講在前面

本文對于IPFS如何進(jìn)行網(wǎng)絡(luò)釣魚不做具體技術(shù)細(xì)節(jié)描述，筆者考慮到自身能力有限，為讀者盡量短小精悍的描述什么是IPFS，IPFS在網(wǎng)絡(luò)釣魚當(dāng)中的應(yīng)用，以及介紹公開的一些關(guān)于利用IPFS進(jìn)行網(wǎng)絡(luò)釣魚的案例。對本文有疑問或者對社會工程學(xué)感興趣可以留言與我進(jìn)行溝通。

是什么

特點(diǎn)：它是一個(gè)去中心化的存儲方式、方便攻擊者存儲釣魚文件(惡意木馬、shellcode，釣魚網(wǎng)站)、徹底刪除難度大。

星際文件系統(tǒng)IPFS(InterPlanetary File System)，是一種 Web3 技術(shù)，目的是實(shí)現(xiàn)互聯(lián)網(wǎng)上資源的去中心化存儲。就像是一個(gè)全球的、去中心化的大型文件庫，它的目標(biāo)是使上的資源分散存儲，而不是集中在某個(gè)單一的服務(wù)器或數(shù)據(jù)中心。

我們通過一個(gè)簡單的例子來理解IPFS：

想象一下，你在一個(gè)大型的公共圖書館。在傳統(tǒng)的互聯(lián)網(wǎng)結(jié)構(gòu)中，如果你想找一本書（比如，一份文件或數(shù)據(jù)），你必須到圖書館的特定位置去找這本書。這個(gè)位置就相當(dāng)于一個(gè)集中的服務(wù)器或數(shù)據(jù)中心。如果這個(gè)位置突然關(guān)閉了（比如服務(wù)器宕機(jī)），或者這本書被移走了（比如文件被刪除），你就無法找到你需要的書了。

現(xiàn)在，想象一下，如果這個(gè)圖書館是基于IPFS的。在這種情況下，每一本書的副本都分布在整個(gè)圖書館中，甚至有的讀者手中也有這本書的副本。這樣，即使原來的位置關(guān)閉了，或者原來的書被移走了，你仍然可以從圖書館的其他地方找到這本書的副本。

這就是IPFS的基本概念。它是去中心化的，因?yàn)槲募辉俅鎯υ谝粋€(gè)中心位置，而是分散在全球的計(jì)算機(jī)網(wǎng)絡(luò)中。這樣，即使某個(gè)節(jié)點(diǎn)（服務(wù)器）出現(xiàn)問題，數(shù)據(jù)仍然可以從其他節(jié)點(diǎn)獲取，提高了數(shù)據(jù)的可用性和持久性。

此外，IPFS使用內(nèi)容尋址而不是位置尋址。也就是說，你找的不再是文件在哪里（URL），而是文件是什么（基于文件內(nèi)容生成的獨(dú)特哈希值）。這也增加了系統(tǒng)的彈性和安全性，因?yàn)槲募膬?nèi)容不會因?yàn)槲恢玫母淖兌淖儭?/span>

這里我們用一個(gè)案例來解釋一下位置尋址和內(nèi)容尋址兩個(gè)概念

1. 位置尋址：就好比你用地址找到某個(gè)人的家。這個(gè)地址（比如，“北京市中關(guān)村”）指向了一個(gè)具體的位置。這就像我們在網(wǎng)上通過URL（比如，“www.example.com”）找到某個(gè)文件或網(wǎng)頁。如果那個(gè)人搬家了，或者那個(gè)網(wǎng)頁的服務(wù)器變了，你就找不到那個(gè)人或那個(gè)文件了，因?yàn)槟阒恢浪麄冊瓉淼奈恢谩?

