Nazivi web stranica u domenima ZIP i MOV ne razlikuju se od naziva datoteka. Kako će to uticati na IT sisteme i šta će činiti akteri pretnji?
Navikli smo da nazivi web stranica završavaju na .com, .org, .net itd. Poslednjih godina pojavile su se nove ekstenzije domena, kao što su .aero, .club i drugi. Oni su poznati kao domeni najvišeg nivoa ( TLD ), a lista , koja je već duga, s vremena na vreme dobija nove dodatke. Google je u maju objavio da je dostupno još osam domena, od kojih se dvije ne razlikuju od popularnih ekstenzija datoteka: .zip i .mov. Ovaj potez je naišao na kritike stručnjaka za IT i infosec, jer prilično garantuje konfuziju, nered u rukovanju linkovima i nove obrasce krađe identiteta.
Kako pobrkati .zip i .zip
ZIP i MOV fajlovi postoje decenijama: .zip je de facto standard arhiviranja, a .mov je jedan od najpopularnijih video kontejnera. Google ove nove MOV i ZIP domene cilja na tehničare, ali u stvari su obje dostupne svima i za bilo koju svrhu.
Sada vam samo kontekst može pomoći da shvatite da li je ZIP ili MOV web lokacija ili datoteka kada naiđete na, recimo, update.zip . Međutim, kontekst je nešto što ljudi mogu shvatiti, ali ne i računari, pa bi takva referenca mogla uzrokovati probleme u svim vrstama aplikacija, kao što je Twitter:
Tvit se jasno odnosi na fajlove, ali Twitter pretvara nazive fajlova u web veze. Ako neko registruje domene test.zip i movie.mov, oni koji kliknu na linkove fajlova mogu postati žrtve neke specifične vrste phishing šeme.
Istraživač sigurnosti mr.d0x pronašao je drugi način da iskoristi .zip domen za krađu identiteta. Tehnika koju je opisao , nazvana fajl-arhiver-u-pretraživaču, uključuje upotrebu sajtova koji imitiraju interfejs uslužnog programa za arhiviranje. Korisnik, vjerujući da otvara .zip fajl, zapravo biva preusmjeren na istoimenu stranicu i umjesto liste datoteka vidi URL-ove koji mogu voditi bilo gdje. Na primjer, mogu sakriti vezu za preuzimanje izvršnog zlonamjernog softvera ili dovesti do zahtjeva za radnim vjerodajnicama za pristup nekom dokumentu. Isti dokument takođe opisuje zanimljiv mehanizam isporuke koristeći Windows File Explorer. Ako napadač uspije uvjeriti svoju žrtvu da potraži nepostojeću .zip datoteku, File Explorer će automatski otvoriti stranicu na istoimenom domenu.
Pretnja krađi identiteta je već stvarna, a uočene su neke .zip phishing lokacije koje iskorištavaju temu Windows ažuriranja.
Nije da je ovo prvi put da vidimo konfuziju sličnu ovoj. Jedna od originalnih domena, .com, je također legitimna ekstenzija za izvršne datoteke koje se aktivno koriste u MS-DOS-u (i starijim verzijama Windowsa), dok je ekstenzija .sh koja se koristi za Unix skripte identična TLD-u za Britansku prekomorska teritoriju Sveta Helena, Uzašašće i Tristan da Cunha. Ipak, ZIP i MOV, koji su popularni među ne baš tehničkom publikom, imaju potencijal da izazovu probleme i korisnicima i sistem administratorima. Čak i ako na trenutak zaboravite na phishing, situacije poput one opisane u tvitu iznad mogu se dogoditi u desetinama aplikacija koje automatski obrađuju tekst i ističu veze. Stoga se u svakom trenutku svaki tekst koji sadrži naziv datoteke može pretvoriti u tekst koji sadrži hipervezu na vanjsku web stranicu. Šema krađe identiteta ili ne, ovo bi u najmanju ruku moglo uzrokovati neugodnosti ako ne i zbunjenost. Posjetite financialstatement.zip da se sami uvjerite.
Savjeti za korisnike
Pojava ZIP i MOV domena neće dovesti do drastične promjene u phishing i online ekosistemu prevare – samo će dodati još jedno oružje u ionako ogroman arsenal hakera. Stoga naši uobičajeni savjeti protiv krađe identiteta ostaju nepromijenjeni: pažljivo proučite sve veze prije nego što kliknete; čuvajte se priloga i URL-ova u neželjenoj e-pošti; ne klikajte na sumnjive veze; i budite sigurni da koristite odgovarajuću sigurnost na svim svojim uređajima — čak i pametnim telefonima i Mac računarima.
Savjeti za administratore
Neki korisnici će vjerovatno zanemariti gore navedene savjete, tako da, ovisno o tome kako vaša organizacija funkcionira, možda ćete morati postaviti posebna sigurnosna pravila za .zip i .mov imena domena. Moguće mjere uključuju strože skeniranje linkova ili čak potpuno blokiranje korisnika da posjećuju web stranice u ovim domenima na korporativnim računarima. Ovo ne bi bilo bez presedana: .bit domen je bio naširoko blokiran i postepeno je izumro zbog poplave zlonamjernih veza u 2018-2019.
Pojava ZIP i MOV domena odlična je prilika za provođenje — ili ponavljanje! — infosec obuka za zaposlene (sa fokusom na otkrivanju krađe identiteta).
Preporučujemo IT administratorima da testiraju sve ključne poslovne sisteme koji obrađuju linkove kako bi vidjeli kako oni rukuju .zip i .mov web lokacijama i da li je upotreba ZIP datoteka praćena bilo kakvim neželjenim efektima. Sisteme pošte, korporativne aplikacije za razmjenu poruka i usluge za razmjenu datoteka zaposlenika treba posebno pažljivo pratiti, jer je u njima najvjerovatnije vladati zabuna. Nepoželjne funkcije, kao što je automatsko kreiranje linkova na osnovu određenih obrazaca imena, mogu se onemogućiti za ZIP i MOV ili u celosti.
preuzeto sa https://www.kaspersky.com/blog/
Stan Kaminsky
Economics. Eschatology. Infosec.