IPFS：网络钓鱼的新温床

几个月前，我们报道了一个名为变色龙网络钓鱼的有趣网站。这些网站能够根据用户的域更改其背景和徽标。网络钓鱼站点存储在 IPFS（星际文件系统）中，在查看攻击者使用的 URL 后，我们注意到越来越多的网络钓鱼电子邮件包含 IPFS URL 作为其有效负载。  

我们观察到超过 3,000 封包含钓鱼 URL 的电子邮件在过去 90 天内使用了 IPFS，很明显 IPFS 正日益成为钓鱼网站的流行平台。 

IPFS 是什么？攻击者为什么要使用它？

IPFS 创建于 2015 年，是一个分布式的点对点文件共享系统，用于存储和访问文件、网站、应用程序和数据。内容可通过位于世界各地的同行获得，他们可能正在传输信息、存储信息或两者兼而有之。IPFS 可以使用文件的内容地址而不是位置来定位文件。为了能够访问一段内容，用户需要网关主机名和文件的内容标识符 (CID)。

https://<Gateway>/ipfs/<CID Hash> 

目前，大多数数据使用采用集中式客户端-服务器方法的超文本传输协议 (HTTP) 通过 Internet 传输。另一方面，IPFS 是一个旨在创建一个通过 P2P 网络运行的完全去中心化网络的项目。 

通过 IPFS 配置，共享文件被分发到在整个网络文件系统中充当节点的其他机器；因此可以在需要时访问它。从网络上具有所请求内容的任何参与节点检索该文件。

在集中式网络中，如果服务器关闭或链接断开，则无法访问数据。而使用 IPFS，数据是持久的。自然，这延伸到存储在网络中的恶意内容。删除存储在 IPFS 上的网络钓鱼内容可能很困难，因为即使在一个节点中将其删除，它仍可能在其他节点上可用。

要考虑的另一件事是在合法 P2P 网络中发现恶意流量的难度。凭借数据持久性、强大的网络和很少的监管，IPFS 可能是攻击者托管和共享恶意内容的理想平台。

我们如何识别 IPFS URL？

如前所述，CID 是一个标签，用于指向 IPFS 网络中的内容。不是基于位置的寻址，而是使用该内容的哈希请求数据。IPFS 默认使用 sha-256 哈希算法。

IPFS 的 CID 版本 0 最初设计为使用 base 58 编码的多重哈希作为内容标识符。版本 0 以“Qm”开头，长度为 46 个字符。 

但是，在最新的 CID v1 中，它包含一些前导标识符，这些标识符准确地阐明了使用的表示形式，以及内容哈希本身。它包括一个解码算法链接到用于解码 CID 的现有软件实现。 

子域网关将具有自定义基础（如 base16）的路径转换为 base32 或 base36，以便将 CID 适合 DNS 标签：

示例网址：  

dweb.link/ipfs/f01701220c3c4733ec8affd06cf9e9ff50ffc6bcd2ec85a6170004bb709669c31de94391a

返回一个 HTTP 301 重定向：

bafybeigdyrzt5sfp7udm7hu76uh7y26nf3efuylqabf3ociplgtqy.

IPFS 链接通常具有以下通用格式： 

• https://ipfs.io/ipfs/{46 个随机字符串} ?(filename|key)= {随机字符串}

• https://ipfs.io/ipfs/{46个随机字符串} ?filename= {文件名}.html&emailtoken={电子邮件地址}

• https://ipfs.io/ipfs/{46个随机字符串}#{用户邮箱}

IPFS 网络钓鱼的不同途径 

有多种服务可用于在 IPFS 网络中存储文件。网络攻击者已经利用了这些服务，它们现在被用于网络钓鱼活动。以下是我们观察到的一些 IPFS 网络钓鱼网站及其 URL 行为。 

区块链服务 - infura.io

常用网址格式：  

hxxp://{59 个字符串}.ipfs.infura-ipfs.io/?filename= {文件名} .html/ 

图2:用于网络钓鱼活动的 Infura IPFS 服务 

常见的网络钓鱼行为：

1. 单击网络钓鱼 URL 上的继续按钮后，它将尝试访问似乎包含 IPFS 路径目录的“ favicon.png ”文件。

图2 .1 包含 IPFS 路径的 png 文件截图 

1. 网络钓鱼页面源代码包含将被盗给受害者的详细信息。

图 2.2 Infura IPFS 钓鱼 URL 的源代码 

谷歌服务 - googleweblight.com

常用网址格式：  

http://googleweblight.com/i?u={IPFS URL 重定向} 

常见的网络钓鱼行为：  

1. 使用 IPFS URL 访问 Googleweblight 后，将自动进行多 URL 重定向。

网络钓鱼重定向链示例： 

b.初始URL的源代码通常包含一些混淆代码 

图 3. 带有 IPFS 路径的 GoogleWeblight URL 的源代码 

滥用云存储服务

1. Filebase.io

常用网址格式：  

hxxps://ipfs.filebase.io/ipfs/{59 个随机字符串} 

图 4. 使用 Filebase-IPFS 服务的 DHL 网络钓鱼 URL 的示例屏幕截图      

 