2. 內(nèi)容尋址：現(xiàn)在想象，你并不知道那個(gè)人的地址，但你有一張他的照片。無論他搬到哪里，只要你看到他，你就能認(rèn)出他。這就像IPFS的內(nèi)容尋址，你通過文件的內(nèi)容（或者說，文件的“照片”，即哈希值）來找到文件，而不是通過文件的位置。即使文件被移動到了另一個(gè)服務(wù)器，你仍然可以通過文件的“照片”（即哈希值）找到它。

所以，內(nèi)容尋址就是通過文件的“照片”（哈希值）來找文件，而不是通過文件的“地址”（服務(wù)器位置）。這樣，即使文件的位置變了，你仍然可以找到它。

這里我們還需要了解兩個(gè)東西，內(nèi)容標(biāo)識符(CID)，網(wǎng)關(guān)(Gateway)，在IPFS網(wǎng)絡(luò)中，當(dāng)文件上傳到這個(gè)網(wǎng)絡(luò)中去時(shí)，會根據(jù)文件的內(nèi)容生成一個(gè)唯一的CID，因?yàn)檫@個(gè)CID是基于文件的內(nèi)容生成的。無論文件在哪里，無論文件的副本有多少，這個(gè)CID都是一樣的，同時(shí)在IPFS中，網(wǎng)關(guān)是一種特殊的節(jié)點(diǎn)，它們知道每個(gè)CID對應(yīng)的文件在哪里。當(dāng)你想訪問一個(gè)文件時(shí)，你只需要告訴網(wǎng)關(guān)這個(gè)文件的CID，網(wǎng)關(guān)就能幫你找到這個(gè)文件。

訪問形式：https://網(wǎng)關(guān)/ipfs/CID 舉例： https://ipfs.io/ipfs/QmYwAPJzv5CZsnA555s3Xf2nemtYgPpHdWEz79ojWnPbdG

注意

在這個(gè)例子中，“https://ipfs.io/ipfs/”是一個(gè)公共IPFS網(wǎng)關(guān)的地址，而“QmYwAPJzv5CZsnA555s3Xf2nemtYgPpHdWEz79ojWnPbdG”就是文件的CID。

除了可以使用公共IPFS以外，也可以自行建立專用IPFS網(wǎng)關(guān)節(jié)點(diǎn)來進(jìn)行訪問，參考IPFS官網(wǎng)如何建立自己的IPFS節(jié)點(diǎn)

做什么

前提

IPFS并不是一個(gè)新型的釣魚手段，它只是為釣魚提供了新型的存儲方式。同時(shí)IPFS暫時(shí)不支持動態(tài)交互存儲數(shù)據(jù)。因其去中心化的因素，導(dǎo)致當(dāng)你上傳文件到IPFS網(wǎng)絡(luò)上后，再想徹底將其刪除是比較困難的。

現(xiàn)在我們已經(jīng)了解了IPFS的概念以及它的目標(biāo)和作用，那么它在社會工程學(xué)上如何進(jìn)行利用呢？

以往進(jìn)行網(wǎng)絡(luò)釣魚，需要這樣幾個(gè)步驟：

1. 購買域名+VPS

2. 上傳釣魚網(wǎng)站到VPS，并在VPS上存儲釣魚網(wǎng)站收集的憑據(jù)

注意

這里第3步舉例是收集憑據(jù)，也可以將它換成彈窗提示下載木馬

簡單的來說，只需要一個(gè)VPS一個(gè)域名即可，甚至有時(shí)候我們只需要一個(gè)VPS即可進(jìn)行網(wǎng)絡(luò)釣魚。

那么這時(shí)候會遇到一個(gè)什么情況呢？

當(dāng)防守人員溯源到VPS地址時(shí)通過主動或被動屏蔽以及向運(yùn)營商投訴，來讓VPS失效，刪除VPS上部署的釣魚文件，這樣攻擊手的成本加大并且耗費(fèi)精力。

現(xiàn)在我們利用IPFS后，進(jìn)行網(wǎng)絡(luò)釣魚就是如下幾個(gè)步驟：

1.利用第三方IPFS服務(wù)商上傳釣魚網(wǎng)站

2.購買域名+VPS來存儲釣魚收集的憑據(jù)

現(xiàn)在我們將釣魚網(wǎng)站和存儲數(shù)據(jù)分開存儲了，我們的釣魚網(wǎng)站存儲到IPFS網(wǎng)絡(luò)中，根據(jù)IPFS網(wǎng)絡(luò)的特性，即使防守人員知道文件的CID，也無法徹底刪除和屏蔽這個(gè)釣魚網(wǎng)站。所以攻擊手不擔(dān)心釣魚網(wǎng)站會被屏蔽或刪除。

