研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。

网络安全公司Trustwave SpiderLabs发现超过 3,000 封包含钓鱼 URL 的电子邮件在过去 90 天内使用了 IPFS，很明显 IPFS 正日益成为钓鱼网站的流行平台。

一、IPFS 是什么？攻击者为什么要使用它？

IPFS （InterPlanetary File System, 星际文件系统）创建于 2015 年，是一种内容可寻址的对等超媒体分发协议，旨在创建持久且分布式存储和共享文件的网络传输协议，在IPFS网络中的节点将构成一个分布式文件系统，使用加密哈希而非URL或文件名来存储和分析文件数据。每个哈希都成为了一个唯一的内容id（CID）。要实现对特定内容的访问，用户需要一个网关主机名和文件的内容Id：

https://<Gateway>/ipfs/<CID Hash>

目前，大多数数据传输采用HTTP协议，而IPFS旨在通过P2P网络打造一个完全去中心化的网络。

图1 P2P网络（右）与中心化网络（左）对比

通过 IPFS 配置，共享文件被分发到在整个网络文件系统中充当节点的其他机器，因此可以在需要时访问它。

在集中式网络中，如果服务器关闭或链接断开，则无法访问数据。而使用 IPFS，数据是持久的。自然，这延伸到存储在网络中的恶意内容。删除存储在 IPFS 上的网络钓鱼内容可能很困难，因为即使在一个节点中将其删除，它仍可能在其他节点上可用。

此外，在合法的P2P网络中是很难发现恶意流量的。数据永久保存、鲁邦的网络和缺乏监管，IPFS是攻击者保存和分享恶意内容的理想平台。

二、我们如何识别 IPFS URL？

如前所述，CID 是一个标签，用于指向 IPFS 网络中的内容。不是基于位置的寻址，而是使用该内容的哈希请求数据。IPFS 默认使用 sha-256 哈希算法。

IPFS 的 CID 版本 0 最初设计为使用 base 58 编码的多重哈希作为内容标识符。版本 0 以“Qm”开头，长度为 46 个字符。

但是，在最新的 CID v1 中，它包含一些前导标识符，这些标识符准确地阐明了使用的表示形式，以及内容哈希本身。它包括一个解码算法链接到用于解码 CID 的现有软件实现。

为了使 CID 适合 DNS 标签，子域网关将具有自定义基础（如 base16）的路径转换为 base32 或 base36:

示例网址：

dweb.link/ipfs/f01701220c3c4733ec8affd06cf9e9ff50ffc6bcd2ec85a6170004bb709669c31de94391

返回一个 HTTP 301 重定向：

bafybeigdyrzt5sfp7udm7hu76uh7y26nf3efuylqabf3ociplgtqy.

IPFS 链接通常具有以下通用格式：

• https://ipfs.io/ipfs/{46 个随机字符串} ?(filename|key)= {随机字符串}
• https://ipfs.io/ipfs/{46个随机字符串} ?filename= {文件名}\.html&emailtoken={电子邮件地址}
• https://ipfs.io/ipfs/{46个随机字符串}#{用户邮箱}

