压缩包?网址?新的ZIP域名在网络安全专家中引起激烈讨论

VSole2023-05-22 08:42:35

网络安全研究人员和IT管理员对谷歌新的ZIP和MOV互联网域名提出了担忧,警告说攻击者可能利用它们进行网络钓鱼攻击和恶意软件传输。

本月早些时候,谷歌推出了8个新的高级域名(TLD),可以购买用于托管网站或电子邮件地址。

这些新域名包括.dad、.esq、.prof、.phd、.nexus、.foo,以及我们本篇提到的.zip和.mov域名。

虽然ZIP和MOV高级域名自2014年以来一直可用,但直到本月才开始普遍可用,允许任何人购买域名,如bleepingcomputer.zip,用于建立网站。

然而,这些域名被认为是有风险的,因为这些域名也是论坛帖子、信息和在线讨论中经常分享的文件扩展名。

担忧

网上常见的两种文件类型分别是ZIP压缩文件和MPEG 4视频,其文件名以.zip (压缩文件)或.mov(视频文件)结尾。

因此,人们发布含有以.zip和.mov为扩展名的文件名是非常常见的。

然而,现在它们变成了域名,一些消息平台和社交媒体网站会自动将带有.zip和.mov扩展名的文件名转换成URL。

例如,在Twitter上,如果你向某人发送zip文件和访问MOV文件的说明,这些无害的文件名会被自动转换成URL,如下图所示。

当人们看到指示中的URL时,他们通常认为该URL可以用来下载相关文件,并可能点击该链接。例如,在BleepingComputer的文章、教程和讨论区中,我们通常是将文件名与下载链接起来,提供说明。

但是,如果攻击者拥有一个与链接文件名相同的.zip域名,那么人们可能会错误地访问该网站,并上当受骗或下载恶意软件。

虽然攻击者不太可能为了几个受害者而注册成千上万的域名,但只需要一个企业员工错误地安装恶意软件,整个网络都会受到影响。

滥用这些域名并不是理论上的,网络情报公司Silent Push Labs已经在microsoft-office[.zip上发现了一个类似钓鱼的页面,试图窃取微软账户的凭证。

网络安全研究人员也开始玩起了域名,Bobby Rauch发表了关于利用Unicode字符和URL中的userinfo分隔符(@)开发的钓鱼链接的研究。

Rauch的研究表明,攻击者先制作钓鱼网址,该网址看起来像GitHub上的合法文件下载网址,但实际上点击后会把你跳转到v1.27.1[.]zip的网站,如下图所示。

矛盾的观点

这些发现在开发者、安全研究人员和IT管理员中引发了一场争论,一些人认为这种担心是没有必要的,另一些人则认为ZIP和MOV域名给已经有风险的网络环境增加了不必要的风险。

人们已经开始注册与常见的ZIP压缩文件相关的.zip域名,如update.zip、financialstatement.zip、setup.zip、attachment.zip、officeupdate.zip和backup.zip,以显示有关ZIP域名风险的信息。

开源开发者Matt Holt还要求将ZIP域名从Mozilla的公共后缀列表中删除。

然而,PSL社区很快解释说,虽然这些域名可能有一点风险,但它们仍然有效,不应该从PSL中删除,因为这将影响合法网站的运作。

与此同时,其他安全研究人员和开发人员,如微软Edge开发人员Eric,也表示他们认为关于这些新域名的担心是过度的。

当BleepingComputer就这些问题联系谷歌时,他们表示,文件和域名之间的混淆风险是长期存在的,浏览器的保护措施已经部署,以保护用户免受干扰。

域名和文件名之间的混淆风险并不是一个新问题。例如,3M公司的Command产品使用域名command.com,这也是MS DOS和早期版本的Windows上的一个重要程序。应用程序对此有保护措施(如谷歌安全浏览),这些保护措施对.zip等域名也将适用。

同时,新的命名空间为命名提供了更多机会,如community.zip和url.zip。谷歌非常重视网络钓鱼和恶意软件,谷歌注册处有一套机制来禁止或删除我们所有的恶意域名,包括.zip。我们将继续监测.zip和其他域名的使用情况,如果出现新的威胁,我们将采取适当的行动来保护用户。" -——谷歌。

如何避免

证所周知,点击别人的链接或从你不信任的网站下载文件永远是不安全的。

像其他任何链接一样,如果你在信息中看到一个.zip或.mov链接,在点击它之前先研究一下。如果你仍然不确定该链接是否安全,请不要点击它。通过遵循这些简单的步骤,将新域名的影响降至最小。

然而,随着越来越多的应用程序自动将ZIP和MOV文件名变成链接,因此在上网时要时刻保持警惕。

域名后缀域名购买
本作品采用《CC 协议》,转载必须注明作者和本文链接
在互联网+时代,网站是个人或企业展示品牌形象和推广品牌的重要工具,而无论是个人还是企业,在建设网站时,都需要提前注册域名。那么域名应该怎么注册呢?从域名选择,到选择域名注册商,再到域名注册,小编将一步步教你如何注册自己的域名。第一步:选择一个好的域名域名是作为互联网的身份标识而存在的,一个好的域名,不仅要起到宣传品牌、展示企业形象的作用,也要方便用户记忆和搜索引擎优化,由此,选择一个好的域名非常重
自2018年10日起,外部实体与FDA进行CBER监管通信必须经过邮件安全加密处理。通过S/MIME证书可以确保邮件在整个传输过程中不会被偷窥和篡改,满足FDA邮件安全加密的合规要求。此方案需要与FDA完成必要的测试。此外,终端用户可照常发送邮件,勿需其他操作,企业邮件基础设施与FDA之间传输的数据将会自动加密处理。
网络安全研究人员和IT管理员对谷歌新的ZIP和MOV互联网域名提出了担忧,警告说攻击者可能利用它们进行网络钓鱼攻击和恶意软件传输。因此,人们发布含有以.zip和.mov为扩展名的文件名是非常常见的。当BleepingComputer就这些问题联系谷歌时,他们表示,文件和域名之间的混淆风险是长期存在的,浏览器的保护措施已经部署,以保护用户免受干扰。
随着移动互联网的发展,QQ、微信、手机号等社交账号逐渐成为互联网行业账号注册的主流方式,但这种认证方式并非唯一,在很多注册场景下,电子邮箱依旧占有一席之地。而在海外的业务中,电子邮箱注册依旧是较为主流的账号注册方式。 鉴于电子邮箱无需实名即可注册,在企业无法了解用户更多的相关信息的情况下,缺失对邮箱用户的标签画像。一群具有灵敏嗅觉的群体,便快速嗅到了其中的利益,他们就是行业口中的黑产。黑产可以通
Microsoft Exchange中使用的协议Autodiscover存在漏洞,该漏洞导致各种Windows和Microsoft登录凭证遭泄漏。
CS 域前置+流量混淆
2021-10-14 06:58:22
域前置(Domain Fronting)被称为域前端网络攻击技术,是一种隐藏连接真实端点来规避互联网审查的技术。这种技术被安全人员多用来隐藏 Metasploit,Cobalt Strike 等团队控制服务器流量, 以此来一定程度绕过检查器或防火墙检测的技术,国内外如:Amazon ,Google,Akamai 等大型厂商都会提供一些域前端技术服务。
globeimposter和phobos家族仍然是云上传播勒索病毒的主要来源,占据10月公共云勒索样本量的近60%。值得注意的是,除网络漏洞入侵外,RDP爆破方式进入受害者服务器成为10月入侵方式的主旋律,由此可见,云上的弱密码问题仍然需要引起重视。
下面所讲的大部分操作是基于拿到华为云用户泄漏的AK、SK或者凭证而进行的一系列操作。0x01 初始访问 1、元数据 华为云元数据地址:http://169.254.169.254,需要注意直接访问是看不到openstack目录的,下面列举几个常见的目录:
到达客户现场后第一时间告知负责网络相关的人员请勿对被篡改文件进行删除或修改,这样做的原因是方便后续对入侵途径进行溯源分析。发生安全事件的服务器为Windows还是Linux或者其他的操作系统,确认好操作系统类型方便取证工作。是否为用户误操作所导致触发告警。Windows系统下:使用“MD5校验器”打开原有文件与疑似篡改文件,获得MD5值后进行比对,如果两文件MD5不一样证明该文件被篡改。
kerberos协议从0到1
2021-10-12 14:26:38
krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成的,无法登录主机
VSole
网络安全专家