文件名还是顶级域,傻傻分不清
2023-5-13 08:22:37 Author: 非尝咸鱼贩(查看原文) 阅读量:23 收藏

Google 五月初放出来一波新的顶级域名,包括 .dad, .phd, .prof, .esq, .foo, .zip, .mov 和 .nexus。

https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech/

不知道为什么今天白天我才刷这条消息,赶紧发动群友去捡漏。实际上这条新闻引发讨论也不过是几小时前的事情。

我自己没想好抢注什么,查了一下 .mom 和 .dad 都有,干脆凑了个《老爸老妈浪漫史》

不知道哪位仁兄恶趣味买了 jonathandata1.phd,疯狂嘲弄知名江湖骗子,打不死的小强 Jonathan Scott,会直接 302 跳转到著名移动购物 app 公司 NSO 的官网:

关于这个老哥的事迹,之前在一篇流水账里整理过一小部分:

Pwn 媛没见着,Pwn 猿早就有了

之后这人除了发假漏洞浪费大家时间之外,还直勾钓鱼,钓上了 BBC 记者,信以为真邀请他煞有介事地做了一期播客。遭到安全圈群嘲后,BBC 不得不编辑掉节目。

“本期节目由于报道上有偏差,已编辑”

现在这个江湖骗子玩得很大,活跃于摩洛哥的电视台,似乎在做收钱洗地的活。做的事我不太敢往下写了,好奇的自己上 Google 搜 Jonathan Scott Morocco。

对了,截止发文,quit.phd 还可以注册。


扯远了。

在这堆顶级域里有两个颇具争议,zip 和 mov。特别是 zip。

第一眼看上去,url.zip 你会认为是个压缩包还是个域名?浏览器打开一看,是一个已经在运行的短网址服务。确实很容易让人迷惑。

有人注册了这个网站来声讨这个 TLD(顶级域名)的设计不科学:

financialstatement.zip


理由很直观。

假如收到一封电子邮件,文中出现一个 somefile.zip。对于稍微会一点计算机,却没有更新知识的长辈而言,很难区分这到底是一个网址还是一个文件名。

有很多软件界面供自动标记链接的功能,比如聊天对话、字处理办公软件等。这些软件大多用关键字或正则来识别潜在的 URL 并自动转换。

这下好了,在聊天里回复一句“请打开 attachment.zip”,客户端是不是还得加个人工智能来预判一下要不要转成链接?


看大家热火朝天的讨论,这个问题好像不是第一天出现了吧?

较年轻的读者就算没用过 DOS 好歹也用过 Windows。全世界最常见的 .com 顶级域名,在 Windows 系统下是一个可执行文件的扩展名。

以前病毒满天飞的时候,就有不少往电子邮件里发附件,扩展名改成 com/scr/bat 来骗点击的。

来唤醒一下沉睡的记忆……

对不起,放错图了。

看到这个图标有没有感到后背一凉?

讲道理 .zip 双击之后立马执行代码的可能性不是没有,也总比 .com 低。


说到文件名这个话题,忍不住插播这个实战价值很厉害,原理又让人啼笑皆非的漏洞。

Archive Utility

Impact: An archive may be able to bypass Gatekeeper

Description: The issue was addressed with improved checks.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) of Red Canary and Csaba Fitzl (@theevilbit) of Offensive Security

这个 bug 很有可能受到了微软之前报告的 CVE-2022-40821 的启发:

https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/

这个漏洞根源是在 XNU,是一个很直白的条件语句。当文件名以 ._ 开头时,XNU(之前)不允许给其添加 xattr 属性。

/* "._" Attribute files cannot have attributes */if (vp->v_type == VREG && strlen(basename) > 2 && basename[0] == '.' && basename[1] == '_') {  error = EPERM;  goto out;}

https://github.com/apple/darwin-xnu/blob/2ff845c2e033bd0ff64b5b6aa6063a1f8f65aa32/bsd/vfs/vfs_xattr.c#L2490

而正好 macOS 里有一个很重要的安全功能 GateKeeper 依赖 xattr。

从浏览器或者一些第三方 app 中下载的文件会被标记为不信任,如果是可执行文件则会弹出提示。如果数字签名经过 Apple 认证则会询问用户是否继续运行,反之直接默认不提供运行的选项。当然想执行还是可以,就是风险自担了。

这样一来解压出来的文件就不带 com.apple.quarantine 属性,可以被用户运行。实际操作上还需要结合诸如符号连接的技巧,因为 . 开头的文件名默认在 Finder 里不显示。

不过这个洞可以做到下载附件点击即运行(尤其是 Safari 默认配置会自作多情,自动解压压缩包),对蓝军钓鱼实在太实用了。听说那个啥又要开始了……

参考资料

[1]. 8 new top-level domains for dads, grads and techies
https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech/

[2]. Finding and reporting a Gatekeeper bypass exploit with help from Mac Monitor
https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/

[3]. Gatekeeper’s Achilles heel: Unearthing a macOS vulnerability
https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NDE3MTkzNQ==&mid=2247484763&idx=1&sn=2c04ee4be8874674e07defdacffed3f8&chksm=c329fbabf45e72bdb2fc53f3d5ff82051e8cc0d7d612e89c38fe42fb22b4620247bb01b693e5#rd
如有侵权请联系:admin#unsafe.sh