This post is also available in: English (英語)

概要

2022年にUnit 42のアナリストはInterPlanetary File System (通称IPFS)を悪用する手法の蔓延を確認しました。IPFSはファイルなどのデータをピアツーピアのネットワークに分散して配置するWeb3技術です。

IPFSも、ほかの技術と同様に脅威アクターに悪用されることがあります。ただしIPFS上にホストされたコンテンツは分散されているために悪意のあるコンテンツをエコシステムから探して削除するのが難しく、このために防弾ホスティングに近い状態になっています。

2021年の最終四半期から2022年の最終四半期の終わりまでに、パロアルトネットワークスはIPFS関連のトラフィックが893%増加したことを検出しました。同期間、VirusTotalでも27,000%以上の増加が報告されています。

予想されるとおり、このIPFS関連トラフィックの増加には、悪意のあるアクティビティの顕著な増加が多数含まれています。Unit 42のアナリストは2022年に幅広い分野で多数のIPFS関連脅威キャンペーンを観測しており、その内容にはフィッシング、クレデンシャル窃取、悪意のあるペイロードの配信、脅威アクターによるさまざまな用途での利用などが含まれています。

私たちが分析から得た重要ポイントは以下の通りです。

  • IPFS関連のトラフィックは2022年初めに急増した。パロアルトネットワークスは2021年の最終四半期から2022年の第1四半期にかけてIPFS関連トラフィックの178%の増加を検出した。VirusTotalは同期間に6,500%以上の増加を報告した。
  • ダークWebのフォーラムで同技術の採用を議論する脅威アクターやIPFS上にホストされたサービスを販売する脅威アクターが確認されている。
  • IPFSを利用したサイバー脅威の種類としてフィッシング、クレデンシャル窃取、コマンド&コントロール(C2)通信、悪意のあるペイロードの配信などが確認されている。

パロアルトネットワークスのお客様は、以下の方法で、本稿で解説したマルウェア ファミリーとその悪意のあるコンポーネントから保護されています。

関連するUnit 42のトピック Phishing, Malware

Web3、IPFSとは

IPFSに関連する脅威アクターの行動の考察に入る前にまずWeb3とIPFSの概要を理解しておきましょう。IPFSはWeb3のインフラを支える技術の1つです。

Web3 (Web3.0: the third iteration of the web)はブロックチェーン技術とトークンを使った分散型の次世代インターネットです。Web3により、中央当局を介さず、ユーザーが検閲や改ざんからデータを保護できます。

分散化によって個人は自身のコンテンツの所有権と管理権を持ち、政府やテック系企業による削除を恐れることなくそれらコンテンツを投稿できるようになります。ただし、サイバー犯罪者らも、この利点を悪意のあるアクティビティに濫用できます。

IPFSは2015年にリリースされた分散型ファイル共有システムです。オープンソースで、ピアツーピア(P2P)のハイパーメディア プロトコルを使い、インターネットをより速く、より安全に、よりオープンにします。

IPFSは従来型Webとは異なりコンテンツ指向で、特定の場所を探すのではなく、分散型ネットワークを通じ、ハッシュの形でコンテンツの識別子(CID: Content identifier)を探します。IPFS上のコンテンツには、IPFSネットワーク上に自分のノードを構築するか、IPFSゲートウェイを使ってアクセスします。IPFSゲートウェイというのはWebとIPFSネットワークをつなぐサードパーティのWebベース インターフェースのことです。IPFSはどのIPFSゲートウェイ経由でも利用できますし、特定のゲートウェイに限定もされません。これらのIPFSゲートウェイにより、ユーザーはHTTPリクエスト経由でコンテンツの閲覧や取得を行えます。ただし、コンテンツの変更や追加はできません。

Web3とIPFSの詳細は以下のサイトを参照してください。

全体的なトラフィックの増加

比較的無名であるにもかかわらず、IPFSトラフィックには2022年の第1四半期から弊社の観測全体で顕著な増加が見られました(図1)。弊社製品が2022年の第1四半期に検出したIPFSトラフィックは、2021年最終四半期末のそれと比べて178%増加していました。

この最初の観測後もこのトラフィックは増え続けています。

  • 第2四半期は85%増加
  • 第3四半期は62%増加
  • 第4四半期は19%増加

これは全体で893%の増加に相当します。

画像1はパロアルトネットワークスが観測したIPFSトラフィックをグラフ化したものです。2021年の第4四半期から2022年の第4四半期にかけて約900%の増加を示しています。
図1. パロアルトネットワークスが観測したIPFSトラフィック

さらに私たちは、2022年の第1四半期、VirusTotalでもIPFS関連のトラフィックが同じように増加しており、それが2021年の最終四半期と比べて6,503%の増加だったことを確認しました。

