Angreifer nutzen Web3-IPFS – Attackers exploit Web3 IPFS

Web3 unter Beschuss: Im Jahr 2022 beobachteten die Cyber-Analysten von Palo Alto Networks /Unit 42, dass das InterPlanetary File System (auch bekannt als IPFS) in großem Umfang für kriminelle Zwecke genutzt wird. IPFS ist eine Web3-Technologie, die die Speicherung von Dateien und anderen Daten in einem Peer-to-Peer-Netzwerk dezentralisiert und verteilt. Wie jede Technologie kann auch IPFS von Cyberkriminellen missbraucht werden. Da die auf IPFS gehosteten Inhalte jedoch dezentralisiert und verteilt sind, ist es schwierig, gefährliche Inhalte zu finden und aus dem Ökosystem zu entfernen.

Was sind Web3 und IPFS?

IPFS ist eine der Technologien, die Web3-Infrastrukturen unterstützen. Web3 – oder die dritte Iteration des Webs – ist eine neue Version des Internets, bei der die Dezentralisierung mithilfe von Blockchain-Technologie und Token im Vordergrund steht. Mit Web3 können Nutzer ihre Daten vor Zensur und Manipulation schützen, ohne eine zentrale Autorität zu benötigen. Diese Dezentralisierung ermöglicht es Einzelpersonen, Eigentum und Kontrolle über ihre eigenen Inhalte zu haben, die sie veröffentlichen können, ohne befürchten zu müssen, dass Regierungen oder Technologieunternehmen sie entfernen. Cyberkriminelle können sich diese Vorteile jedoch auch für ihre Aktivitäten zunutze machen.

IPFS ist ein verteiltes Dateifreigabesystem, veröffentlicht im Jahr 2015. Es ist offen und verwendet ein Peer-to-Peer-Hypermedia-Protokoll, um das Internet schneller, sicherer und offener zu machen. Anders als das herkömmliche Web ist IPFS inhaltsorientiert und sucht über ein dezentrales Netzwerk nach Inhaltskennungen in Form von Hashes und nicht nach bestimmten Orten. Der Zugriff auf IPFS-Inhalte kann durch die Einrichtung eines eigenen Knotens im IPFS-Netz oder über IPFS-Gateways erfolgen, bei denen es sich um webbasierte Schnittstellen von Drittanbietern zwischen dem Web und dem IPFS-Netz handelt. Diese Gateways ermöglichen es Benutzern, Inhalte über HTTP-Requests anzuzeigen und abzurufen, aber sie können die Inhalte nicht ändern oder ergänzen.

Zunahme des IPFS-bezogenen Datenverkehrs

Vom letzten Quartal 2021 bis zum Ende des letzten Quartals 2022 stellte Palo Alto Networks einen Anstieg des IPFS-bezogenen Datenverkehrs um 893 Prozent fest. Dieser Anstieg des IPFS-Verkehrs ist erwartungsgemäß mit einem bemerkenswerten Anstieg krimineller Aktivitäten verbunden. Die Analysten von Unit 42 beobachteten im Jahr 2022 zahlreiche Bedrohungskampagnen, die das gesamte Spektrum von Phishing, Diebstahl von Zugangsdaten, Command-and-Control-Kommunikation (C2) über die Verbreitung von bösartigen Nutzdaten bis hin zu allgemeiner Systemübernahme abdeckten.

Unit 42 von Palo Alto Networks hat Angreifer identifiziert, die in Foren im Dark Web über den Einsatz der Technologie diskutieren, und Cyberkriminelle, die auf IPFS gehostete Dienste verkaufen. Die Akteure werben häufig für ihre Betrugsdienste und führen eine Reihe von Verkaufsargumenten an, darunter, dass Websites „lange Zeit nicht online waren“ und dass ihr „Link keine Ausfallzeiten hat“. Das bedeutet, dass IPFS ihnen Schutz und Langlebigkeit für ihre Kampagnen bietet.

