İki yeni üst düzey alan adı — .zip ve .mov — güvenlik araştırmacıları arasında endişeye neden oldu ve bunların teknolojiden anlayan kullanıcıların bile muhtemelen gözden kaçıracağı kötü amaçlı URL’lerin oluşturulmasına izin verdiğini söylüyor.
Google, Mayıs ayı başlarında alan adlarını duyurdu ve insanlar sorunların farkına vardıkça güvenlik topluluğundan yavaş yavaş gelen eleştirileri başlattı. Yaygın olarak dolaşan bir Medium’da yayınlagüvenlik araştırmacısı Bobby Rauch, aynı yere gidiyor gibi görünen iki görünüşte aynı URL’ye işaret etti – bir GitHub deposundan bir zip dosyası indirirken – ancak unicode eğik çizgiler, bir “@” işareti ve potansiyel olarak kötü amaçlı bir alan olan .zip alanı kullanarak. Bunun yerine URL, kullanıcıları bir saldırganın web sitesine yönlendirebilir.
Bir sağlayıcı olan DomainTools’un güvenlik savunucusu Tim Helming, bir dosya uzantısını taklit eden bir üst düzey etki alanı (TLD), benzer saldırıda yalnızca bir bileşen olsa da, genel kombinasyonun .zip veya .mov uzantısıyla çok daha etkili olduğunu söylüyor. alanla ilgili tehdit istihbaratı.
“Bu TLD’leri içeren kimlik avı bağlantılarının, şüphelenmeyen kullanıcıları yanlışlıkla kötü amaçlı yazılım indirmeye çekmek için kullanılabileceğine şüphe yok” diyor. “Kullanıcıyı kimlik bilgilerini sahte bir oturum açma sayfasına girmeye ikna etmeyi amaçlayan diğer kimlik avı URL’lerinden farklı olarak, .zip veya .mov alan adlarına sahip tuzaklar, arabadan indirilen saldırı türleri için daha uygundur.”
Google’dan bu yana geçen üç hafta içinde yeni alan adlarını duyurdu — .dad, .phd ve .foo ile birlikte — güvenlik araştırmacıları, dosya uzantılarıyla eşleşen TLD’lerin tehlikelerine dikkat çekti. Örneğin, Salı günü Trend Micro, kullanıcıları kötü amaçlı bağlantıları tespit etme yeteneklerine ince ayar yapmaları konusunda uyaran en son güvenlik firması oldu. İçinde danışmaşirket, Vidar bilgi hırsızının kurbanın bilgisayarına bir “Zoom.zip” dosyası indirmek için sahte URL’ler kullandığına ve .zip alan adının saldırıyı çok daha etkili hale getireceğine dikkat çekti.
Yorum için ulaşıldığında, bir Google sözcüsü, İnternet devinin seçenekleri genişletme fırsatının olası güvenlik tehlikelerinden daha ağır bastığına inandığını belirtti.
“Web sitesi yaratıcılarının alan adlarında daha fazla seçenekten yararlandığına ve tüm kullanıcıların daha kısa, hatırlaması daha kolay URL’lerden yararlandığına inanıyoruz. 30 milyondan fazla alan yeni gTLD’lere ve ICANN’in raporuna göre kaydedildi Rekabet, Tüketici Güveni ve Tüketici Seçimi [PDF] bulundu, bu alan adlarının çoğu, .com’da tam alan adı için tam eşleşme mevcutken bile kayıtlıydı (örneğin, jsonfoo.com mevcutken bile json.foo’yu seçmek).
Sözcü, GitHub .zip örneğine de yanıt vererek, alan adları ile dosya adları arasındaki karışıklık riskinin yeni bir şey olmadığını ve Google Güvenli Tarama gibi uygulamaların bu konuda hafifletici önlemleri olduğunu belirtti.
“Github gibi örnekler aslında bu tür çarpışmaların zaten ne kadar yaygın olduğunu gösteriyor; .py, .cc ve .md, Github’da aynı zamanda TLD uzantıları olan yaygın dosya uzantılarının örnekleridir. sözcü, bu bağlamlar ve .zip ile durum böyle kalacak” dedi.
