关于谷歌最近推出的
.zip、.mov、.phd(及其他变体)作为顶级域名(TLD),社区间的讨论相当热烈。网络安全社区的意见可分为两派。相当多的专家认为,谷歌此举可能会让不懂技术的使用者在互联网上更加困惑。而另一派则持不同看法,认为这本来就是一个难以导航的领域,使用者一般很少关注网址及其组成部分。在深入探讨这个话题以及我们的数据后,我们发现网络犯罪分子已经开始滥用
.zip 域名,试图误导使用者认为它们是可下载的文件,而非网址。研究显示,在我们的威胁检测引擎中,被封锁的前30个 .zip
域名中,有三分之一滥用了如微软、谷歌、亚马逊和Paypal等知名科技公司的名称,试图让人们误以为这些是受信公司的文件。
在互联网的早期,TLD的引入旨在简化浏览和整理在线内容的过程。使用域名和TLD的主要原因是为了让网络导航更为亲切。此外,当时地理位置也非常重要。最早由
提出的
well.sf.ca.us 是一个很好的例子,它使用 TLD表示其地理位置,即美国加利福尼亚州的旧金山。这也帮助我们分辨访问的伺服器的基本性质。.com 与商业网站有关,而 .org
则与非营利组织相关,是最常用的用来表明域名特征的 TLD。,.org 和 .com 占全球所有 TLD 的50%。
最近几年,TLD 的用途变得越来越模糊。它们现在也可以作为品牌推广的一部分,比如 .lidl 或 .edeka 等 TLD,还有其他奇特的
TLD,例如 .beer、.motorcycles、.plumbing、.soccer、.taxi
等等。几乎没有什么是无法实现的。当网际网路名称与编号分配公司(ICANN)这个负责监管和管理独特互联网标识(如 IP 地址和域名)的非营利组织上次扩大
TLD 的范畴时,,这限制了申请者仅限于已建立的实体,无论公共或私有。这无疑是一项高昂的投资。
那么,使用 .zip TLD可能会带来哪些问题?就我而言,我认为潜在的文件混淆和区分地方与远端来源的难度是个重大担忧,这可能会构成安全威胁。为了教育目的,我编写了一个原型邮件,利用附件和链接可以指向完全不同的位置的事实。
攻击者可能制作的电子邮件
看起来,利用 .zip 域名来欺骗使用者是相当简单的。此外,链接预览可以被操控来隐藏所使用的协议,例如
HTTP(S)。这无疑帮助了攻击者引导使用者到他们想要的地方。
我们似乎已经来到一个,原本旨在让公众理解网址的初衷逐渐随著时间推移而恶化的地步。你认为哪个地址看起来更可疑:https://52.144.44[.]169
还是 latestupdate[.]zip(解析为该IP)?我也有我的疑虑。我并不暗示大多数 .zip
域名本身就是或将会是恶意的。然而,我预见到如果没有与各自产品密切相关的实体注册,则某些域名极不可能用于合法目的。查看我们封锁的顶级 .zip
域名,看到许多模仿合法公司。还有第二类试图模仿文件的域名。
最有趣的域名是那些与大服务提供商密切相关的域名,这些公司在公众中是非常知名的。这些域名包括 microsoft-、
office[.]zipmicrosoft[.]zip、csgo[.]zip、google-、
drive[.]zipmicrosoftonedrive[.]zip、googlechrome[.]zip 和
amazons3[.]zip。还有一些完美示例,我会描述为设计精美的,比如一个 PDF 关键字结合子域名的
226x227.pdf[.]zip、2023-05.pdf[.]zip、cv3.pdf[.]zip 和
temp1_rsbu_12m2021.pdf[.]zip。查询 who.is 可以得到预期的结果。
attachment.zip 的 Whois 记录
大多数情况下,当注册者的资讯从 WHOIS数据库中删除时,这无疑会引起怀疑。这虽然不是最重要的红旗,但也是解谜的重要部分。结合域名,我们可以相当确定,可能存在某些不法活动。
另一个利用这些域名的完美示例是 URL 中使用 @ 符号。@ 字符是身份认证方案的一部分(user:password@host),在 URL中具有特别意义。由于这种方法目前被强烈不建议并且很少使用,因此使用者识别恶意 URL的机会大大减少。在互联网上以未加密的方式发送用户名和密码也不是被视为最佳实践 :-)。,如果以某种方式使用这种技术,则可以让用户看不到最终页面。
RFC提到在 URL 中潜在滥用 @ 的问题
该 URL 会直接将用户引导至 10.0.0.1,其用户名为 cnn.example.com&story=breaking_news,会指向 FTP伺服器的 /top_story.html
路径。这种方法也可以进一步精炼,使用另一种技术,正如这篇文章中所强调的那样。
/ 字符,即正斜杠,在 URL 中扮演著定义路径段的特殊角色。如果一个 URL包含正斜杠,则所有后续字符都被视为路径段的一部分。然而,如果正斜杠被替换为相似的字符,则 @
之前的所有内容都会被丢弃。这是因为浏览器对这种身份认证方法的使用存在显著的抵触。攻击者的目标是使用与正斜杠很相似的字符。这一策略确保了,在 @
之前的所有内容都会被浏览器忽略,从而将使用者引导到 @ 后面可能存在的恶意域名。
让我们来看一个最近的数据,以 csgo.zip 域名为例。可以对它进行修改,表面上看是合法的,但会直接引导用户到一个恶意域名,根据
。在
@ 字符之前的地址段将会被丢弃。
正斜杠 (U+002F) :
https://www.steampowered.com/downloads/latest/@csgo[.]zip
我们把正斜杠换成了全宽竖线。如果使用普通正斜杠,我们会得到一个格式错误的
URL,这是不会正确工作的。全宽竖线在东亚语言中通常用作日期分隔符或在需要固定宽度分隔符的情况下使用。
它几乎无法与正斜杠区分开来。再加上当前的 AI 技术,我们可以轻易地生成大量视觉上相似的 Unicode 字符。
使用不同斜杠字符的 URL 变体:
正斜杠 (U+002F) :
https://www.steampowered.com/downloads/latest/@csgo[.]zip全宽竖线 (U+FF0F) :
https:⁄⁄www.steampowered.com⁄downloads⁄latest⁄@csgo[.]zip除法斜线 (U+2215) :
https:∕∕www.steampowered.com∕downloads∕latest∕@csgo[.]zip分数斜线 (U+2044) :
https:⁄⁄www.steampowered.com⁄downloads⁄latest⁄@csgo[.]zip数学斜线 (U+27CB) :
https:⟋⟋www.steampowered.com⟋downloads⟋latest⟋@csgo[.]zip
这些变体中,除了正斜杠外,所有都会将我们引导至 csgo.zip。在我们的研究当时,网站上发现的链接导向一个良性的 zip 文件,里面包含了一名
CS:GO 玩家照片。然而,由于我们无法得知这个域名的运营者,因此无法保证未来内容将保持不变。
为了分享一些见解,我们检查了被我们系统最频繁封锁的三个域名,以了解威胁的动态。这些域名按字母顺序排列,分别是
42.zip、attachments.zip 和 download.zip。每个域名在 VirusTotal上都有相当高的“分数”,并且所有注册者的资讯都已被删除。如下图所示,被保护的用户数量在六月初激增,随后急剧下降。
另一个关于每日独立用户和总提交量的图表呈现的情况类似。
这背后的原因是什么?即便 .zip
域名对于网络犯罪分子来说吸引且无疑具有诱惑力,但它们留下了审计痕迹,且相对容易被封锁。这由上面的图表可见一斑。相比于注册一个域名,利用不安全的网络伺服器或过时的
WordPress 安装来发动攻击无疑更加棘手。因此,我个人对封锁攻击的数量低于预期的原因就如是。
最后,让我们把 .zip 除域名所带来的威胁放在更大的背景中来看。我搜集了在特定域名下受到保护的用户数量,以评估 .zip
与其他域名的比例。简言之,.zip 域名并未进入封锁名单。被我们的网络防护屏蔽的最大的比例属于 .com,这是可以理解的,因为 .com域名的注册数量相当庞大。然而,当我们检查余下的域名时,有些域名却格外突出。
如上所示,某些 TLD 下的注册域名数量(下图)与我们每天封锁的连接数量(上图)确实存在一定的不一致性。这些威胁在 TLD 间的分布并不均匀。有几个
TLD,几乎每日都会出现,持续引发一丝怀疑。这些包括
.xyz、.online、.biz、.info、.ru、.life、.site
等等。在访问这些及其他许多域名时,我提议保持特别警惕。然而,这并不意味著遇到 .com
域名时就完全安全。一切都是整体画面的一部分,使用者在打开电子邮件或在互联网上浏览时需要保持警觉。为此,我们已准备了一份注意事项清单,以帮助您。
最受欢迎TLD的统计数据
应当采取的措施:
谨慎对待 .zip TLDs : 对任何
.zip顶级域名 (TLD) 保持警惕,因为它们可能潜在地承载恶意内容。监控公司流量 : 密切关注公司网站的流量,特别是留意任何与
.zipTLD 相关的异常活动。考虑推出特殊电子邮件过滤器 : 为了进一步保护免受潜在威胁,考虑为包含
.zipTLD 的邮件实施特殊过滤器。保持防病毒软体更新 : 始终确保您的防病毒软体保持最新,以最大程度地提高对最新威胁的防护能力。
了解新威胁 : 定期阅读安全公告和有关新兴威胁的报告,以便对潜在的危险保持警觉。
标记为
分享:XFacebook