弊社の観測ベース全体で確認されたものと同じく、VirusTotalでも前四半期比で以下のような増加が続いています(図2参照)。

  • 第2四半期は68%の増加
  • 第3四半期は69%の増加
  • 第4四半期は48%の増加
画像2は2021年の第4四半期から2022年の第4四半期にかけてのVirusTotalにおけるIPFSの提出件数の増加状況を示すグラフです。時間経過とともに149件から41,500件近くまでと大きく増加しています。
図2. VirusTotalのIPFSの提出件数

図1、図2のIPFSの観測トラフィックに見られるように、この増加はIPFSが技術として採用されはじめたことに直接起因しています。残念ながら新技術採用のかげにはかならず、それを悪意をもって利用しようとする人々が存在します。パロアルトネットワークスとVirusTotalへの提出で観測されたIPFSトラフィックの顕著な増加にも、IPFSを使う悪意のあるアクティビティの大幅な増加が含まれています。

Unit 42のアナリストは過去1年間で、以下のような悪意のあるアクティビティにIPFSが採用されていたことを確認しています。

  • 脅威アクターによる採用
  • フィッシング、アカウント クレデンシャルの窃取での利用
  • 悪意のあるペイロードの配信を目的とする複数のマルウェア侵入セットによる利用
  • C2通信

IPFSを採用している脅威のアクターらの観測

Unit 42のリサーチャーは、とくにフィッシングとそれに類するサイバー犯罪に関連して、脅威アクターらがIPFSの利用や、彼らの顧客による同技術の利用を議論しているようすを観測しています。脅威アクターはさまざまなセールス ポイントをかかげて詐欺サービスを宣伝することがよくあります。たとえば「not suspended online for a long time (サイトが長期オフラインにならない)」、「Link has no Down Time (リンクはダウンタイムが発生しない)」などといって宣伝しています。ようするに、IPFSの分散型ファイル システムのもつ特性がアクターらのキャンペーンに保護と長寿を与えていると言うことです。アクターらが議論するようすを図3、図4、図5、図6に示します。

画像3はIPFSのリンクを利用した詐欺サービスを宣伝する脅威アクターのスクリーンショットです。脅威アクターはHappyBrotherGroupの一員です。このメッセージには提供しているサービスのほかにスキルセットの一覧も記載されています。
図3. 顧客IPFSリンクを利用する詐欺サービスを販売する脅威アクター
画像4はIPFSのフィッシング ページを販売する脅威アクターによる広告のスクリーンショットです。連絡先も記載されています。
図4 IPFSのフィッシング ページを販売する脅威アクター
画像5はIPFSのフィッシング ページを販売し、購入希望者からのDMを募る脅威アクターのスクリーンショットです。
図5. IPFSのフィッシング ページを販売する脅威アクター
画像6はIPFSのフィッシング ページを販売する脅威アクターによる広告のスクリーンショットです。価格、連絡先、提供されるサービスなどが掲載されています。
図6. IPFSのフィッシング ページを販売する脅威アクター

脅威アクターらは、公開IPFSゲートウェイを悪意のあるコンテンツの配信手段として使いはじめています。インターネットからアクセス可能なこれらのゲートウェイがなければ、脅威アクターらが脅威キャンペーンにIPFSネットワークを取り入れるにあたって必要とする規模のターゲットには到達できていないでしょう。こうした傾向は、数々のフィッシング キャンペーンやサイバー犯罪キャンペーンで、インターネットからアクセス可能なIPFSリンクが使われているようすからもうかがえます。これらのキャンペーンでは初期攻撃ベクトルが電子メールのルアーであることが少なくありません。

以下のセクションで、IPFS技術の悪用を分析するなかで私たちが目にした脅威キャンペーンを詳しく説明します。

フィッシング

図7は、とくに最終四半期のフィッシング関連のネットワーク トラフィックで、IPFSが急増したようすを示しています。Web上にホストされた従来型フィッシング ページとはちがい、IPFSのフィッシング コンテンツは、ホスティング プロバイダーやコンテンツ モデレーションを行う組織が簡単には削除できません。

いちどIPFSネットワークに公開されたコンテンツは、誰でも入手でき、自分のノードで再公開できます。フィッシング コンテンツは複数のノードでホストされている可能性があり、コンテンツの削除は各ホストに依頼する必要があります。削除に応じないホストがあれば、コンテンツの削除は事実上不可能です。

フィッシング キャンペーンは、サイト オーナー、ホスティング プロバイダー、モデレーターがコンテンツを削除・停止することにより、ほかの種類のサイバー犯罪よりもTTL (Time to Live)が短くなる傾向があります。IPFSの構造上、犯罪者はテイクダウンに強くなり、キャンペーンを長持ちさせられます。

画像7はパロアルトネットワークスが観測したIPFSを使うフィッシングURLの増加の経年変化をグラフにしたものです。2021年の第4四半期から始まり2022年の第4四半期までの記録です。とくに2022年の第3四半期から第4四半期にかけて急増しています。
図7 パロアルトネットワークスが観測したIPFSを使うフィッシングURL

IPFSのフィッシング キャンペーンは、従来のフィッシング同様、攻撃者が正規サービスやソフトウェア(DHL、DocuSign、Adobeなど)を模倣することで、誰かの受信トレイに届く可能性を高めるものです。これらのルアーをブロックできるかどうかは、受信側の組織がどのようなメール セキュリティを導入しているかによります。セキュア メール ゲートウェイなどのセキュリティ製品で非常に厳しいルールを課す組織もあれば、正規メールへの影響を嫌ってそうしたルールを避ける組織もあります。

なおここで使われている名称やロゴは、正規組織になりすまそうとする脅威アクターによるものであって、対象組織との実際の提携を表すものではない点にご注意ください。これら脅威アクターによるなりすましは、該当組織の製品やサービスに脆弱性が存在するということは意味していません。

下の例ではDHLブランドを模倣した電子メールのルアーに添付ファイルが含まれています。その添付ファイルの中に、実際のフィッシング ページへのIPFSリンクがあります。

画像8は電子メールによるフィッシングのルアーのスクリーンショットです。ここではDHLの送り状を偽装しています。
図8. 添付ファイルが付いたDHLを偽装するメールのルアー。VirusTotalに提出されたもの

図8に示す添付ファイルをクリックすると、Adobe PDFのブランドに似せた偽の請求書がプレビューされます(図9)。この[Open(開く)]ボタンはIPFSのリンクで、実際にはPDFを開かず、ユーザーを実際のフィッシング ページにリダイレクトします。このページにはIPFSゲートウェイ(図9のハイライト)を介してインターネットからアクセスできます。

画像9は前のDHLフィッシングのルアー画像で確認した添付ファイルのスクリーンショットです。PDFのほかに[Open(開く)]という赤いボタンが表示されています。
図9. リンクを含むDHLのルアーの添付ファイル
このIPFSのURLは、ユーザーをipfs[.]ioゲートウェイ経由でAdobeのサイトを模したフィッシング ページ(図10)に誘導し、被害者のログイン情報を窃取しようとします。

画像10はIPFSのフィッシング リンクのスクリーンショットです。これもDHLをテーマにしたフィッシング ルアーと同じ添付ファイルからのものです。ポップアップにはリンクの切れた画像、メール アドレス フィールドとパスワード フィールドを含むフォーム、[Confirm (確認)]ボタンが表示されます。
図10. DHLをテーマにしたルアーの添付ファイルから見つかったIPFSのフィッシングリンク
ほかのWeb3技術同様、典型的なデータ漏出手法はIPFSネットワークでは使えません。窃取を狙って被害者に入力させたフォーム内のクレデンシャルのデータを脅威アクターが受け取る方法がないのです。

標準的なWebフォームの場合、HTMLフロントエンドがユーザーにコンテンツを表示する部分を担い、バックエンドのフォーム プロセッサーがデータの収集、処理、Webサーバーへの送信の部分を担います。IPFSは、これら動的な機能を担う同等ないし類似の技術をもっていません。

IPFSの利用者は単にデータの読み取り専用コピーを取得するだけで、データとのやりとりは行いません。このため、IPFSゲートウェイの背後にあるフィッシング ページは、ほかのさまざまな技術に頼ります。

たとえば攻撃者はWebページに埋め込まれたスクリプト コードを使って、アカウント クレデンシャルを収集できます。このほか、ヘッドレス フォーム(静的なユーザー フォームで記入・回収が可能なフォーム)を使うこともできます。API駆動の窃取を可能にするため、フォーム フィールドはJSONモデルにマップされ、API経由でバックエンド システムに送信されます。この情報はHTTP POSTリクエストで収集され、攻撃者に送信されて、ここからさらに悪意のある目的に使用されることがあります。

ここでは、この2つのクレデンシャル窃取技術の使われかたを検証します。

Nillis.htmlのunescape()を使うスクリプト

図10はMicrosoftを真似たフィッシング ページの例で、HTMLページとしてホストされています。このページに接続するIPFSのURLは次の通りです。

hxxps[://]bafybeicw4jjag57bk3czji7wjznkkpbocg27qk3fjvqh5krbrfiqbksr2a[.]ipfs[.]w3s[.]link/Nills[.]html

画像11はMicrosoftのログイン ページを模したフィッシング ページのスクリーンショットです。Microsoftの通常のログイン フォームのフィールドに似せたページが表示され、ユーザーにサイン インを要求します。
図11 Nills.htmlのフィッシング ページ

