{"id":4343,"date":"2023-07-19T07:43:47","date_gmt":"2023-07-19T06:43:47","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4343"},"modified":"2023-07-19T09:25:57","modified_gmt":"2023-07-19T08:25:57","slug":"jak-rozpoznac-zlosliwy-phishing-w-domenie-zip-2","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/jak-rozpoznac-zlosliwy-phishing-w-domenie-zip-2\/","title":{"rendered":"Jak rozpozna\u0107 z\u0142o\u015bliwy phishing w domenie .zip?"},"content":{"rendered":"
\n
\n
\n
\n

W tym tygodniu Google wdro\u017cy\u0142o now\u0105 domen\u0119 TLD (Top Level Domain) .zip (oraz kilka innych), co oznacza, \u017ce mo\u017cna od teraz kupi\u0107 domen\u0119 .zip, analogicznie do domeny .com lub .org za zaledwie kilka dolar\u00f3w. Opr\u00f3cz wielu plus\u00f3w pojawia si\u0119 jednak tak\u017ce niema\u0142o potencjalnych zagro\u017ce\u0144 bezpiecze\u0144stwa zwi\u0105zanych z t\u0105 TLD.<\/p>\n

 <\/p>\n

Powa\u017cne niebezpiecze\u0144stwo<\/strong><\/p>\n

 <\/p>\n

Czy potrafisz na pierwszy rzut oka stwierdzi\u0107, kt\u00f3ry z poni\u017cszych adres\u00f3w URL jest prawdziwy, a kt\u00f3ry jest z\u0142o\u015bliwym phishingiem, kt\u00f3ry pobiera evil.exe?<\/p>\n

https:\/\/github.com\u2215kubernetes\u2215kubernetes\u2215archive\u2215refs\u2215tags\u2215@v1271.zip
\nhttps:\/\/github.com\/kubernetes\/kubernetes\/archive\/refs\/tags\/v1.27.1.zip<\/a><\/p>\n

Chcemy pokaza\u0107 Ci, w jaki spos\u00f3b atakuj\u0105cy mo\u017ce wykorzysta\u0107 t\u0119 TLD w po\u0142\u0105czeniu z operatorem @ i znakiem Unicode \u201e\u2215\u201d \u00a0(U+2215), aby stworzy\u0107 niezwykle przekonuj\u0105cy phishing.<\/p>\n

\"zip1\"<\/p>\n

Jak wida\u0107 na poni\u017cszym podziale adresu URL, wszystko pomi\u0119dzy schematem https:\/\/ a operatorem @ traktuje si\u0119 jako informacje o u\u017cytkowniku, a wszystko po operatorze @ to hostname. Jednak\u017ce nowoczesne przegl\u0105darki, takie jak Chrome, Safari i Edge, nie chc\u0105, aby u\u017cytkownicy przypadkowo uwierzytelniali si\u0119 na stronach internetowych za pomoc\u0105 jednego klikni\u0119cia, wi\u0119c ignoruj\u0105 wszystkie dane w sekcji informacji o u\u017cytkowniku i po prostu przekieruj\u0105 ich do cz\u0119\u015bci adresu URL zawieraj\u0105cej hostname.<\/p>\n

Na przyk\u0142ad, adres URL https:\/\/google.com@bing.com w rzeczywisto\u015bci przeniesie u\u017cytkownika na stron\u0119 bing.com.<\/p>\n

 <\/p>\n

\"zip2\"<\/p>\n

 <\/p>\n

Je\u015bli jednak zaczniemy dodawa\u0107 uko\u015bniki do adresu URL, kt\u00f3ry znajduje si\u0119 przed operatorem @, takim jak https:\/\/google.com\/search@bing.com, nasza przegl\u0105darka zacznie analizowa\u0107 wszystko po uko\u015bniku jako \u015bcie\u017ck\u0119, a teraz cz\u0119\u015b\u0107 adresu URL bing.com zostanie zignorowana i zostaniemy przeniesieni do google.com.<\/p>\n

 <\/p>\n

Jak to si\u0119 robi w praktyce?<\/strong><\/p>\n

 <\/p>\n

Za\u0142\u00f3\u017cmy wi\u0119c, \u017ce chcieli\u015bmy stworzy\u0107 phishingowy adres URL, kt\u00f3ry zawiera\u0142 uko\u015bniki przed operatorem @, tak aby wygl\u0105da\u0142o na to, \u017ce ofiara odwiedza \u015bcie\u017ck\u0119 URL google.com, ale chcieli\u015bmy, aby kierowa\u0142 ofiar\u0119 do bing.com.<\/p>\n

\"zip3\"<\/p>\n

 <\/p>\n

 <\/p>\n

Zgodnie z tym raportem o b\u0142\u0119dzie Chromium z 2016 roku, znaki U+2044 (\u2044) i U+2215 (\u2215) s\u0105 dozwolone w hostname, ale nie s\u0105 traktowane przez przegl\u0105dark\u0119 jako uko\u015bniki. Oba te znaki unicode przypominaj\u0105 legalny znak uko\u015bnika U+002F (\/).<\/p>\n

Je\u015bli stworzymy adres url taki jak:<\/p>\n

 <\/p>\n

https:\/\/google.com\u2215gmail\u2215inbox@bing.com<\/p>\n

przekieruje on u\u017cytkownika do bing.com, poniewa\u017c uko\u015bniki U+2215 s\u0105 traktowane jako cz\u0119\u015b\u0107 UserInfo adresu url, a nie jako pocz\u0105tek \u015bcie\u017cki.<\/p>\n

Mo\u017cemy wykorzysta\u0107 t\u0119 wiedz\u0119 i stworzy\u0107 bardzo przekonuj\u0105cy phishing legalnego pliku .zip z now\u0105 domen\u0105 TLD .zip Google.<\/p>\n

Jako przyk\u0142adu u\u017cyjmy pakietu kodu Github. Je\u015bli u\u017cytkownik chce pobra\u0107 kopi\u0119 oprogramowania open source Kubernetes, odwiedza Github i pobiera adres url z:<\/p>\n

https:\/\/github.com\/kubernetes\/kubernetes\/archive\/refs\/tags\/v1.27.1.zip<\/a><\/p>\n

We\u017amy powy\u017cszy adres URL i zamie\u0144my wszystkie uko\u015bniki po https:\/\/ na uko\u015bniki U+2215 (\u2215) i dodajmy operator @ przed v.1.27.1.zip.<\/p>\n

https:\/\/github.com\u2215kubernetes\u2215kubernetes\u2215archive\u2215refs\u2215tags\u2215@v1.27.1.zip<\/p>\n

Odwiedzenie powy\u017cszego adresu URL przeniesie nas do cz\u0119\u015bci adresu URL z hostname, v1.27.1.zip. Niestety, domena 1.zip zosta\u0142a ju\u017c zaj\u0119ta, ale mo\u017cemy ubiega\u0107 si\u0119 o podobny adres URL, v1271.zip za 15 USD.<\/p>\n

 <\/p>\n

\"zip4\"<\/p>\n

Mo\u017cemy uruchomi\u0107 EC2 z prost\u0105 aplikacj\u0105 Python Flask i wskaza\u0107 rekord DNS v1271.zip na nasz EC2. Aplikacja Flask odpowie na ka\u017cde \u017c\u0105danie sieciowe za\u0142\u0105cznikiem evil.exe<\/p>\n

 <\/p>\n

\"zip5\"<\/p>\n

 <\/p>\n

Przyk\u0142adowa aplikacja Flask dzia\u0142aj\u0105ca na EC2<\/p>\n

Nasz z\u0142o\u015bliwy adres URL poni\u017cej wydaje si\u0119 prawie nie do odr\u00f3\u017cnienia od legalnego adresu URL:<\/p>\n

Evil:<\/p>\n

https:\/\/github.com\u2215kubernetes\u2215kubernetes\u2215archive\u2215refs\u2215tags\u2215@v1271.zip<\/p>\n

Legalny:\u00a0https:\/\/github.com\/kubernetes\/kubernetes\/archive\/refs\/tags\/v1.27.1.zip<\/a><\/p>\n

W kliencie poczty e-mail mogliby\u015bmy uczyni\u0107 go jeszcze bardziej przekonuj\u0105cym i zmieni\u0107 rozmiar operatora @ na czcionk\u0119 o rozmiarze 1, co sprawi, \u017ce wizualnie nie b\u0119dzie on istnia\u0142 dla u\u017cytkownika, ale nadal b\u0119dzie obecny jako cz\u0119\u015b\u0107 adresu URL<\/p>\n

\"zipsto\"<\/p>\n

 <\/p>\n

Jak wykry\u0107 zagro\u017cenie?<\/strong><\/p>\n

 <\/p>\n

Nie daj si\u0119 z\u0142apa\u0107 i zwracaj uwag\u0119 na adresy, kt\u00f3re utrzymujesz. B\u0105d\u017a uwa\u017cny:<\/p>\n

\u2022 \u00a0 \u00a0Szukaj domen zawieraj\u0105cych U+2044 (\u2044) i U+2215 (\u2215)
\n\u2022 \u00a0 \u00a0Szukaj domen zawieraj\u0105cych operatory @, po kt\u00f3rych nast\u0119puj\u0105 pliki .zip
\n\u2022 \u00a0 \u00a0Zawsze uwa\u017caj na pliki pobierane z adres\u00f3w URL, wysy\u0142ane przez nieznanych odbiorc\u00f3w i naje\u017cd\u017caj kursorem na adresy URL przed klikni\u0119ciem, aby zobaczy\u0107 rozszerzon\u0105 \u015bcie\u017ck\u0119 URL<\/p>\n

 <\/p>\n

 <\/p>\n

Je\u015bli chcesz dowiedzie\u0107 si\u0119 wi\u0119cej, skontaktuj si\u0119 z naszymi ekspertami, kt\u00f3rzy podpowiedz\u0105, jak zabezpieczy\u0107 si\u0119 przed najnowszymi wersjami phishingu.<\/p>\n<\/div>\n<\/div>\n<\/section>\n<\/div>\n

\n
\n
\n
\"\"<\/div>\n<\/div>\n<\/section>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

W tym tygodniu Google wdro\u017cy\u0142o now\u0105 domen\u0119 TLD (Top Level Domain) .zip (oraz kilka innych), co oznacza, \u017ce mo\u017cna od teraz kupi\u0107 domen\u0119 .zip, analogicznie do domeny .com lub .org za zaledwie kilka dolar\u00f3w. Opr\u00f3cz wielu plus\u00f3w pojawia si\u0119 jednak tak\u017ce niema\u0142o potencjalnych zagro\u017ce\u0144 bezpiecze\u0144stwa zwi\u0105zanych z t\u0105 TLD.   Powa\u017cne niebezpiecze\u0144stwo   Czy potrafisz […]<\/p>\n","protected":false},"author":4,"featured_media":3417,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57],"tags":[],"class_list":["post-4343","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4343"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4343"}],"version-history":[{"count":2,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4343\/revisions"}],"predecessor-version":[{"id":4381,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4343\/revisions\/4381"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/3417"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}