常见的网络钓鱼行为： 

1. 访问 URL 后，网络钓鱼活动发生在同一页面上，并且没有 URL 重定向

2. 钓鱼 URL 的源代码包含一个表单标签，该标签使用另一个钓鱼 URL 来存储被盗的凭据             

图 4.1 包含另一个钓鱼 URL 的源代码示例截图 

2. Nftstorage.link

常见的网址格式：  

hxxps://nftstorage.link/ipfs/{59 个随机字符串}/#{目标电子邮件地址} 

hxxps://{59 个随机字符串} .ipfs.nftstorage.link/#{目标电子邮件地址}           

图 5. 使用 Nftstorage-IPFS 的钓鱼 URL 示例截图

常见的网络钓鱼行为： 

1. 钓鱼 URL 的源代码通常在源代码中使用“Unescape”编码

2. 然后，解码后的源代码包含常见的钓鱼代码注入模板            

图 5.1 带有编码 unescape 格式的源代码示例截图

使用被滥用的虚拟主机站点的网络钓鱼电子邮件

下面的最后一个示例显示了一个包含账单收据的虚假通知。 

图 6. 网络钓鱼电子邮件 

该消息指出已处理 Azure 订阅的付款，并附上账单收据以供参考。发件人声称自己是“邮件管理员”，并且该域不属于 Microsoft。其他值得注意的细节是其 Message-ID 中缺少的域和主题行中不寻常的句子格式。 

图 6.1 欺骗性电子邮件标头 

恶意 HTML 附件包含启动网络钓鱼页面的 JavaScript 代码。setTimeout() 函数用于在新的浏览器选项卡中以 0 延迟打开网络钓鱼 URL。此函数内部是一个 location.href 属性，用于设置当前页面的 URL。  

图 7. HTML 附件中的代码片段 

该附件指向一个虚假的 Microsoft 网站，该网站声明用户需要支付他们的 Azure 声明。  

图 8. 滥用 Fleek-IPFS 服务的钓鱼网站 

按“联系您的计费管理员”按钮将导致最终的网站有效负载，其中要求用户使用其 Microsoft 凭据登录才能继续。  

图 8.1 假微软登录页面

本网站的源代码采用百分比编码。  

图 8.2 混淆源代码 

使用 unescape 函数显示网站的解码格式。 

图 8.3 带有垃圾邮件发送者签名的解码源代码片段 

我们还可以从解码脚本中看到，垃圾邮件发送者正在滥用域“surge.sh”来获取他们的网络钓鱼图像资源。Surge 是一个静态网站主机，用户可以通过命令行与之交互。 

图 8.4 钓鱼网站的图片来源 

经过进一步分析，我们还发现垃圾邮件发送者使用的主要网络钓鱼模板托管在 URL 'o365spammerstestlink.surge.sh' 中： 

图 8.5 垃圾邮件发送者用于网络钓鱼的模板 

最后，一旦触发提交按钮事件，就会发布被盗的凭据。 

图 8.6 POST 方法的代码片段 

在解码脚本的开头，我们可以看到一个签名“code by t.me/o635spams”。此链接指向一个名为 O365 Spam Tools 的 Tg 组。Tg是一个加密的在线消息应用程序，可在多个设备上运行。在撰写本文时，垃圾邮件发送者组有 236 名成员，他们声称向 Office 365 发送垃圾邮件。  

图 9. 垃圾邮件发送者的电报组 

IOCs

hxxps://ipfs.fleek.co/ipfs/bafybeiddmwwk3rvvu5zlweszoyvo54v3corf2eu4fmhxwprhxitj2jdrmi 

hxxps://ipfs.fleek.co/ipfs/bafybeic63bwxphx3sasgvpb2fvy766aiymvy2pzoz3htx7zomysw67jucu 

hxxps://jobswiper.net/web_data_donot_delete/store/w3lllink.php 

hxxps://jobswiper.net/web_data_donot_delete/ 

hxxps://o365spammerstestlink.surge.sh/ 

结论

通过利用 IPFS 的分布式云服务的概念，网络钓鱼技术取得了飞跃。

 

IPFS成为网络钓鱼新场所的主要原因之一是许多网络托管、文件存储或云服务现在都提供 IPFS 服务。这意味着网络钓鱼者可以更灵活地创建新类型的网络钓鱼 URL。此外，垃圾邮件发送者可以通过在合法的 Web 托管服务中托管他们的内容或使用多种 URL 重定向技术来帮助阻止使用 URL 信誉或自动 URL 分析的扫描程序来轻松伪装他们的活动。  

及时了解最新技术和网络威胁有助于防止用户成为网络钓鱼等网络威胁的受害者。与往常一样，我们提醒大家在这个瞬息万变的数字环境中保持警惕。

 

参考： 

https://docs.ipfs.io/concepts/content-addressing/ 

https://developers.cloudflare.com/web3/ipfs-gateway/ 

明天的网络今天需要 IPFS

IPFS 旨在超越 HTTP，以便为我们所有人构建更好的网络。

朋友们，丁野好想你们

原文始发于微信公众号（网络研究院）：IPFS：网络钓鱼的新温床