クレデンシャルをどのようにして漏出させているのかを理解するため、Webページのソース コンテンツを確認してみます。

図12はWriteHTMLtoJSという名前の関数です。この関数の目的は、HTMLをJavaScriptに書き出して、その内容をアンエスケープ(エスケープされたデータを復号)することです。unescapeというJavaScriptの関数は、16進数表記のシーケンスを実際のASCII文字の値にデコードする役割を担っています。この16進数表記は図12の3行目と4行目から確認できます。

画像12はフィッシング ページのソースコードのスクリーンショットです。赤い矢印は、デコードされる内容をハイライトしています。
図12. Nills.htmlのWebページのソースを表示したところ

アンエスケープされたコンテンツ(図13)をデコードして分析すると、一対の<script>タグと、あるURL(app[.]headlessforms[.]cloud)が確認できます。このフィッシング ページは、このURLに接続するようです。

ヘッドレス フォームを確認してみたところ、このフィッシング ページは、サードパーティのバックエンド上でデータを取得できるようなユーザー フォーム管理手法を用いていました。この手法では、フロントエンドのWebアプリケーションを設計/開発する必要がありません。

画像13は数行のコードのスクリーンショットです。デコードしたNills.htmlファイルにはクレデンシャルの漏出先が含まれています。ヘッドレス フォームのフィッシング ページを赤い矢印と矩形でハイライトしています。
図13. デコードしたNills.html。クレデンシャルの漏出先が含まれている

被害者がアカウントのユーザー名とパスワードのクレデンシャルを入力すると、これがHTTP POSTリクエストで送信されます(図14)。URI末尾の文字列(GjCP9S9nke)はこのヘッドレス フォームプラットフォーム上でアクターに紐づく固有の識別トークンです。

画像14は何行もあるコードのスクリーンショットです。HTTP POSTと窃取されたクレデンシャルが表示されています。これらのコンテンツを赤い矩形で囲って表示しています。HTTP POSTが上の部分に、クレデンシャルの窃取部分が下に表示されています。
図14 HTTP POSTと窃取されたクレデンシャル

つづいて別の収集技術を使うフィッシング キャンペーンを検証します。

new.htmlのHTTP POST

私たちが発見した別のフィッシング ページ(図15)もIPFS上でホストされていました。new.htmlという名前で、Microsoftのブランドを模倣しています。これと関連するIPFSのフィッシングURLは次の通りです。

hxxp[://]bafybeifm5vcoj35hhuxf7ha3gg6asrrlrwu3bvcysgmrvygnm3qjmugwxq[.]ipfs[.]w3s[.]link/new[.]html?email=

画像15は、Microsoftアカウントのログイン ページを模したフィッシング ページのスクリーンショットです。これにはサイン イン用のフォーム フィールドが含まれています。
図15. new.htmlのフィッシング ページ

Webページのソースを確認すると、先ほど確認したものと似たJavaScript関数が含まれており、コンテンツをアンエスケープしてASCII値にデコードしていることがわかります。unescape関数は図16で確認できます。

画像16はnews.htmlのソース コードのスクリーンショットです。
図16. new.htmlのソースを表示したところ

コンテンツをデコードすると、長いコードの最下部あたりに興味を引くスニペットが見つかります(図17)。

画像17は何行もあるコードのスクリーンショットです。赤い枠線でURLが強調表示されています。
図17. new.htmlのURL。ここにデータがPOSTされる

図17のスニペットは、Submitボタンのclick関数イベントに登録された外部URL (fairpartner[.]ru)を示しています。HTTP POSTリクエストで提供したデータはこのURLに渡ります(図18)。

画像18はfairpartner[.]ruのDNSクエリーを示したWiresharkのスクリーンショットです。
図18. fairpartner[.]ruの名前を解決するDNSクエリー
この調査をまとめた時点で、すでにこのドメインには到達できなくなっていたため、クレデンシャルの窃取はキャプチャできませんでした。このことは、同キャンペーンがクレデンシャル取得にヘッドレス フォームのようなサードパーティーのサービスを使うことで、従来型ホスティングと比べ、高い耐性を得たことを強調するものです。

脅威アクターはIPFSをフィッシング以外にも利用しています。たとえば、マルウェア侵入セットやランサムウェアにも使われています。

RansomEXXなどのランサムウェア・アズ・ア・サービス(RaaS)のオペレーターは、IPFSネットワークを利用して盗んだ被害者データを公開することが知られています。Smoke Loader、XLoader、XMRig、OriginLoggerなどのマルウェア ファミリーは、悪意のあるペイロードの配信によくIPFSリンクを使います。IPStormとDark UtilitiesはインフラやステージングにIPFSネットワークを使っています。

つづいてこれらの攻撃グループがどのようにIPFSを利用しているかを確認します。

マルウェアとレッド チーム ツール

脅威アクターは、IPFSゲートウェイをいくつかの異なる方法で使用します。これらは、配信手段としての利用、ペイロードをホスト・ステージングするインフラとしての利用、または分散型C2チャンネル機能としての利用のいずれかに分類できます。

2022年を通じ、以下のマルウェア ファミリーがIPFSを使用していました。マルウェア ファミリーのDark Utilitiesは、IPFSゲートウェイを使って悪意のあるペイロードをステージングしています。IPStormは、IPFSゲートウェイをP2P通信のC2チャンネルとして利用しています。

また、攻撃者はIPFSゲートウェイを利用して、以下を含むさまざまなレッド チーム ツールやマルウェアを配信しています。

  • OriginLogger
  • XLoader
  • XMRig
  • Metasploit

このセクションではこれらの脅威によるオペレーションを高次レベルで解説します。そのなかで、悪質なオペレーションの遂行にIPFSがどのように利用されているかも説明します。

OriginLogger

OriginLoggerマルウェア ファミリーは2019年に登場しました。リモート アクセス型のトロイの木馬で、Agent Teslaの後継にあたり、.NETで書かれた検出回避能力の高い情報窃取ソフトウェアです。この脅威は通常、キーストロークとクリップボードのデータを標的とし、C2チャンネル経由でアクターの配下にあるサーバーに対して通信します。

Unit 42のリサーチャーは、支払いが延滞している請求書を装った電子メールのルアーを発見しました。これには、XLLファイルが添付されており(図19)、これを開くとIPFSのURLにHTTP GETリクエストが送信されます。

hxxps[://]ipfs[.]io/ipfs/QmXtVwamvHvXZzuEZcMn2xDsPRKN8uS17YCUzTiGx1rYnv?filename=file-05-2022.exe

このURLを使ってIPFSゲートウェイ経由でOriginLoggerのペイロードをダウンロードします。

画像19は、メールのスクリーンショットです。メール本文は延滞している請求書への支払いを求める内容です。赤色で強調されているのは添付ファイルでこれは.XLLファイルです。
図19 添付ファイル(30-MAY-22.xll)

図20は2つめのOriginLoggerの配信サンプルです。こちらのメールも「Overdue Invoice Statement(支払い期限を過ぎた請求書)」という件名を使い、延滞している請求書に見せかけています。

このメールのルアーにもはやり.XLLファイルが添付されています。開いた場合、こちらもIPFSのURLにGETリクエストを送ります。

hxxps[://]ipfs[.]io/ipfs/QmXtVwamvHvXZzuEZcMn2xDsPRKN8uS17YCUzTiGx1rYnv?filename=file-05-2022.exe

このURLをクリックすると、あるIPFSゲートウェイを経由してOriginLoggerのペイロードがダウンロードされます。

画像20は、電子メールのスクリーンショットです。メール本文は延滞している請求書への支払いを求める内容です。赤色で強調されているのは添付ファイルでこれは.XLLファイルです。OriginLoggerのペイロードが含まれています。
図20. OriginLoggerのペイロードを含む添付ファイルをプッシュするメール

2022年5月から6月にかけて行われたキャンペーンで、IPFSにホストされたOriginLoggerのペイロードを以下に追加でリスト アップします。

hxxps[://]ipfs[.]io/ipfs/QmQBPuPxy3nZjK2yVspsUJVhutajAfRQpnjc58RAcUJFrh?filename=INV-SCL0093-05-22pdf.exe

hxxps[://]ipfs[.]io/ipfs/QmY4kDbUk8VYM8Zzn1rVgfa3c4ybma4evMBfyWwyieaZxW?filename=Sign-Reurn-pdf.exe

hxxps[://]ipfs[.]io/ipfs/QmczJ1MxQ2SH8deXBTJfFgsrApM5BShgLSh1MQry4Vxc4c?filename=REF

XLoader

XLoaderマルウェア ファミリーは、FormBookからブランド名を変更したもので、2020年に登場しました。XLoaderは、WindowsとmacOSの両方で動くマルウェア・アズ・ア・サービス(MaaS)だと宣伝しています。XLoaderはWebブラウザーやログイン クレデンシャルを標的とする情報窃取マルウェアとして機能しますが、キーロガーとして、あるいはスクリーンショットのキャプチャにも使えます。

Unit 42のリサーチャーはXLoaderのペイロードをホストする野生の(in-the-wild) URLを観測しました。

hxxp[://]bafybeiafb63z73aoz3d4jdpve2rhlwo6ujlzjyri26z63flqnara2dqwoa[.]ipfs[.]dweb[.]link/order.exe

bafybeicokadgkcohrqslwdnmtu5mcc2zmo2hveiw2bh5j5z35onsxe3cy4[.]ipfs[.]dweb[.]link

XMRig

XMRigは暗号通貨マイニングを行うマルウェア ファミリーで、2017年に登場しました。オープンソースのユーティリティで、さまざまな脅威グループがマルスパム経由、あるいはインターネットに接続された脆弱なアプリケーションのエクスプロイト攻撃経由で配信・展開しています。

図21は2023年3月下旬にXMRigペイロードを提供していた野生のIPFSドメインです。このほか、Unit 42のリサーチャーは脅威アクターがCloudflareのIPFSゲートウェイを悪用してXMRigをホストしていたようすを確認しています。

画像21はXMRigペイロードをダウンロードする野生ドメインのスクリーンショットです。赤で2つのセクションを強調しています。
図21. XMRigのペイロードをダウンロードする野生のドメイン

Unit 42のリサーチャーは、XMRigのホスティングに関連して以下のURLを確認しました。

hxxps[://]bafybeibgc3snqi6qesnhskujhjcbduu7lfhju7eppumuqhymapuwvln6tq[.]ipfs[.]nftstorage[.]link

hxxps[://]cloudflareipfs[.]com/ipns/12D3KooWDdu1TTG9JRzFisv8HBXE2Zi2qpqs1r2vb88vEE1ws5mc/phpupdate.exe

図22はXMRigの実行可能PEファイルのプロパティとその値を示したものです。

画像22はファイルのプロパティがXMRig PEファイルのスクリーンショットです。
図22. XMRigのPEファイルの情報を表示したところ

Metasploit

Metasploit Frameworkはペネトレーション テスト用のツールキットで、2000年代初頭から存在しています。エクスプロイト、モジュール、ペイロード、補助機能が含まれていて、主な使用例は、ペイロードを生成してコードの実行を実現し、被害マシンとの通信チャネルをセットアップすることです。これによってツールキットの利用者は、被害環境や被害ユーザーへのアクセスやコントロールを行えます。

2023年3月下旬、Unit 42のリサーチャーは以下の野生IPFSドメインを観測しました。

hxxps[://]bafybeihtuhj7ezvjbtig75qpv43t7eh6dmcnarlm454fx5yjb4uzqbidpy[.]ipfs[.]infura-ipfs[.]io

このドメインは、2022年5月26日以降、Metasploitのシェルコードのペイロードをホストしています。このシェルコードは、IPアドレス51.254.127[.]82に接続し返します(図23、図24)。

画像23はMetasploitのペイロードがダウンロードされているときのようすを表すスクリーンショットです。赤くハイライトされているのが、ファイル名に含まれるペイロードです。
図23. IPFSのドメインからMetasploitのペイロードをダウンロードしているところ
画像24は数行のコードのスクリーンショットです。コード内に強調表示されているのはIP接続です。
図24. Metasploitのシェルコードがリバース シェルでIP接続しているところ

同一のMetasploitペイロードに関連して以下の野生のドメインが追加で観測されました。

hxxps[://]ipfs.infura[.]io/ipfs/QmejguEysvXLMaAYmXe3EXmjfnoAqMdVfn4ojto1yLTGhK

IPStorm

Anomaliのリサーチャーが報告したように、IPStormマルウェア・ファミリーは2019年から存在しています。IPStormはIPFSをC2チャネルとして使用することから、注目すべきボットネットです。

IPStormはオープンソース ライブラリのlibp2pをネットワーク スタックとIPFSネットワーク上でのP2P通信に使っています。実行ファイルはGolangで書かれていて、このマルウェア ファミリーの識別に使える重要なパッケージ名を複数含んでいます。この脅威はモジュール名の上の階層のフォルダ名として/stormを使用します(図25)。

画像25はGoのライブラリのスクリーンショットです。Address、Length、Type、Stringの各列が表示されています。黄色でパス内の/src/storm/の部分をハイライトしています。
図25 b8ee3897aff6c6660557a4c73b243870020705df6c87287040bfcd68b7c8b100で使われているGoライブラリのスクリーンショット

Dark Utilities

Dark Utilitiesは2022年にCisco Talosによって最初に特定されたマルウェア ファミリーで、IPFSを配信チャネルに使っているC2・アズ・ア・サービス製品です。

Windows、macOS、Linuxまたはさまざまな組み込みシステム用にコンパイルでき、一般的なリモート アクセス機能のほか、クリプトマイニング機能やDDoS機能を備えています。

Unit 42のリサーチャーは2023年3月下旬時点でまだDark Utilitiesのペイロードをホストしている野生ドメインを多数見つけました。図26と図27はこれらの野生ドメインと関連するSHA256ハッシュです。

画像26は野生ドメインのダウンロードを示すスクリーンショットです。赤で強調されているのがURLです。
図26. Dark Utilitiesのペイロードをダウンロードする野生ドメイン
画像27はDark UtilitiesのペイロードのSHA256のスクリーンショットです。
図27. Dark UtilitiesのペイロードのSHA256

bafybeidravcab5p3acvthxtwosm4rfpl4yypwwm52s7sazgxaezfzn5xn4[.]ipfs.infura-ipfs.io

bafybeibmryvvmv6vzdsewqw63j46k72pm4lqkb37hnc757qa3jyqktscxy[.]ipfs.infura-ipfs.io

bafybeiehf33obq42jx73m3nfilstzgk52wuvwmoechf4wmbt652p36jsia[.]ipfs.nftstorage.link

bafybeidqh7dk3sse4u5d66web5v446nnygtw5jeav5vunueyonjx5wp6gm[.]ipfs.nftstorage.link

図28はDark Utilitiesの実行ファイルのビルドに使われるPythonのソースコードを逆コンパイルしたものですが、これはIPFSネットワーク上にホストされています。ここで表示したソースコードのmain()関数は、対象システムがWindowsベースかLinuxベースかを判断しています。実行中のオペレーティング システムがどれかを判定したら、このコードは永続性を確立するなどの処理を続行します。

画像28は何行もあるコードのスクリーンショットです。これはDark UtilitiesのPythonコードを逆コンパイルしたものです。
図28. Dark UtilitiesのPythonコードの逆コンパイル

結論

脅威アクターによるIPFSの採用増加が憂慮されています。IPFSは分散型ストレージ技術なので、悪意のあるコンテンツを見つけてエコシステムから削除するにはこの技術特有の難しさがあります。IPFSネットワークから悪意のあるコンテンツを取り除いてくれる万能策は存在しないことに留意せねばなりません。それぞれの状況や、コンテンツを最終的にホストしている分散型ネットワークの所有者らが関与してくれるかどうかで、効果のあるアプローチは変わってきます。

2022年にパロアルトネットワークスが観測したIPFS関連トラフィックの大幅な増加や、VirusTotalのデータからは、脅威アクターの間でこの技術が人気を集めていることが明らかになっています。Unit42のアナリストが観測した脅威キャンペーンは、フィッシング、クレデンシャルの窃取、C2通信、ペイロードの配信など、さまざまな悪意のあるアクティビティを実行しうるIPFSの汎用性の高さを示すものでした。

IPFSの採用や、IPFS上でホストされるサービスの販売は、この技術を使う脅威を検知・軽減するための継続的な警戒や事前対策の必要性を強調するものです。サイバーセキュリティ コミュニティは警戒を怠らず、IPFSをはじめ、新興技術をめぐる脅威の進化に先んじるべく、積極的な措置を講じていくことが重要です。

製品の保護について

パロアルトネットワークスのお客様は、以下の製品を通じて、上記の脅威から保護されています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、infojapan@paloaltonetworks.comまでメールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • 欧州: +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200

パロアルトネットワークスはファイルサンプルや侵害の兆候などをふくむこれらの調査結果をCyber Threat Alliance (CTA) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細についてはCyber Threat Allianceにてご確認ください。

MalwareBazaarのリファレンス

マルウェア ファミリー MalwareBazaarのレポートのリンク
フィッシング hxxps://bazaar[.]abuse[.]ch/sample/460a3720734df53891c36340dc037122d73103517fe57b7c36480dfae3c0f4d7
フィッシング hxxps://bazaar[.]abuse[.]ch/sample/2a060e0db155844605077e78270b45b8627c2aedef503b26fc6ecaf2f6742023
OriginLogger hxxps://bazaar[.]abuse[.]ch/sample/edfc3c3090eba1aba9c9960d68a1464bcf668773a1eec38ec8c54c357dca0c61
OriginLogger hxxps://bazaar[.]abuse[.]ch/sample/3b9ef32ea71c375cd63e599a54ca3f5b58ac8b6e589c3036a3a0d4886c730ddd
OriginLogger hxxps://bazaar[.]abuse[.]ch/sample/3072a7ec1f71a9adc7a714092172e4b763a9f7128ead2ae67e72663863b1143b
OriginLogger hxxps://bazaar[.]abuse[.]ch/sample/b6f8699b55c9e9ca2d84c18c689eff12be9b7bd849a527a44d39e2aaa4dbf3a0
OriginLogger hxxps://bazaar[.]abuse[.]ch/sample/c7ceafc46a828d2ccca49936ddc8d5da666e885455ecd6ad6bd77aa23c284fe6
XLoader hxxps://bazaar[.]abuse[.]ch/sample/a12635fd762876c38da85b88adf42141beb117cc12464c3e0d122c9395bd2a4b
XLoader hxxps://bazaar[.]abuse[.]ch/sample/1a41a5bf751fd2deb7cf46b231e45843adc5f036149979de847c053177be2eb8
XMRig hxxps://bazaar[.]abuse[.]ch/sample/d1ea28dee35382c510a49e4304ed7cead25bcee5cc869c73c9c53f333139e060
XMRig hxxps://bazaar[.]abuse[.]ch/sample/a372e07a691f8759e482615fd7624bfca2a2bc2cd8652a47ff9951ff035759a5
Metasploit hxxps://bazaar[.]abuse[.]ch/sample/894b5e81fe56418b8df30639fd8b8c484c934aba8a121397b592039e07f766ee
IPStorm hxxps://bazaar[.]abuse[.]ch/sample/b8ee3897aff6c6660557a4c73b243870020705df6c87287040bfcd68b7c8b100
IPStorm hxxps://bazaar[.]abuse[.]ch/sample/765a4d57b2db92c2fd904b11a3e2dd26cdaa38843cc1760ae84e3334822bf4c4
IPStorm hxxps://bazaar[.]abuse[.]ch/sample/cdddd240d432b084b2c5cbe6b4a89b39a33d97840630210772b7758ec87dcacd
Dark Utilities hxxps://bazaar[.]abuse[.]ch/sample/65a1b3fb9430c7342d13f79b460b2cc7d9f9ddced2aeecd37f2862a67083e68c
Dark Utilities hxxps://bazaar[.]abuse[.]ch/sample/c9deeda7cd7adb4ff584d13ea64cdb50c9e8b5c616f1dff476f372e86c9b9be6
Dark Utilities hxxps://bazaar[.]abuse[.]ch/sample/554f955a405be9393eb2e9af182029029d562d79d23a6a8663704b1c00abfb56
Dark Utilities hxxps://bazaar[.]abuse[.]ch/sample/583d96d55608ab7079b7867c34c195766699a711ef3aa9df826ac3c5bc5c3232
Dark Utilities hxxps://bazaar[.]abuse[.]ch/sample/e1512098be4bd1a8b67839b077a58451941a87407257beb05752155ef5e04d40
Dark Utilities hxxps://bazaar[.]abuse[.]ch/sample/ba81c3a82a01fcd2f4c24904e4dc0b7ca26f472e50db9056af6e2217f925e9f5

