3 Mayıs’ta garip ve alışılmadık bir gıcırtı duyduysanız, bu bir milyon gözün aynı anda yuvarlanması olabilir. Senkronize oküler rotasyon, bu yazar da dahil olmak üzere BT ve güvenlik sektörlerinin bazı bölümlerinin Google’ın .zip domainler satışta
Google Tescil O gün aslında sekiz yeni üst düzey alan adı (TLD) duyurdu: .dad, .phd, .prof, .esq, .foo, .zip, .mov ve .nexus, ancak bunu yapan dot Zip ve dot mov idi. son derece popüler ve uzun ömürlü .zip ve .mov dosya uzantılarına bariz benzerlikleri nedeniyle güvenlik gözbebekleri gökyüzüne bakıyordu.
TLD’ler, example.com, example.org ve example.zip gibi bir İnternet adresinde alan adının sonundaki noktadan sonra gelen harflerdir.
Dosya uzantıları, dosya adının sonundaki noktadan sonra gelen example.docx, example.ppt ve example.zip gibi üç harftir.
Sorunu görüyor musun?
Etki alanı adları ve dosya adları aynı şey değildir, hatta yakın bile değildir, ancak her ikisi de modern siber saldırılarda önemli bir rol oynar ve bunların doğru bir şekilde tanımlanması, uzun, çok uzun bir süredir pek çok temel güvenlik tavsiyesinin bir parçasını oluşturmuştur.
TLD’nin, ziyaret ettiğiniz site türü için bir tür gösterge görevi görmesi gerekiyor. Dot com’un bir sitenin ticari olduğunu belirtmesi gerekiyordu ve dot org aslında kar amacı gütmeyen kuruluşlara yönelikti. Hem nokta com hem de nokta org 1985’ten beri ortalıkta olmasına rağmen, benim deneyimime göre çoğu insan bu fikirden habersiz. Bu kayıtsızlığa rağmen, Google’ın amaçladığı gibi nokta zip’in bir sitenin “hızlı” veya hızlı olduğunu belirtmesi gülünç görünüyor.
Hızın çok önemli olduğu hizmetler sunarken, bir .zip URL’si hedef kitlenizin sizin hızlı, verimli ve harekete hazır olduğunuzu bilmesini sağlar.
Bu arada, pek çok kullanıcı .zip dosyasının tamamen farklı bir anlama geldiği konusunda zaten net bir fikre sahip. En başından beri, Windows bilgisayarlarındaki dosyalar, ne tür bir dosyayla uğraştığınızı belirtmek için bir simge ve noktayla biten bir dosya adı ve ardından üç harf kullandı. Noktadan sonraki üç harf zip’i yazıyorsa, bu, sıkıştırılmış (“sıkıştırılmış”) dosyalarla dolu bir arşivi gösterir. Simgenin üzerinde bir fermuar resmi bile vardır (çünkü pekiştirme iyidir ve kafa karışıklığı kötüdür).
Tesadüf eseri, siber suçlular .zip dosyalarını sever ve son birkaç yılda bunların kötü niyetli e-posta ekleri olarak kullanımında bir patlama görüldü. Tipik olarak, zip dosyası “saldırı zinciri” olarak bilinen bir dosya dizisinde ilk sırada yer alır. Kısa bir zincirde, zip dosyası kötü bir şey içerebilir. Daha uzun bir zincirde, kötü bir şeye bağlanan bir şey içerebilir veya kötü bir şeye bağlanan bir şey içeren bir şey içerebilir veya kötü bir şeye bağlanan bir şey içeren bir şeye bağlanan bir şey içerebilir. Kaptın bu işi.
Hepsinin anahtarı yanlış yönlendirmedir. Saldırı zinciri, kullanıcıları ve güvenlik yazılımını şaşırtmak (yine o kelime var) ve yanıltmak için oradadır.
Suçlular, dosya uzantılarında diğer yanlış yönlendirme biçimlerini de kullanır. Eski bir favori, kötü amaçlı dosyalara, evil.zip.exe gibi iki dosya uzantısı vermektir. İlki, bu durumda .zip, sizi kandırmak için var. İkincisi, gerçek olanıdır: Bu örnekte tehlikeli bir yürütülebilir dosya türü olan .exe. İki seçenek verildiğinde, kullanıcılar hangisine inanacaklarına karar vermelidir. Yine de çoğu bu seçimle karşı karşıya bile değil. Komik, Windows varsayılan olarak gerçekten dikkat etmeniz gereken ikinci dosya uzantısını gizleyerek hileye yardımcı olur.
Alan adları aynı muameleyi görür. Suçlular, kötü niyetli URL’lerinin aslında Google, Twitter veya diğer saygın sitelere bağlantılarmış gibi görünmesini sağlamak için, örneğin sizi gitmek istediğiniz herhangi bir yere yönlendiren web sayfaları gibi açık yönlendirmeleri kapsamlı bir şekilde kullanır. Daha az bilgili suçlular, bağlantıya “paypal” gibi kelimeler veya tanıyabileceğiniz başka herhangi bir şey atar ve o kısmı fark edip gerisini görmezden geleceğinizi umar.
Bu arka plana karşı Google, açıklanamaz bir şekilde, yararlı bir gelir getirmeyecek, ancak siber suçlulara, hala boğuştuğumuz tüm diğerlerine eklemek için tamamen yeni bir dosya ve alan adı yanlış yönlendirme biçimi sağlayacak bir şey sunmaya karar verdi.
Suçlular bu yeni oyuncakla ne yapabilir? Güvenlik araştırmacısı Bobby Rauch’un mükemmel makalesi The Dangers of Google’s .zip TLD’den daha iyi bir örnek yoktur. İçinde Rauch, okuyucuları aşağıdaki iki URL’den hangisinin “evil.exe’yi düşüren kötü niyetli bir kimlik avı olduğunu” belirlemeye davet ediyor.
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
Bu en alttaki.
En üstteki, github.com etki alanından v1.27.1.zip adlı bir zip dosyasını açar. İkincisi, bu varsayımsal örnekte evil.exe dosyasının indirilmesini tetikleyen v1.27.1.zip etki alanına gider.
Çözdüyseniz, aferin, ancak bunlardan birinin kötü olduğunu bildiğinizi unutmayın. Önceden uyarılmasaydınız fark eder miydiniz? Ve fark etmediyseniz, kendinizi kötü hissetmeyin, bütün mesele bu. Yerinde olmayan bir şey aradığınızı bilseniz bile URL’leri okumak zordur.
Tabii ki nokta zip alan adlarının icadı birdenbire URL’lerin okunmasını zorlaştırmadı, zaten öyleydi ama bu bir mazeret değil.
Google, bilgisayar güvenliği için gerçekten çok iyi şeyler yapıyor ki bu konuda muazzam bir takdiri hak ediyor ve bu küçük ve karakteristik olmayan bir yanlış adım. Arama devi, nokta zip TLD oluşturmak için kesinlikle hiçbir baskı altında değildi ve büyük bir gelir akışı olmaya mahkum görünmüyor.
Nokta zip etki alanları henüz ciddi bir sorun değil. Bu yazının yazıldığı sırada, 4.000’den biraz daha azı kaydedildi ve bunların bir kısmı, ne kadar kötü bir fikir olduklarını göstermek veya suçluları bazı daha tehlikeli isimlerden mahrum bırakmak isteyen güvenlik araştırmacıları tarafından satın alındı.
Suçlular, dot zip etki alanının yerleşik karışıklığına (veya en azından bugün değil) ihtiyaç duymadıklarına henüz karar verebilirler. Halihazırda çok iyi işleyen bir dolu numaraya sahipler ve eğer yeni bir numara hayatlarını kolaylaştırmıyor veya zenginleştirmiyorsa, onu kullanmayacaklar.
Ayrıca, yeterince şirket engellemeyi seçerse dot zip’in asmada ölmesi de mümkündür. Geçen hafta, Citizen Lab’den John Scott-Railton, yaklaşık 200.000 Twitter takipçisini “hepsini engelle“Yeni .zip ve .mov alan adlarının çoğunlukla kötü amaçlı yazılım saldırıları için kullanılma olasılığı %100’dür.”
Bunu engelleyip engellememek size ve kuruluşunuza bağlıdır, ancak engelleyecekseniz, bunu yapmak için en iyi zamanın şimdi olduğunu belirteceğim: Şu anda neredeyse hiç kimse onu kullanmıyor ve gelecekte de kimse kullanmayacak. eğer rutin olarak bloke edilmişse.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE