安全厂商发现,新兴的分布式文件存储及传输协议IPFS也被黑客用于生产机制及发送钓鱼信件,而且更难为传统钓鱼信件防护技术侦测。
安全厂商TrustWave在过去90天内,观测到3,000多封电子邮件包含IPFS协议的钓鱼URL,显示这新协议越来越成为钓鱼网站的热门平台。
星际文件系统(InterPlanetary File System,IPFS)是一分布式点对点的文件共享系统,以便存储和共享文件、网站、应用程序。IPFS网络中,内容存储在全球各个节点,各节点也可以彼此分享内容。IPFS协议根据内容寻址找到特定文件。为抓取特定内容,用户必须知道网关主机名称和文件的内容识别码(content identifier,CID)。其网址类似https://
传统上的网际网络文件传输,是以集中化client/server的HTTP协议上进行。一旦服务器挂掉或连接断掉,就无法传输文件。但在IPFS上,文件可利用多个网络节点上发送,因此内容是恒久存在的。
图片来源/TrustWave
一旦用于恶意内容,例如钓鱼信件网络就会对网络安全带来挑战。一来,想取缔IPFS分散架构上的钓渔网站十分困难,另外,想在合法P2P网络上发现恶意流量也是问题。基于资料的恒久性、强大的网络特性、欠缺管理法规,IPFS可能是托管和分享、传播恶意内容的理想平台。
IPFS默认使用sha-256算法为文件产出CID,据此,TrustWave研究人员目前发现黑客利用多种IPFS服务存储恶意文件,并发动钓鱼信件攻击。分析这些钓鱼邮件,显示恶意文件分别存储在区块链服务infura“.”io(下图)、云计算存储服务如Filebase“.”io、Nftstorage“.”link、免费静态网页空间Surge、甚至滥用Google Weblight、以及网页托管网站。
图片来源/TrustWave
研究人员警告,随着网页托管、文件存储或云计算服务提供IPFS服务,IPFS成为钓鱼邮件的新温床,黑客创建新式钓鱼URL有更大弹性,且借由将恶意文件托管理在合法服务上,也更能躲避像是URL信誉评级,或是自动化URL分析服务的侦测。研究人员提醒用户应时时提高警觉。