但是需要注意的一點(diǎn)是，我們還是使用了一臺中心化服務(wù)器來存儲釣魚收集到的憑據(jù)(如果你是上傳木馬或者shellcode，則沒有這個(gè)需要),所以，當(dāng)防守人員訪問釣魚網(wǎng)站時(shí)，通過分析網(wǎng)頁的網(wǎng)絡(luò)請求就可以找到后面存儲憑據(jù)的VPS，然后進(jìn)行深入溯源。

注意：

防守人員想要屏蔽,除非所有公共網(wǎng)關(guān)都屏蔽這個(gè)CID，但攻擊者依舊可以自行創(chuàng)建一個(gè)專用網(wǎng)關(guān)來訪問這個(gè)釣魚網(wǎng)站，對于防守人員來說，目前只能被動屏蔽，而且具有滯后性。

根據(jù)已有的案例以及文章來看，主要兩種方式

注意：這里筆者直接引用文章中的部分案例，讀者可以自行閱讀原文。

• Threat Spotlight: Cyber Criminal Adoption of IPFS for Phishing, Malware Campaigns

• 威脅情報(bào):網(wǎng)絡(luò)犯罪分子利用IPFS進(jìn)行網(wǎng)絡(luò)釣魚和惡意軟件活動

• IPFS：網(wǎng)絡(luò)釣魚的新溫床

IPFS存儲shellcode

IPFS存儲釣魚網(wǎng)站

受害者收到了一封釣魚郵件，郵件內(nèi)容提供了與DocuSign文件簽署服務(wù)有關(guān)的PDF文件。下面是這樣一個(gè)PDF的截圖：

當(dāng)受害者點(diǎn)擊 "Review Document "鏈接時(shí)，他們會被重定向到一個(gè)看起來像是微軟認(rèn)證頁面的頁面。然而，該頁面實(shí)際上是在IPFS網(wǎng)絡(luò)上托管的

用戶會被提示輸入一個(gè)電子郵件地址和密碼。然后，這些信息通過HTTP POST請求被傳送到攻擊者控制的網(wǎng)絡(luò)服務(wù)器，在那里可以被收集和處理，用于進(jìn)一步攻擊。

小結(jié)

目前來看，除了IPFS這種存儲方式以外，攻擊者越來越多地使用Discord、Slack、Telegram、Dropbox、Google Drive、AWS 等合法產(chǎn)品來托管惡意內(nèi)容或?qū)⒂脩粢龑?dǎo)至惡意內(nèi)容，這使得網(wǎng)絡(luò)釣魚成為利潤豐厚的主要初始產(chǎn)品之一訪問向量。

IPFS只是為網(wǎng)絡(luò)釣魚提供了另一個(gè)存儲選擇，對于釣魚手段并沒有創(chuàng)新。對于筆者而言，吸引筆者的是一些新型釣魚場景和形式，例如針對金融行業(yè)使用短信發(fā)送二維碼進(jìn)行釣魚、針對IT人員使用情感類場景發(fā)送求偶進(jìn)行釣魚等等。

提一嘴關(guān)于網(wǎng)絡(luò)釣魚的情況，2023 年第 1 季度釣魚郵件報(bào)告 5.624 億封，環(huán)比增加 102％，根據(jù)電子郵件安全和威脅檢測公司 Vade 公布的最新報(bào)告，2023 年第 1 季度共檢測到 5.624 億封，比上一季度增加 2.848 億封，環(huán)比增加 102%。

其中今年 1 月是第 1 季度釣魚電子郵件數(shù)量最多，達(dá)到了 4.885 億封，惡意電子郵件數(shù)量為 5230 萬封，環(huán)比下降了 7%，同比下降了 13%。

部分提供IPFS服務(wù)的平臺

• infura.io

• filebase

• nft.storage

公開的公共網(wǎng)關(guān)列表

有興趣可以加入我的群聊或者添加我的微信或者關(guān)注我的其他平臺以了解我發(fā)布的關(guān)于社會工程學(xué)的想法和最新資訊。

知乎:https://zhuanlan.zhihu.com/p/604671786

B站:https://space.bilibili.com/326261964

微博:https://weibo.com/u/6017923053