Осторожно, домены .zip и .mov!

Имена сайтов в зонах zip и mov неотличимы от имен файлов. Как это повлияет на IT-системы и что будут делать злоумышленники?

Риски безопасности из-за появления доменов .zip и .mov

Мы привыкли, что имена сайтов в Интернете заканчиваются на .com, .org, .net и так далее. В последние годы встречаются также домены с окончанием .aero, .club и подобными. Они называются доменами первого уровня (top level domains, TLD), и их обширный список периодически пополняется. В мае Google анонсировала доступность 8 новых доменов, среди которых есть два, неотличимые от популярных расширений файлов: .zip и .mov. Это решение вызвало критику со стороны IT- и ИБ-специалистов, поскольку такое нововведение гарантирует нам путаницу, ошибки в обработке ссылок и новые схемы фишинга.

Как перепутать .zip и .zip

Файлы с расширениями zip и mov известны уже несколько десятилетий: zip — это стандарт де-факто для архивов, а mov является одним из самых популярных контейнеров для видео. Домены mov и zip по задумке Google предназначены для «технарей» (techies), но приобрести их, по сути, может кто угодно для любых целей.

Таким образом, теперь, встретив упоминание, например, update.zip, только по контексту можно понять, идет ли речь о сайте или о файле. Но контекст понимают люди, компьютеры этого обычно не могут. Поэтому такое упоминание может вызвать проблемы в самых разных приложениях, например в Twitter:

Твит с упоминанием файлов .zip и .mov.

Понятно, что в этом твите речь идет о файлах, но Twitter превращает их имена в ссылки на веб-сайты. Если зарегистрировать домены test.zip и movie.mov, то кликнувших по ссылке на файл может ждать, например, тематический фишинг.

В этом посте подробно описано, как использование домена .zip в сочетании с заменой слэша (/) в ссылке на похожий Unicode-символ позволяет создавать чрезвычайно убедительные фишинговые URL, трудноотличимые от легитимных ссылок на GitHub:

Найдите девять отличий

Исследователь безопасности mr.d0x нашел еще один вариант эксплуатации домена .zip для фишинга. Описанная им техника получила название архиватор-в-браузере и предполагает использование сайтов, имитирующих интерфейс программ для работы с архивами. Пользователь, считая, что открывает файл .zip, попадает на одноименный сайт и вместо списка файлов видит, по сути, ссылки. За ними может скрываться что угодно — линк на скачивание исполняемого зловреда, или запрос на ввод рабочих учетных данных для доступа к документу. Интересен также и описанный тем же автором механизм доставки вредоносного линка при помощи Windows File Explorer. Если атакующему удастся убедить жертву запустить поиск несуществующего файла .zip, то File Explorer автоматически откроет сайт с имитацией архиватора, размещенный на одноименном домене.

Угроза фишинга уже сейчас не теоретическая. Найдены первые фишинговые сайты в зоне .zip, эксплуатирующие тематику обновлений Microsoft Office.

Надо отметить, что путаница такого рода не нова. Один из старейших доменов, .com, по совместительству является легитимным расширением исполнимых файлов в MS-DOS (и в старых версиях Windows), а домен острова Святой Елены (.sh) совпадает с расширением Unix-скриптов. Тем не менее именно популярные среди нетехнической аудитории zip и mov могут создать дополнительные хлопоты и пользователям, и системным администраторам. Даже если забыть на минутку о фишинге, ситуации, наподобие описанной выше с Twitter, могут возникнуть в десятках приложений, которые автоматически обрабатывают текст и подсвечивают ссылки. Поэтому в любой момент текст, содержащий имя файла, может превратиться в текст, содержащий гиперссылку на внешний сайт. И даже если это не является частью фишинговой схемы, то как минимум приведет к неудобствам и вызовет недоумение пользователей. В качестве наглядной демонстрации можете посетить сайт financialstatement.zip.

Советы пользователям

Появление доменов zip и mov не породит принципиальных изменений в экосистеме фишинга и онлайн-мошенничества. Это еще один возможный трюк в уже обширном арсенале злоумышленников. Поэтому наши традиционные советы по борьбе с фишингом остаются неизменны: внимательно изучайте любые ссылки, прежде чем кликать по ним; опасайтесь вложений и URL из нежданных писем, не кликайте на подозрительные линки, обязательно используйте полноценную защиту на всех своих устройствах (включая смартфоны и компьютеры Apple).

Советы администраторам

Часть пользователей наверняка проигнорирует советы, данные выше, поэтому в зависимости от специфики организации, возможно, потребуется настроить отдельные правила безопасности для доменов в зонах zip и mov. Например — более строгая проверка ссылок в этих зонах или даже полная блокировка переходов на эти домены с компьютеров организации, благо практическое применение таких TLD скорее всего будет ограниченным. Прецеденты такого рода уже случались — в 2018–2019 годах из-за вала вредоносных ссылок был многими заблокирован и постепенно «умер» домен .bit.

А еще появление доменов zip и mov — прекрасная оказия провести (или повторить!)ИБ-тренинг сотрудников, делая акцент на распознавании фишинга.

IT-администраторам рекомендуется протестировать основные бизнес-системы, если в них предусмотрена обработка ссылок, чтобы проверить, как отрабатываются сайты зоны .zip и не возникает ли нежелательных эффектов при работе с zip-файлами. На особом контроле должны быть почтовые системы, корпоративные мессенджеры и средства обмена файлами между сотрудниками — в них такого рода путаница наиболее вероятна. Нежелательную функциональность, такую как автоматическое создание ссылок из имен определенного шаблона, иногда можно отключить, или можно внести .ZIP и .MOV в список исключений.

Советы