İki yeni üst düzey alan adı — .zip ve .mov — güvenlik araştırmacıları arasında endişeye neden oldu ve bunların teknolojiden anlayan kullanıcıların bile muhtemelen gözden kaçıracağı kötü amaçlı URL’lerin oluşturulmasına izin verdiğini söylüyor.
Google, Mayıs ayı başlarında alan adlarını duyurdu ve insanlar sorunların farkına vardıkça güvenlik topluluğundan yavaş yavaş gelen eleştirileri başlattı. Medium’da geniş çapta dolaşan bir gönderide, güvenlik araştırmacısı Bobby Rauch, aynı yere gidiyormuş gibi görünen iki görünüşte aynı URL’ye işaret etti – bir GitHub deposundan bir zip dosyası indirirken – ancak unicode eğik çizgiler, bir “@” işareti ve .zip alan adını kullanırsanız, potansiyel olarak kötü niyetli bir URL bunun yerine kullanıcıları bir saldırganın web sitesine yönlendirebilir.
Bir sağlayıcı olan DomainTools’un güvenlik savunucusu Tim Helming, bir dosya uzantısını taklit eden bir üst düzey etki alanı (TLD), benzer saldırıda yalnızca bir bileşen olsa da, genel kombinasyonun .zip veya .mov uzantısıyla çok daha etkili olduğunu söylüyor. alanla ilgili tehdit istihbaratı.
“Bu TLD’leri içeren kimlik avı bağlantılarının, şüphelenmeyen kullanıcıları yanlışlıkla kötü amaçlı yazılım indirmeye çekmek için kullanılabileceğine şüphe yok” diyor. “Kullanıcıyı kimlik bilgilerini sahte bir oturum açma sayfasına girmeye ikna etmeyi amaçlayan diğer kimlik avı URL’lerinden farklı olarak, .zip veya .mov alan adlarına sahip tuzaklar, arabadan indirilen saldırı türleri için daha uygundur.”
Google’ın .dad, .phd ve .foo ile birlikte yeni alan adlarını duyurmasından bu yana geçen üç hafta içinde güvenlik araştırmacıları, dosya uzantılarıyla eşleşen TLD’lerin tehlikelerine dikkat çekti. Örneğin, Salı günü Trend Micro, kullanıcıları kötü amaçlı bağlantıları tespit etme yeteneklerine ince ayar yapmaları konusunda uyaran en son güvenlik firması oldu. Danışma belgesinde şirket, Vidar bilgi hırsızının kurbanın bilgisayarına bir “Zoom.zip” dosyası indirmek için sahte URL’ler kullandığını ve .zip alan adının saldırıyı çok daha etkili hale getireceğini belirtti.
Google, yeni TLD’ler için risk ve fayda arasındaki dengeler hakkındaki soruları yanıtlamadı, ancak Dark Reading’e, sorunun yeni olmadığını savunmanın bir yolu olarak 3M’nin komut.com alanı gibi diğer kafa karıştırıcı alanlara işaret eden bir bildiri gönderdi.
Şirket, “Alan adları ile dosya adları arasındaki karıştırılma riski yeni değil” dedi. “Google Güvenli Tarama gibi uygulamaların bunun için azaltıcı önlemleri var ve bu azaltıcı önlemler .zip gibi TLD’ler için geçerli olacak. Aynı zamanda, yeni ad alanları, topluluk.zip ve url.zip gibi adlandırma için genişletilmiş fırsatlar sunuyor.”
Kimlik avı ve güvenlik eğitimi şirketi KnowBe4’te güvenlik bilinci savunucusu Eric Kron, yeni alan adlarının kimlik avını daha iyi hale getirip getirmeyeceği hala bazıları için bir soru, ancak daha etkili bağlantılar kurmanın riski, alan adlarının herhangi bir yararından daha ağır basıyor gibi görünüyor.
“Bunu neden yapıyoruz?” Bu beni etkiliyor ve açıkçası, bu sadece kötü bir fikir, değil mi?” diyor. “Kötü aktörler, insanlara çağlardır kötü amaçlı yazılım indirmelerini sağlamak ve ardından genel halkın ilişkilendireceği üst düzey bir alan adı oluşturmak için .zip dosyalarını ve sıkıştırılmış dosyaları kullanıyor. [legitimate files] … burada bazı çok kolay hilelere gerçekten kapıları açıyoruz.”
Şimdiye Kadar Aktif Kimlik Avı Saldırısı Yok
Alan adları zaten bazı hatalara yol açtı ve sadece insanlar tarafından değil. Eğitim kuruluşu SANS Teknoloji Enstitüsü araştırma dekanı Johannes Ullrich’e göre, Google’ın kendi kötü amaçlı yazılım tanımlama hizmeti VirusTotal gibi bazı araçlar, .zip uzantılı dosya adlarını .zip TLD’li URL’lerle karıştırıyor. Ullrich, hangilerinin kötü niyetli olduğunu görmek için mevcut .zip alanlarını inceleme sürecindedir.
Şimdiye kadar vahşi kampanyalara dair kanıtların yetersiz olduğunu buldu. Ullrich, “Bu, daha ikna edici kimlik avı saldırıları için yeni yollar açıyor,” dedi ve bir uyarıda bulundu: “Ancak, ikna edici kimlik avı saldırıları oluşturmanın birçok yolu var, bu nedenle risk daha fazla artıyor.”
İyi haber şu ki, Trend Micro, danışma belgesinde, saldırganların gerçek dünya saldırıları için tekniği henüz toplu halde almadıklarını belirtti.
Şirket, “Bugün itibariyle Trend Micro, bu yeni TLD’lerle ilgili dahili ve müşteri vakalarından henüz URL almadı” dedi. “Ancak, olası kimlik avı kampanyalarına hazırlık olarak, karşılaştığımız tüm ilgili URL’leri izlemeye ve gerektiğinde bunları engellemeye devam edeceğiz.”
Ullrich, bu noktada şimdiye kadarki en büyük “saldırının” “rickrolling” ve park edilmiş alan adlarını içerdiğini söylüyor: En az 48 alan adı, daha sonra şarkıcı Rick Astley ve “Never Gonna Give You Up” adlı şarkısının bir videosunu yayınlayan kişiler tarafından kaydedildi. .”
Farkındalık, En İyi Güvenlik Uygulamaları En Önemli Tavsiye olmaya Devam Ediyor
Dosya uzantısına benzeyen alan adlarının oluşturulması, Google’ın ve diğer tarayıcı üreticilerinin, yazılımlarında, bir alan özel unicode karakterleri (eğik çizgi (/) gibi görünen iki karakter gibi) kullandığında kullanıcıları uyaran uyarılar almasına yol açacaktır. meşru URL’ler için karıştırılabilir.
Bununla birlikte, DomainTools’tan Helming, çoğu kişinin, bağlantıları kontrol etme konusunda dikkatli olması gereken kullanıcılara ve siber güvenlik sağlayıcıları onlara bir itibar atayana kadar yeni alan adlarını kısıtlayabilen şirketlere güveneceğini söylüyor.
“Çok anlayışlı kullanıcıların bu dosya yollarını görsel olarak tespit etmesinin yolları var,” diye ekliyor, “ancak en etkili savunmalar, bu karakterler gibi şeyler için güvenlik kontrolü algılamaları, yeni oluşturulan alanlar için risk puanlaması içeren çabaların bir kombinasyonu olacak. – herhangi bir TLD’de – ve güncellenmiş kullanıcı farkındalığı eğitimi.”
Jaikumar Vijayan’ın haberiyle