三、基于IPFS的钓鱼攻击

目前，已经有多个服务被用于IPFS中保存文件。网络攻击者利用这些服务进行钓鱼攻击。部分IPFS钓鱼网站和URL行为如下：

Blockchain服务：infura[.]io

通用URL格式：

hxxp://{59 character string}.ipfs.infura-ipfs.io/?filename={file name}.html/

图2. 钓鱼攻击活动中使用的Infura IPFS服务

• 在点击钓鱼URL后，会尝试访问favicon.png文件，该文件看似包含在一个IPFS目录中。

图 2.1 包含IPFS路径的png文件

• 钓鱼页面源码包含要从受害者处窃取的信息细节。

图 2.2 Infura IPFS钓鱼URL源码

谷歌云服务—— googleweblight[.]com

通用URL格式：

http://googleweblight[.]com/i?u={IPFS URL redirection}

钓鱼行为：

• 使用IPFS URL访问Googleweblight后，会有自动的多次URL重定向。钓鱼重定向链如下所示：

• 初始URL的源码中一般包含混淆的代码。

图 3. 包含IPFS路径的GoogleWeblight URL源码

滥用云存储服务

1、Filebase[.]io

URL格式：

hxxps://ipfs[.]filebase.io/ipfs/{59 random character string}

图 4. 使用Filebase-IPFS服务的DHL钓鱼URL

钓鱼行为：

• 访问URL后，钓鱼活动就会在同一页面产生，没有URL重定向；
• 钓鱼URL的源码中包含form标签，form标签使用另一个钓鱼URL来保存窃取的凭证信息。

图 4.1 包含另一个钓鱼URL的源码截图

2、Nftstorage[.]link

URL格式：

hxxps://nftstorage[.]link/ipfs/{59 random character string}/#{target email address}

hxxps://{59 random character string}.ipfs.nftstorage[.]link/#{target email address}

图 5. 使用Nftstorage-IPFS的钓鱼URL示例

钓鱼行为：

• 钓鱼URL的源码常使用‘Unescape’编码。然后，解码的源码中含有钓鱼代码注入模板。

图 5.1 使用unescape编码格式的源码

四、滥用web托管网站的钓鱼邮件

• 包含账单收据的虚假通知钓鱼邮件如下所示：

图 6. Phishing email

该消息指出已处理 Azure 订阅的付款，并附上账单收据以供参考。发件人声称自己是“邮件管理员”，并且该域不属于 Microsoft。其他值得注意的细节是其 Message-ID 中缺少的域和主题行中不寻常的句子格式。

图 6.1 欺骗邮件的header信息

恶意HTML附件中含有JS代码，可以启动钓鱼页面。其中，setTimeout()函数用来在新的浏览器标签页中打开钓鱼URL。函数中的location.href可以设置当前页面的URL。

图 7. 来自HTML 附件的代码

该附件指向一个虚假的 Microsoft 网站，该网站声明用户需要支付他们的 Azure 声明。

图 8. 滥用Fleek-IPFS服务的钓鱼网站

按下“Contact your billing administrators”（联系账单管理员）后会转向最终的网站payload，要求用户输入微软凭证登录后才能继续。

图 8.1 伪造的微软登录页

网站的源代码是百分号编码(Percent-Encoding)。

图 8.2 混淆的源代码

使用unescape函数可以看到解码后的网站内容：

图 8.3 解码后的网站源代码内容

我们还可以从解码脚本中看到，垃圾邮件发送者正在滥用域“surge.sh”来获取他们的网络钓鱼图像资源。Surge 是一个静态网站主机，用户可以通过命令行与之交互。

图 8.4 钓鱼网站的图像源

进一步分析表明，垃圾邮件发送者使用的钓鱼模板位于‘o365spammerstestlink[.]surge[.]sh’的URL：

图 8.5 垃圾邮件发送使用的模板

最后，submit按钮被按下后，窃取的凭证就会被post。

图 8.6 使用POST方法的代码段

在解码脚本的开头，我们可以看到一个签名“code by t.me/o635spams”。此链接指向一个名为 O365 Spam Tools 的 Tg 组。Tg是一个加密的在线消息应用程序，可在多个设备上运行。在撰写本文时，垃圾邮件发送者组有 236 名成员，他们声称向 Office 365 发送垃圾邮件。

图 9. Telegram垃圾邮件组

五、结论

通过利用 IPFS 的分布式云服务的概念，网络钓鱼技术取得了飞跃。

IPFS成为网络钓鱼新场所的主要原因之一是许多网络托管、文件存储或云服务现在都提供 IPFS 服务。这意味着网络钓鱼者可以更灵活地创建新类型的网络钓鱼 URL。此外，垃圾邮件发送者可以通过在合法的 Web 托管服务中托管他们的内容或使用多种 URL 重定向技术来帮助阻止使用 URL 信誉或自动 URL 分析的扫描程序来轻松伪装他们的活动。

及时了解最新技术和网络威胁有助于防止用户成为网络钓鱼等网络威胁的受害者。与往常一样，我们提醒大家在这个瞬息万变的数字环境中保持警惕。

深度科普|网络钓鱼的“新温床”IPFS