Adobe)来增加进入某人收件箱的可能性。阻止这些诱惑的能力取决于接收组织的电子邮件安全性。虽然一些组织在其安全电子邮件网关和其他安全产品中制定了非常严格的规则,,但其他组织没有这样做,因为担心合法的电子邮件会受到影响。
请注意,下面显示的名称和徽标是攻击者试图冒充合法组织的作品,攻击者的模仿并不意味着合法组织的产品或服务存在漏洞。
在下面的示例中,模仿 DHL 品牌的电子邮件诱饵包含一个附件。在该附件中,有一个指向实际网络钓鱼页面的 IPFS 链接。
一旦用户点击下图所示的附件,就会预览一张模仿 Adobe PDF 标识的假发票。 打开 按钮实际上是一个 IPFS 链接,将用户重定向到实际的网络钓鱼页面,而不是打开 PDF。这个页面可以通过 IPFS 网关访问。
与其他 Web3 技术一样,常用的数据外窃取方法在 IPFS 网络上是不可能的。攻击者无法接收受害者输入到表单中的数据,从而窃取他们的凭据。
标准的 web 表单使用 HTML 前端来显示内容,后端使用表单处理器来收集、处理并将数据发送到 web 服务器。IPFS 不包含相同或类似的技术来处理这些动态功能。
使用 IPFS 的人只是简单地提取或检索数据的只读副本,而不是与之交互。IPFS 网关后面的网络钓鱼页面依赖于许多其他技术。
例如,攻击者可以在收集帐户凭证的网页中使用嵌入式脚本代码。他们还可以使用无头表单,即可以填写和收集的静态用户表单。表单字段被映射到 JSON 模型,以便通过 API 发送到后端系统,从而促进 API 驱动的窃取。这些信息是通过 HTTP POST 请求收集的,这些请求被发送给攻击者,在那里它可以被用于其他恶意目的。
下图显示了一个模仿 Microsoft 的网络钓鱼示例,它以 HTML 页面的形式托管。链接此页面的 IPFS URL 为
对无头表单的分析表明,此网络钓鱼页面使用的是一种管理用户表单的方法,在该方法中,可以在第三方后端捕获数据,而无需设计或开发前端 web 应用程序。
受害者输入帐户用户名和密码凭据后,它将通过 HTTPPOST 请求发送。URI 末尾的字符串(GjCP9S9nke)是与无头表单平台上的攻击者相关联的唯一标识令牌。
另一个模仿微软的网络钓鱼页面也托管在 IPFS 上,名为 new.html。关联的 IPFS 钓鱼 URL 为:
查看网页源代码会发现一个与前面引用的类似的 JS 函数,它对内容进行反转义,将其解码为 ASCII 值。unescape 函数如下图所示。
对内容进行解码后,会发现位于大量代码底部附近的一个感兴趣的片段,天选如下图所示。
上图中的代码片段显示了注册到提交按钮的点击函数事件的外部 URL ( fairpartner [ . ] ru ) 。此 URL 将与 HTTP POST 请求提供的数据联系,如下图所示。
截止发文,研究人员还无法捕获凭证盗窃,因为该域不再可访问,这突出了使用第三方服务 ( 如无头表单 ) 进行攻击的优势。
攻击者以几种不同的方式使用 IPFS 网关。可以将这些方法分类为传播方法,或用作托管或分级有效负载的基础设施,或者用作分散的 C2 信道。
接下来,我们将介绍这些攻击是如何在高级别上运行的,包括 IPFS 是如何被用来促进恶意操作的。
OriginLogger 恶意软件开始于 2019 年。它是 Agent Tesla 远程访问木马的迭代版本。它是用编写的,是一个隐蔽性很强的信息窃取程序。这种攻击通常以击键和剪贴板数据为目标,这些数据通过 C2 通道传送回攻击者控制的服务器。
Unit 42 的研究人员发现了一个伪装成逾期发票的电子邮件诱饵,带有 XLL 附件。打开 XLL 文件后,会向 IPFS URL 发送 HTTP GET 请求:
下图显示了 OriginLogger 的第二个传播示例,这封电子邮件也伪装成过期发票,标题是 过期发票 。
这个电子邮件诱饵还有一个 XLL 文件附件。打开后,还会向 IPFS URL 发送 GET 请求:
下面列出了托管在 IPFS 上的一些其他 OriginLogger 有效负载,这些负载来自 2022 年 5 月至 6 月期间发生的一场活动:
XLoader 恶意软件起始于 2020 年,是 FormBook 的迭代版。XLoader 被宣传为一种可以在 Windows 和 macOS 上运行的软件即服务(MaaS)产品。XLoader 能窃取浏览器和登录凭证,它还能够记录键盘和捕获屏幕截图。
Unit 42 的研究人员观察到以下与 XLoader 有效负载托管相关的野外(ITW)URL:
XMRig 是一个自 2017 年以来一直活跃的恶意挖矿软件,它是一个开源实用程序,很受各类攻击组织的欢迎。
Metasploit 框架是一个渗透测试工具包,自 21 世纪初以来就一直活跃。Metasploit 包含漏洞利用、模块、有效负载和辅助功能。该工具包的主要用例是生成有效负载并实现代码执行,以建立与受害者设备的通信通道。这使得使用该工具包的人能够访问和控制环境或用户。
IPStorm 使用开源库 libp2p 作为网络栈,并通过 IPFS 网络进行 P2P 通信。可执行文件是用 Golang 编写的,包含多个可用于识别恶意软件家族的软件包名称。该攻击在模块名称之前使用文件夹名称 /storm,如下图所示。
Dark Utilities 恶意软件家族最初是在 2022 年由 Cisco Talos 发现的。是一个为攻击者提供全功能 C2 功能的平台,使用 IPFS 作为其首选的传播渠道。此攻击可以针对 Windows、macOS、Linux 或各种嵌入式系统进行编译。该产品提供加密挖掘和 DDoS 功能,以及典型的远程访问功能。
下图显示了用于构建 Dark Utilities 可执行文件的 Python 源代码的反编译视图,该可执行文件托管在 IPFS 网络上。所示源代码中的主要函数决定了系统是基于 Windows 还是基于 Linux。在确定正在运行的操作系统后,代码将通过设置持久性和其他任务来继续。
攻击者使用 IPFS 将会成为一个趋势,因为作为一种去中心化和分布式存储技术,IPFS 在定位和删除生态系统中的恶意内容方面给安全研究人员带来了很大的挑战。需要注意的是,目前还没有切实可行的方法可以从 IPFS 网络中删除恶意内容。
特斯拉再次上调多款车型售价 分析师:特斯拉涨价有望阶段性纾解“价格战”
OpenAI 亏损翻倍/库克谈人工智能:仍有问题需要解决/瑞幸或成中国首个万店咖啡品牌
曝马斯克再削减Twitter员工福利:未兑现股票承诺、还压缩带薪育儿假
等等党失算!特斯拉Model S、Model X国内全系涨价:贵了1.9万
相关文章:
相关推荐:
网友评论: