網(wǎng)絡(luò)安全研究人員和IT管理員對(duì)谷歌新的ZIP和MOV互聯(lián)網(wǎng)域名提出了擔(dān)憂�����,警告說攻擊者可能利用它們進(jìn)行網(wǎng)絡(luò)釣魚攻擊和惡意軟件傳輸�����。
本月早些時(shí)候�����,谷歌推出了8個(gè)新的高級(jí)域名(TLD)���,可以購(gòu)買用于托管網(wǎng)站或電子郵件地址���。
這些新域名包括.dad、.esq�、.prof、.phd�����、.nexus����、.foo,以及我們本篇提到的.zip和.mov域名�����。
(相關(guān)資料圖)
雖然ZIP和MOV高級(jí)域名自2014年以來一直可用�����,但直到本月才開始普遍可用��,允許任何人購(gòu)買域名����,如bleepingcomputer.zip���,用于建立網(wǎng)站。
然而�,這些域名被認(rèn)為是有風(fēng)險(xiǎn)的,因?yàn)檫@些域名也是論壇帖子��、信息和在線討論中經(jīng)常分享的文件擴(kuò)展名�。
擔(dān)憂
網(wǎng)上常見的兩種文件類型分別是ZIP壓縮文件和MPEG 4視頻,其文件名以.zip (壓縮文件)或.mov(視頻文件)結(jié)尾�。
因此,人們發(fā)布含有以.zip和.mov為擴(kuò)展名的文件名是非常常見的�。
然而,現(xiàn)在它們變成了域名����,一些消息平臺(tái)和社交媒體網(wǎng)站會(huì)自動(dòng)將帶有.zip和.mov擴(kuò)展名的文件名轉(zhuǎn)換成URL。
例如�,在Twitter上,如果你向某人發(fā)送zip文件和訪問MOV文件的說明���,這些無害的文件名會(huì)被自動(dòng)轉(zhuǎn)換成URL�����,如下圖所示�。
當(dāng)人們看到指示中的URL時(shí)��,他們通常認(rèn)為該URL可以用來下載相關(guān)文件���,并可能點(diǎn)擊該鏈接��。例如���,在BleepingComputer的文章、教程和討論區(qū)中���,我們通常是將文件名與下載鏈接起來����,提供說明��。
但是��,如果攻擊者擁有一個(gè)與鏈接文件名相同的.zip域名�����,那么人們可能會(huì)錯(cuò)誤地訪問該網(wǎng)站���,并上當(dāng)受騙或下載惡意軟件����。
雖然攻擊者不太可能為了幾個(gè)受害者而注冊(cè)成千上萬的域名,但只需要一個(gè)企業(yè)員工錯(cuò)誤地安裝惡意軟件�,整個(gè)網(wǎng)絡(luò)都會(huì)受到影響��。
濫用這些域名并不是理論上的����,網(wǎng)絡(luò)情報(bào)公司Silent Push Labs已經(jīng)在microsoft-office[.zip上發(fā)現(xiàn)了一個(gè)類似釣魚的頁(yè)面,試圖竊取微軟賬戶的憑證�����。
網(wǎng)絡(luò)安全研究人員也開始玩起了域名����,Bobby Rauch發(fā)表了關(guān)于利用Unicode字符和URL中的userinfo分隔符(@)開發(fā)的釣魚鏈接的研究���。
Rauch的研究表明���,攻擊者先制作釣魚網(wǎng)址,該網(wǎng)址看起來像GitHub上的合法文件下載網(wǎng)址��,但實(shí)際上點(diǎn)擊后會(huì)把你跳轉(zhuǎn)到v1.27.1[.]zip的網(wǎng)站���,如下圖所示�。
矛盾的觀點(diǎn)
這些發(fā)現(xiàn)在開發(fā)者、安全研究人員和IT管理員中引發(fā)了一場(chǎng)爭(zhēng)論����,一些人認(rèn)為這種擔(dān)心是沒有必要的,另一些人則認(rèn)為ZIP和MOV域名給已經(jīng)有風(fēng)險(xiǎn)的網(wǎng)絡(luò)環(huán)境增加了不必要的風(fēng)險(xiǎn)�。
人們已經(jīng)開始注冊(cè)與常見的ZIP壓縮文件相關(guān)的.zip域名,如update.zip�����、financialstatement.zip��、setup.zip���、attachment.zip��、officeupdate.zip和backup.zip����,以顯示有關(guān)ZIP域名風(fēng)險(xiǎn)的信息�。
開源開發(fā)者M(jìn)att Holt還要求將ZIP域名從Mozilla的公共后綴列表中刪除。
然而����,PSL社區(qū)很快解釋說��,雖然這些域名可能有一點(diǎn)風(fēng)險(xiǎn)���,但它們?nèi)匀挥行В粦?yīng)該從PSL中刪除�����,因?yàn)檫@將影響合法網(wǎng)站的運(yùn)作��。
與此同時(shí)����,其他安全研究人員和開發(fā)人員�,如微軟Edge開發(fā)人員Eric,也表示他們認(rèn)為關(guān)于這些新域名的擔(dān)心是過度的�。
當(dāng)BleepingComputer就這些問題聯(lián)系谷歌時(shí),他們表示�,文件和域名之間的混淆風(fēng)險(xiǎn)是長(zhǎng)期存在的,瀏覽器的保護(hù)措施已經(jīng)部署�����,以保護(hù)用戶免受干擾。
域名和文件名之間的混淆風(fēng)險(xiǎn)并不是一個(gè)新問題�����。 例如���,3M公司的Command產(chǎn)品使用域名command.com��,這也是MS DOS和早期版本的Windows上的一個(gè)重要程序�。 應(yīng)用程序?qū)Υ擞斜Wo(hù)措施(如谷歌安全瀏覽)�,這些保護(hù)措施對(duì).zip等域名也將適用。
同時(shí)���,新的命名空間為命名提供了更多機(jī)會(huì)��,如community.zip和url.zip���。 谷歌非常重視網(wǎng)絡(luò)釣魚和惡意軟件,谷歌注冊(cè)處有一套機(jī)制來禁止或刪除我們所有的惡意域名��,包括.zip����。 我們將繼續(xù)監(jiān)測(cè).zip和其他域名的使用情況�����,如果出現(xiàn)新的威脅�,我們將采取適當(dāng)?shù)男袆?dòng)來保護(hù)用戶�。" -——谷歌。
如何避免
證所周知�����,點(diǎn)擊別人的鏈接或從你不信任的網(wǎng)站下載文件永遠(yuǎn)是不安全的��。
像其他任何鏈接一樣���,如果你在信息中看到一個(gè).zip或.mov鏈接���,在點(diǎn)擊它之前先研究一下�����。如果你仍然不確定該鏈接是否安全�,請(qǐng)不要點(diǎn)擊它。通過遵循這些簡(jiǎn)單的步驟��,將新域名的影響降至最小。
然而���,隨著越來越多的應(yīng)用程序自動(dòng)將ZIP和MOV文件名變成鏈接��,因此在上網(wǎng)時(shí)要時(shí)刻保持警惕��。
參考鏈接:https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/
