{"id":4343,"date":"2023-07-19T07:43:47","date_gmt":"2023-07-19T06:43:47","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4343"},"modified":"2023-07-19T09:25:57","modified_gmt":"2023-07-19T08:25:57","slug":"jak-rozpoznac-zlosliwy-phishing-w-domenie-zip-2","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/jak-rozpoznac-zlosliwy-phishing-w-domenie-zip-2\/","title":{"rendered":"Jak rozpozna\u0107 z\u0142o\u015bliwy phishing w domenie .zip?"},"content":{"rendered":"
W tym tygodniu Google wdro\u017cy\u0142o now\u0105 domen\u0119 TLD (Top Level Domain) .zip (oraz kilka innych), co oznacza, \u017ce mo\u017cna od teraz kupi\u0107 domen\u0119 .zip, analogicznie do domeny .com lub .org za zaledwie kilka dolar\u00f3w. Opr\u00f3cz wielu plus\u00f3w pojawia si\u0119 jednak tak\u017ce niema\u0142o potencjalnych zagro\u017ce\u0144 bezpiecze\u0144stwa zwi\u0105zanych z t\u0105 TLD.<\/p>\n
<\/p>\n
Powa\u017cne niebezpiecze\u0144stwo<\/strong><\/p>\n <\/p>\n Czy potrafisz na pierwszy rzut oka stwierdzi\u0107, kt\u00f3ry z poni\u017cszych adres\u00f3w URL jest prawdziwy, a kt\u00f3ry jest z\u0142o\u015bliwym phishingiem, kt\u00f3ry pobiera evil.exe?<\/p>\n https:\/\/github.com\u2215kubernetes\u2215kubernetes\u2215archive\u2215refs\u2215tags\u2215@v1271.zip Chcemy pokaza\u0107 Ci, w jaki spos\u00f3b atakuj\u0105cy mo\u017ce wykorzysta\u0107 t\u0119 TLD w po\u0142\u0105czeniu z operatorem @ i znakiem Unicode \u201e\u2215\u201d \u00a0(U+2215), aby stworzy\u0107 niezwykle przekonuj\u0105cy phishing.<\/p>\n <\/p>\n Jak wida\u0107 na poni\u017cszym podziale adresu URL, wszystko pomi\u0119dzy schematem https:\/\/ a operatorem @ traktuje si\u0119 jako informacje o u\u017cytkowniku, a wszystko po operatorze @ to hostname. Jednak\u017ce nowoczesne przegl\u0105darki, takie jak Chrome, Safari i Edge, nie chc\u0105, aby u\u017cytkownicy przypadkowo uwierzytelniali si\u0119 na stronach internetowych za pomoc\u0105 jednego klikni\u0119cia, wi\u0119c ignoruj\u0105 wszystkie dane w sekcji informacji o u\u017cytkowniku i po prostu przekieruj\u0105 ich do cz\u0119\u015bci adresu URL zawieraj\u0105cej hostname.<\/p>\n Na przyk\u0142ad, adres URL https:\/\/google.com@bing.com w rzeczywisto\u015bci przeniesie u\u017cytkownika na stron\u0119 bing.com.<\/p>\n <\/p>\n <\/p>\n <\/p>\n Je\u015bli jednak zaczniemy dodawa\u0107 uko\u015bniki do adresu URL, kt\u00f3ry znajduje si\u0119 przed operatorem @, takim jak https:\/\/google.com\/search@bing.com, nasza przegl\u0105darka zacznie analizowa\u0107 wszystko po uko\u015bniku jako \u015bcie\u017ck\u0119, a teraz cz\u0119\u015b\u0107 adresu URL bing.com zostanie zignorowana i zostaniemy przeniesieni do google.com.<\/p>\n <\/p>\n Jak to si\u0119 robi w praktyce?<\/strong><\/p>\n <\/p>\n Za\u0142\u00f3\u017cmy wi\u0119c, \u017ce chcieli\u015bmy stworzy\u0107 phishingowy adres URL, kt\u00f3ry zawiera\u0142 uko\u015bniki przed operatorem @, tak aby wygl\u0105da\u0142o na to, \u017ce ofiara odwiedza \u015bcie\u017ck\u0119 URL google.com, ale chcieli\u015bmy, aby kierowa\u0142 ofiar\u0119 do bing.com.<\/p>\n <\/p>\n <\/p>\n <\/p>\n Zgodnie z tym raportem o b\u0142\u0119dzie Chromium z 2016 roku, znaki U+2044 (\u2044) i U+2215 (\u2215) s\u0105 dozwolone w hostname, ale nie s\u0105 traktowane przez przegl\u0105dark\u0119 jako uko\u015bniki. Oba te znaki unicode przypominaj\u0105 legalny znak uko\u015bnika U+002F (\/).<\/p>\n Je\u015bli stworzymy adres url taki jak:<\/p>\n <\/p>\n https:\/\/google.com\u2215gmail\u2215inbox@bing.com<\/p>\n przekieruje on u\u017cytkownika do bing.com, poniewa\u017c uko\u015bniki U+2215 s\u0105 traktowane jako cz\u0119\u015b\u0107 UserInfo adresu url, a nie jako pocz\u0105tek \u015bcie\u017cki.<\/p>\n Mo\u017cemy wykorzysta\u0107 t\u0119 wiedz\u0119 i stworzy\u0107 bardzo przekonuj\u0105cy phishing legalnego pliku .zip z now\u0105 domen\u0105 TLD .zip Google.<\/p>\n Jako przyk\u0142adu u\u017cyjmy pakietu kodu Github. Je\u015bli u\u017cytkownik chce pobra\u0107 kopi\u0119 oprogramowania open source Kubernetes, odwiedza Github i pobiera adres url z:<\/p>\n
\nhttps:\/\/github.com\/kubernetes\/kubernetes\/archive\/refs\/tags\/v1.27.1.zip<\/a><\/p>\n