Yeni alan adlarının kimlik avını daha iyi hale getirip getirmeyeceği hala bir soru Bazıları için, ancak daha etkili bağlantılar kurma riski, alan adlarının herhangi bir yararından daha ağır basıyor gibi görünüyor, diyor, kimlik avı ve güvenlik eğitimi şirketi KnowBe4’te güvenlik bilinci savunucusu Erich Kron.
“Bunu neden yapıyoruz?” Bu beni etkiliyor ve açıkçası, bu sadece kötü bir fikir, değil mi?” diyor. “Kötü aktörler, insanlara çağlardır kötü amaçlı yazılım indirmelerini sağlamak ve ardından genel halkın ilişkilendireceği üst düzey bir alan adı oluşturmak için .zip dosyalarını ve sıkıştırılmış dosyaları kullanıyor. [legitimate files] … burada bazı çok kolay hilelere gerçekten kapıları açıyoruz.”
Şimdiye Kadar Aktif Kimlik Avı Saldırısı Yok
Alan adları zaten bazı hatalara yol açtı ve sadece insanlar tarafından değil. Eğitim kuruluşu SANS Teknoloji Enstitüsü araştırma dekanı Johannes Ullrich’e göre, Google’ın kendi kötü amaçlı yazılım tanımlama hizmeti VirusTotal gibi bazı araçlar, .zip uzantılı dosya adlarını .zip TLD’li URL’lerle karıştırıyor. Ullrich şu anda mevcut .zip alanlarının incelenmesi hangisinin kötü niyetli olduğunu görmek için.
Şimdiye kadar vahşi kampanyalara dair kanıtların yetersiz olduğunu buldu. Ullrich, “Bu, daha ikna edici kimlik avı saldırıları için yeni yollar açıyor,” dedi ve bir uyarıda bulundu: “Ancak, ikna edici kimlik avı saldırıları oluşturmanın birçok yolu var, bu nedenle risk daha fazla artıyor.”
İyi haber şu ki, Trend Micro, danışma belgesinde, saldırganların gerçek dünya saldırıları için tekniği henüz toplu halde almadıklarını belirtti.
Şirket, “Bugün itibariyle Trend Micro, bu yeni TLD’lerle ilgili dahili ve müşteri vakalarından henüz URL almadı” dedi. “Ancak, olası kimlik avı kampanyalarına hazırlık olarak, karşılaştığımız tüm ilgili URL’leri izlemeye ve gerektiğinde bunları engellemeye devam edeceğiz.”
Bu noktada şimdiye kadarki en büyük “saldırı” “rickrolling” Ullrich şöyle diyor: En az 48 alan adı, daha sonra şarkıcı Rick Astley ve “Never Gonna Give You Up” adlı şarkısının bir videosunu yayınlayan kişiler tarafından kaydedildi.
Farkındalık, En İyi Güvenlik Uygulamaları En Önemli Tavsiye olmaya Devam Ediyor
Dosya uzantısına benzeyen alan adlarının oluşturulması, Google’ın ve diğer tarayıcı üreticilerinin, yazılımlarında, bir alan özel unicode karakterleri (eğik çizgi (/) gibi görünen iki karakter gibi) kullandığında kullanıcıları uyaran uyarılar almasına yol açacaktır. meşru URL’ler için karıştırılabilir.
Bununla birlikte, DomainTools’tan Helming, çoğu kişinin, bağlantıları kontrol etme konusunda dikkatli olması gereken kullanıcılara ve siber güvenlik sağlayıcıları onlara bir itibar atayana kadar yeni alan adlarını kısıtlayabilen şirketlere güveneceğini söylüyor.
“Çok anlayışlı kullanıcıların bu dosya yollarını görsel olarak tespit etmesinin yolları var,” diye ekliyor, “ancak en etkili savunmalar, bu karakterler gibi şeyler için güvenlik kontrolü algılamaları, yeni oluşturulan alanlar için risk puanlaması içeren çabaların bir kombinasyonu olacak. – herhangi bir TLD’de – ve güncellenmiş kullanıcı farkındalığı eğitimi.”
Jaikumar Vijayan’ın haberiyle