Phishing

Bei IPFS war unter anderem ein exponentieller Anstieg des Phishing-bezogenen Netzwerkverkehrs zu verzeichnen, insbesondere im letzten Quartal vergangenen Jahres. Im Gegensatz zu herkömmlichen Phishing-Seiten, die im Internet gehostet werden, kann ein Hosting-Anbieter oder eine moderierende Partei IPFS-Phishing-Inhalte nicht einfach entfernen. Sobald die Inhalte im IPFS-Netzwerk veröffentlicht sind, kann jeder sie abrufen und auf seinem eigenen Knotenpunkt erneut veröffentlichen. Phishing-Inhalte können auf mehreren Knoten gehostet werden, und bei jedem Host müsste die Entfernung der Inhalte beantragt werden. Sollte einer der Hosts der Entfernung nicht zustimmen, wäre es praktisch unmöglich, die Inhalte zu entfernen.

Phishing-Kampagnen haben in der Regel jedoch eine kürzere Verweildauer als andere Arten von Cyberkriminalität, da die Inhalte von Website-Eigentümern, Hosting-Anbietern oder Moderatoren entfernt oder gesperrt werden. Die Struktur von IPFS ermöglicht es Kriminellen, ihre Kampagne zu verlängern, indem sie sie widerstandsfähiger gegen die Entfernung von Inhalten machen. IPFS-Phishing-Kampagnen ähneln denen des herkömmlichen Phishings, bei denen Angreifer legitime Dienste und Software wie DHL, DocuSign und Adobe imitieren, um die Wahrscheinlichkeit zu erhöhen, dass sie im Posteingang eines gutgläubigen Adressaten landen. Die Fähigkeit, diese Köder zu blockieren, hängt davon ab, welche E-Mail-Sicherheitsvorkehrungen das empfangende Unternehmen getroffen hat. Während einige Unternehmen sehr strenge Regeln in ihren sicheren E-Mail-Gateways und anderen Sicherheitsprodukten festlegen, verzichten andere darauf, weil sie befürchten, dass legitime E-Mails davon betroffen sein könnten.

Schlussfolgerung von Palo Alto Networks

Die zunehmende Nutzung von IPFS durch Cyberkriminelle ist ein sich verschärfendes Problem. Als dezentralisierte und verteilte Speichertechnologie bringt IPFS besondere Herausforderungen beim Auffinden und Entfernen bösartiger Inhalte aus dem Ökosystem mit sich. Es ist wichtig zu beachten, dass es keine einheitliche Lösung für die Entfernung gefährlicher Inhalte aus IPFS-Netzwerken gibt. Je nach den spezifischen Umständen und der Beteiligung der Eigentümer der dezentralen Netzwerke, in denen die Inhalte letztlich gehostet werden, können verschiedene Ansätze mehr oder weniger effektiv sein.

Der erhebliche Anstieg des IPFS-bezogenen Datenverkehrs, den Palo Alto Networks im Jahr 2022 beobachtet hat, untermauert durch Daten von VirusTotal, verdeutlichen die wachsende Beliebtheit dieser Technologie bei Cyberkriminellen. Die von den Analysten von Unit 42 beobachteten Bedrohungskampagnen zeigen die Vielseitigkeit von IPFS bei der Durchführung verschiedener krimineller Aktivitäten. Hierzu zählen Phishing, Diebstahl von Zugangsdaten, C2-Kommunikation und Verteilung von Nutzdaten.

Die missbräuchliche Nutzung von IPFS sowie der Verkauf von Diensten, die auf IPFS gehostet werden, unterstreicht die Notwendigkeit ständiger Wachsamkeit und proaktiver Maßnahmen zur Erkennung und Eindämmung von Bedrohungen auf dieser Plattform. Es ist unerlässlich, dass die Cybersicherheitscommunity wachsam bleibt und proaktive Maßnahmen ergreift, um den sich entwickelnden Bedrohungen bei IPFS und anderen neuen Technologien einen Schritt voraus zu sein.

