Meşru kullanım için tasarlanmış diğer Web teknolojilerinde olduğu gibi, içeriği merkezi olmayan bir şekilde depolamak ve içeriğe erişmek için Gezegenler Arası Dosya Sistemi (IPFS) eşler arası ağ, siber saldırılar için güçlü ve yeni bir silah haline geldi.
Bu hafta Cisco Talos’tan araştırmacılar, kimlik avı kitlerini ve kötü amaçlı yazılım yüklerini barındırmak için IPFS’den yararlanan çok sayıda kötü amaçlı kampanyayı gözlemlediklerini bildirdi. Talos, birçok saldırgan için IPFS’nin, çoğunlukla yayından kaldırma çabalarına karşı dayanıklı, kurşun geçirmez bir barındırma sağlayıcısının eşdeğeri haline geldiğini söyledi. Savunmacılar için meseleleri karmaşık hale getiren şey, IPFS’nin genellikle meşru amaçlar için kullanılmasıdır. Bu nedenle, güvenlik sağlayıcısı, iyi huylu ve kötü niyetli IPFS etkinliğini ayırt etmenin başka bir zorluk olduğunu söyledi.
“Kuruluşlar bu yeni teknolojilere ve bunların tehdit aktörleri tarafından nasıl kullanıldıklarına aşina olmalıdır. yeni tekniklere karşı savunmak onları kullananlar,” dedi Talos, tehdidi özetleyen bir raporda.
Büyüyen Tehdit
Bu, araştırmacıların son aylarda en azından ikinci kez, IPFS’nin bir siber suç faaliyeti yatağı haline gelmesiyle ilgili alarmı çaldığını gösteriyor.
Temmuz ayında Trustwave’in SpiderLabs ekibi, araştırmacılarının üç aylık bir süre içinde IPFS’de barındırılan kimlik avı URL’leri içeren 3.000’den fazla e-postayı nasıl tespit ettiğini kaydetti. IPFS’de gözlemlediği kimlik avı sayfaları, Microsoft Outlook giriş sayfalarını, Google alanlarını ve Filebase.io ve nftstorage.link gibi bulut depolama hizmetlerini taklit edenleri içeriyordu. “Kimlik avı teknikleri bir adım attı Trustwave, IPFS kullanan merkezi olmayan bulut hizmetleri konseptini kullanarak,” dedi. Birçok dosya depolama, Web barındırma ve bulut hizmeti şirketi tarafından artan IPFS kullanımı, saldırganların kolayca engellenemeyen yeni kimlik avı URL’leri oluşturma konusunda çok daha fazla esnekliğe sahip olmaları anlamına geliyor. dedi güvenlik satıcısı.
IPFS, Protocol Labs’ın 2015’te başlattığı eşler arası bir dosya paylaşım sistemidir. Ağ, merkezi olmayan içerik depolamasına izin verecek şekilde tasarlanmıştır. IPFS’de depolanan içerik, birden çok düğüm veya ağa katılan sistemler arasında yansıtılır. Bireyler ve diğerleri, web sayfaları, dosyalar, NFT’ler ve belgeler dahil olmak üzere farklı veri türlerini depolamak için IPFS’yi kullanabilir.
IPFS’de depolanan kaynaklara benzersiz tanımlayıcılar atanır. Kullanıcılar, Tor ağındaki içeriğe erişim için ağ geçitleri gibi olan IPFS istemcileri veya ağ geçitleri aracılığıyla içeriğe erişmek için tanımlayıcıyı kullanabilir. İçerik IPFS’de yansıtıldığından, bir düğüm çökse bile her zaman kullanılabilir.
Bu, IPFS’yi siber suçlular için kimlik avı kitlerini ve kötü amaçlı yazılımları barındırmak için çekici bir seçenek haline getirdi. IPFS’deki içeriğin statik bir IP adresi olmadığından, standart IP engelleme ve kara listeye alma mekanizmaları kullanılarak engellenemez. Benzer şekilde, kimlik avı sayfaları ve kötü amaçlı yazılım içeren bir düğümü indirmek, içerik birden çok düğümde yansıtıldığından bir tehdidi etkisiz hale getirmek için çok az şey yapar. Ayrıca, IPFS üzerinde, yasa uygulayıcıların veya güvenlik sağlayıcılarının bir kimlik avı veya kötü amaçlı yazılım dağıtan bir siteyi çökertmek için iletişim kurabilecekleri merkezi bir otorite yoktur.
Saldırganların IPFS’yi nasıl kötüye kullandıklarına dair bir örnekte Talos, kurbanların DocuSign belge imzalama hizmetiyle ilişkili olduğu iddia edilen bir PDF ekli bir e-posta aldıkları bir kimlik avı kampanyasına işaret etti. Bir kullanıcı “Belgeyi İncele” bağlantısını tıkladığında, meşru bir Microsoft kimlik doğrulama sayfası gibi görünen ancak aslında IPFS ağında barındırılan bir kimlik bilgisi toplama sayfası olan bir web sayfasına yönlendirilir.
Talos, bir IPFS ağ geçidinin, talep edilen kaynağın kötü niyetli olarak algılanabileceği ve erişimi engelleyebileceği durumlarda, saldırganın içeriği almak için kullanılan IPFS ağ geçidini değiştirmesi yeterlidir, dedi Talos.
Kimlik Avı Tek Tehdit Değil
Kimlik avı sayfaları tek tehdit değildir. Artan sayıda saldırgan, kötü amaçlı yükleri dağıtmak için eşler arası ağdan da yararlanıyor.
Talos araştırmacılarının gözlemlediği bir kampanyada, saldırgan, kurbanlara, PE32 yürütülebilir biçiminde bir kötü amaçlı yazılım damlalığı içeren bir ZIP eki olan bir kimlik avı e-postası gönderdi. Çalıştırıldığında, indirici bir IPFS ağ geçidine ulaşır ve eşler arası ağda barındırılan ikinci aşama kötü amaçlı yazılım yükünü alır. Saldırı zinciri, Ajan Tesla uzaktan erişim Truva Atı’nın kurbanın sistemine düşmesiyle sona erdi.
Talos araştırmacıları ayrıca yıkıcı, diski silen bir kötü amaçlı yazılım aracı ve IPFS düğümlerinde barındırılan Hannabi Grabber adlı tam özellikli bir bilgi hırsızı buldu.
Raporda Talos, “Son zamanlarda kullanıcılara değerli işlevsellik sağlamaya çalışan birçok yeni Web3 teknolojisi ortaya çıktı” dedi. “Bu teknolojiler meşru amaçlar için artan bir şekilde benimsenmeye devam ettikçe, rakipler tarafından da kullanılmaya başlandı.”
Araştırmacılar, IPFS’nin içerik denetleme ve yayından kaldırma çabalarına karşı dayanıklı olduğunu fark eden daha fazla tehdit aktörüyle trendin ivme kazanmasını bekliyor.
Satıcı, “Kuruluşlar, bu yeni ortaya çıkan teknolojilerin tehdit ortamında nasıl aktif olarak kullanıldığının farkında olmalı ve ortamlarında başarılı saldırıları önlemek veya tespit etmek için güvenlik kontrollerinin en iyi nasıl uygulanacağını değerlendirmelidir.” Dedi.