安全廠商發現,新興的分散式檔案儲存及傳輸協定IPFS也被駭客用於產製及發送釣魚信件,而且更難為傳統釣魚信件防護技術偵測。

安全廠商TrustWave在過去90天內,觀測到3,000多封電子郵件包含IPFS協定的釣魚URL,顯示這新協定愈來愈成為釣魚網站的熱門平臺。

星際檔案系統(InterPlanetary File System,IPFS)是一分散式點對點的檔案共享系統,以便儲存和共享檔案、網站、應用程式。IPFS網路中,內容儲存在全球各個節點,各節點也可以彼此分享內容。IPFS協定根據內容定址找到特定檔案。為抓取特定內容,使用者必須知道閘道主機名稱和檔案的內容辨識碼(content identifier,CID)。其網址類似https://<Gateway>/ipfs/<CID Hash>。

傳統上的網際網路檔案傳輸,是以集中化client/server的 HTTP協定上進行。一旦伺服器掛掉或連線斷掉,就無法傳輸檔案。但在IPFS上,檔案可利用多個網路節點上傳送,因此內容是恆久存在的。

圖片來源/TrustWave

一旦用於惡意內容,例如釣魚信件網路就會對網路安全帶來挑戰。一來,想取締IPFS分散架構上的釣魚網站十分困難,另外,想在合法P2P網路上發現惡意流量也是問題。基於資料的恆久性、強大的網路特性、欠缺管理法規,IPFS可能是代管和分享、散布惡意內容的理想平臺。

IPFS預設使用sha-256演算法為檔案產出CID,據此,TrustWave研究人員目前發現駭客利用多種IPFS服務儲存惡意檔案,並發動釣魚信件攻擊。分析這些釣魚郵件,顯示惡意檔案分別儲存在區塊鏈服務infura[.]io(下圖)、雲端儲存服務如Filebase[.]io、Nftstorage[.]link、免費靜態網頁空間Surge、甚至濫用Google Weblight、以及網頁代管網站。

圖片來源/TrustWave

研究人員警告,隨著網頁代管、檔案儲存或雲端服務提供IPFS服務,IPFS成為釣魚郵件的新溫床,駭客建立新式釣魚URL有更大彈性,且藉由將惡意檔案代管理在合法服務上,也更能躲避像是URL信譽評等,或是自動化URL分析服務的偵測。研究人員提醒用戶應時時提高警覺。


熱門新聞

Advertisement