What are Web3 and IPFS?

IPFS is one of the technologies that support Web3 infrastructures. Web3 – or the third iteration of the web – is a new version of the internet that focuses on decentralization using blockchain technology and tokens. Web3 allows users to protect their data from censorship and manipulation without the need for a central authority. This decentralization allows individuals to have ownership and control over their own content, which they can publish without fear of governments or technology companies removing it. However, cybercriminals can also take advantage of this for their activities.

IPFS is a distributed file-sharing system, released in 2015, that is open and uses a peer-to-peer hypermedia protocol to make the Internet faster, safer and more open. Unlike the traditional web, IPFS is content-oriented and searches for content identifiers in the form of hashes rather than specific locations over a decentralized network. IPFS content can be accessed by establishing a dedicated node on the IPFS network or through IPFS gateways, which are third-party Web-based interfaces between the Web and the IPFS network. These gateways allow users to view and retrieve content via HTTP requests, but they cannot modify or add to the content.

Increase in IPFS-related traffic

From the last quarter of 2021 to the end of the last quarter of 2022, Palo Alto Networks noted an 893 percent increase in IPFS-related traffic. As expected, this increase in IPFS traffic is associated with a notable increase in criminal activity. Unit 42 analysts observed numerous threat campaigns in 2022 that spanned the spectrum from phishing, credential theft, command-and-control (C2) communications, malicious payload distribution and general system takeover.

Palo Alto Networks‘ Unit 42 has identified attackers discussing the use of the technology in forums on the dark web, and cybercriminals selling services hosted on IPFS. The actors frequently promote their scam services, citing a number of sales pitches, including that websites „have not been online for a long time“ and that their „link has no downtime.“ This means that IPFS offers them protection and longevity for their campaigns.

Phishing

One of the things IPFS saw was an exponential increase in phishing-related network traffic, especially in the last quarter of last year. Unlike traditional phishing sites hosted on the Internet, a hosting provider or moderating party cannot easily remove IPFS phishing content. Once the content is published on the IPFS network, anyone can retrieve it and republish it on their own node. Phishing content can be hosted on multiple nodes, and removal would need to be requested from each host. If any of the hosts did not agree to the removal, it would be virtually impossible to remove the content.

However, phishing campaigns typically have a shorter retention period than other types of cybercrime because the content is removed or blocked by site owners, hosting providers, or moderators. The structure of IPFS allows criminals to prolong their campaign by making it more resistant to content removal. IPFS phishing campaigns are similar to those of traditional phishing, where attackers imitate legitimate services and software such as DHL, DocuSign, and Adobe to increase the likelihood of landing in a gullible addressee’s inbox. The ability to block these decoys depends on what email security measures the receiving company has in place. While some companies set very strict rules in their secure email gateways and other security products, others choose not to do so because they fear legitimate email could be affected.

Conclusion from Palo Alto Networks

The increasing use of IPFS by cybercriminals is a worsening problem. As a decentralized and distributed storage technology, IPFS brings unique challenges to finding and removing malicious content from the ecosystem. It is important to note that there is no single solution for removing malicious content from IPFS networks. Depending on the specific circumstances and the involvement of the owners of the decentralized networks that ultimately host the content, different approaches may be more or less effective.

The significant increase in IPFS-related traffic observed by Palo Alto Networks in 2022, backed up by data from VirusTotal, illustrate the growing popularity of this technology among cybercriminals. The threat campaigns observed by Unit 42 analysts demonstrate the versatility of IPFS in performing a variety of criminal activities. These include phishing, credential theft, C2 communications, and payload distribution.

The misuse of IPFS, as well as the sale of services hosted on IPFS, underscores the need for constant vigilance and proactive measures to detect and mitigate threats on this platform. It is imperative that the cybersecurity community remain vigilant and take proactive measures to stay ahead of evolving threats on IPFS and other emerging technologies.