利用 IPFS 去中心化网络观察到的几起网络攻击

许多网络钓鱼活动正在利用分散的星际文件系统 (IPFS) 网络来托管恶意软件、网络钓鱼工具包基础设施并促进其他攻击。

思科研究员分析表示，多个恶意软件家族目前托管在 IPFS 中，并在恶意软件攻击的初始阶段进行检索。

该研究反映了 Trustwave SpiderLabs 在 2022 年 7 月的类似发现，该研究发现3000 多封包含 IPFS 网络钓鱼 URL 作为攻击媒介的电子邮件，称 IPFS 是托管网络钓鱼网站的新“温床”。

IPFS 作为一种技术，既能抵御审查，又能抵御攻击，使其成为一把双刃剑。它的底层是一个点对点 (P2P) 网络，该网络在所有参与节点之间复制内容，因此即使从一台机器上删除了内容，对资源的请求仍然可以通过其他系统提供服务。

这也使得恶意攻击者滥用恶意软件的时机已经成熟，这些恶意软件希望托管恶意软件，这些恶意软件可以抵制执法部门破坏其攻击基础设施的企图，例如去年Emotet的案例。

IPFS 目前正被各种威胁行为者滥用，他们使用它来托管恶意内容，作为网络钓鱼和恶意软件分发活动的一部分。

这包括Dark Utilities，一个命令和控制 (C2) 框架，它被宣传为攻击者利用远程系统访问、DDoS 功能和加密货币挖掘的一种方式，其有效载荷二进制文件由托管在 IPFS 中的平台提供。

此外，IPFS 已被用于提供流氓登录页面，作为精心策划的网络钓鱼活动的一部分，旨在窃取凭据并分发各种恶意软件，包括Agent Tesla、反向外壳、数据擦除器和名为 Hannabi Grabber 的信息窃取程序。

在一个恶意垃圾邮件传递链中，一封声称来自土耳其金融机构的电子邮件敦促收件人打开一个 ZIP 文件附件，该附件在启动时充当下载器，以检索托管在 IPFS 网络中的 Agent Tesla 的混淆版本.

就其本身而言，破坏性恶意软件采用批处理文件的形式，删除备份并递归清除所有目录内容。Hannabi Grabber 是一种基于 Python 的恶意软件，它从受感染主机收集敏感信息，例如浏览器数据和屏幕截图，并通过Discord Webhook进行传输。

最新发展表明，攻击者越来越多地使用Discord、Slack、Telegram、Dropbox、Google Drive、AWS 等合法产品来托管恶意内容或将用户引导至恶意内容，这使得网络钓鱼成为利润丰厚的主要初始产品访问向量。

预计越来越多的威胁参与者认识到 IPFS 可用于促进防弹托管、对内容审核和执法活动具有弹性，并为试图检测和防御可能利用IPFS 网络。