利用IPFS分散网络观察到的几种网络攻击

许多网络钓鱼活动正在利用去中心化的行星间文件系统（IPFS）网络来托管恶意软件、网络钓鱼工具包基础设施，并为其他攻击提供便利。

思科Talos研究人员埃德蒙·布鲁马金（Edmund Brumaghin）在与《黑客新闻》（the Hacker News）分享的一份分析中表示：“多个恶意软件家族目前托管在IPFS中，并在恶意软件攻击的初始阶段被检索”。

这项研究反映了Trustwave SpiderLabs在2022年7月的类似发现，该实验室发现3000多封电子邮件中包含IPFS钓鱼URL作为攻击向量，称IPFS为托管钓鱼网站的新“温床”。

IPFS作为一种技术，既能抵御审查，又能被拆除，这使它成为一把双刃剑。它的基础是一个对等（P2P）网络，它跨所有参与节点复制内容，这样即使文件从一台机器上删除，对资源的请求仍然可以通过其他系统提供服务。

这也使得不良行为者滥用恶意软件的时机成熟，这些恶意软件可以抵御执法部门破坏其攻击基础设施的企图，如去年Emotet的案例所示。

Brumaghin此前在2022年8月接受《黑客新闻》采访时表示:“IPFS目前被各种威胁行为者滥用，他们利用IPFS托管恶意内容，作为网络钓鱼和恶意软件分发活动的一部分”。

这包括Dark Utilities，这是一个命令和控制（C2）框架，被宣传为对手利用IPFS中托管的平台提供的有效负载二进制文件，利用远程系统访问、DDoS功能和加密货币挖掘的一种方式。

此外，IPFS还被用于为恶意登陆页面提供服务，作为钓鱼活动的一部分，这些钓鱼活动旨在窃取凭证并分发各种恶意软件，包括特斯拉特工、反向外壳、数据擦除器和一个名为Hannabi Grabber的信息窃取者。

在Talos详细介绍的一个恶意垃圾邮件传递链中，一封据称来自土耳其金融机构的电子邮件敦促收件人打开ZIP文件附件，该附件在启动时充当下载者，以检索IPFS网络中托管的特斯拉代理的混淆版本。

而破坏性恶意软件则采取批处理文件的形式，删除备份并递归清除所有目录内容。Hannabi Grabber是一种基于Python的恶意软件，它从受感染的主机收集敏感信息，如浏览器数据和屏幕截图，并通过Discord Webhook进行传输。

最新的发展表明，攻击者越来越多地使用Discord、Slack、Telegram、Dropbox、Google Drive、AWS等合法产品来托管恶意内容或引导用户访问这些内容，使网络钓鱼成为利润丰厚的主要初始访问途径之一。

Brumaghin表示：“我们预计，随着越来越多的威胁行为体认识到IPFS可用于促进防弹托管，能够抵御内容适度和执法活动，并为试图检测和防御可能利用IPFS网络的攻击的组织带来问题，这一活动将继续增加”。