IoC

ハッシュ値

ファミリー SHA256
フィッシング 460a3720734df53891c36340dc037122d73103517fe57b7c36480dfae3c0f4d7
フィッシング 2a060e0db155844605077e78270b45b8627c2aedef503b26fc6ecaf2f6742023
OriginLogger edfc3c3090eba1aba9c9960d68a1464bcf668773a1eec38ec8c54c357dca0c61
OriginLogger 3b9ef32ea71c375cd63e599a54ca3f5b58ac8b6e589c3036a3a0d4886c730ddd
OriginLogger cfa0a616bb5e61e215e915a3d7942094db58b8c3f8a613d9410a807df4837d5a
OriginLogger 3072a7ec1f71a9adc7a714092172e4b763a9f7128ead2ae67e72663863b1143b
OriginLogger b6f8699b55c9e9ca2d84c18c689eff12be9b7bd849a527a44d39e2aaa4dbf3a0
OriginLogger c7ceafc46a828d2ccca49936ddc8d5da666e885455ecd6ad6bd77aa23c284fe6
XLoader a12635fd762876c38da85b88adf42141beb117cc12464c3e0d122c9395bd2a4b
XLoader 1a41a5bf751fd2deb7cf46b231e45843adc5f036149979de847c053177be2eb8
XMRig a372e07a691f8759e482615fd7624bfca2a2bc2cd8652a47ff9951ff035759a5
XMRig d1ea28dee35382c510a49e4304ed7cead25bcee5cc869c73c9c53f333139e060
Metasploit 894b5e81fe56418b8df30639fd8b8c484c934aba8a121397b592039e07f766ee
IPStorm b8ee3897aff6c6660557a4c73b243870020705df6c87287040bfcd68b7c8b100
IPStorm 765a4d57b2db92c2fd904b11a3e2dd26cdaa38843cc1760ae84e3334822bf4c4
IPStorm cdddd240d432b084b2c5cbe6b4a89b39a33d97840630210772b7758ec87dcacd
Dark Utilities 65a1b3fb9430c7342d13f79b460b2cc7d9f9ddced2aeecd37f2862a67083e68c
Dark Utilities c9deeda7cd7adb4ff584d13ea64cdb50c9e8b5c616f1dff476f372e86c9b9be6
Dark Utilities 554f955a405be9393eb2e9af182029029d562d79d23a6a8663704b1c00abfb56
Dark Utilities 583d96d55608ab7079b7867c34c195766699a711ef3aa9df826ac3c5bc5c3232
Dark Utilities e1512098be4bd1a8b67839b077a58451941a87407257beb05752155ef5e04d40
Dark Utilities ba81c3a82a01fcd2f4c24904e4dc0b7ca26f472e50db9056af6e2217f925e9f5

謝辞

本稿で使用したIPFS関連のURLとデータ ソースの一部について、その収集と整理にご協力いただいたLucas Hu氏に感謝いたします。

追加リソース

2023-04-27 10:00 JST 英語版更新日 2023-04-23 13:08 PDT の内容を反映

Enlarged Image