文件名还是顶级域，傻傻分不清

Google 五月初放出来一波新的顶级域名，包括 .dad, .phd, .prof, .esq, .foo, .zip, .mov 和 .nexus。

https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech/

不知道为什么今天白天我才刷到这条消息，赶紧发动群友去捡漏。实际上这条新闻引发讨论也不过是几小时前的事情。

我自己没想好抢注什么，查了一下 .mom 和 .dad 都有，干脆凑了个《老爸老妈浪漫史》

不知道哪位仁兄恶趣味买了 jonathandata1.phd，疯狂嘲弄知名江湖骗子，打不死的小强 Jonathan Scott，会直接 302 跳转到著名移动购物 app 公司 NSO 的官网：

关于这个老哥的事迹，之前在一篇流水账里整理过一小部分：

Pwn 媛没见着，Pwn 猿早就有了

之后这人除了发假漏洞浪费大家时间之外，还直勾钓鱼，钓上了 BBC 记者，信以为真邀请他煞有介事地做了一期播客。遭到安全圈群嘲后，BBC 不得不编辑掉节目。

“本期节目由于报道上有偏差，已编辑”

现在这个江湖骗子玩得很大，活跃于摩洛哥的电视台，似乎在做收钱洗地的活。做的事我不太敢往下写了，好奇的自己上 Google 搜 Jonathan Scott Morocco。

对了，截止发文，quit.phd 还可以注册。

扯远了。

在这堆顶级域里有两个颇具争议，zip 和 mov。特别是 zip。

第一眼看上去，url.zip 你会认为是个压缩包还是个域名？浏览器打开一看，是一个已经在运行的短网址服务。确实很容易让人迷惑。

有人注册了这个网站来声讨这个 TLD（顶级域名）的设计不科学：

financialstatement.zip

理由很直观。

假如收到一封电子邮件，文中出现一个 somefile.zip。对于稍微会一点计算机，却没有更新知识的长辈而言，很难区分这到底是一个网址还是一个文件名。

有很多软件界面提供自动标记链接的功能，比如聊天对话、字处理办公软件等。这些软件大多用关键字或正则来识别潜在的 URL 并自动转换。

这下好了，在聊天里回复一句“请打开 attachment.zip”，客户端是不是还得加个人工智能来预判一下要不要转成链接？

看大家热火朝天的讨论，这个问题好像不是第一天出现了吧？

比较年轻的读者就算没用过 DOS 好歹也用过 Windows。全世界最常见的 .com 顶级域名，在 Windows 系统下是一个可执行文件的扩展名。

以前病毒满天飞的时候，就有不少往电子邮件里发附件，扩展名改成 com/scr/bat 来骗点击的。

来唤醒一下沉睡的记忆……

对不起，放错图了。

看到这个图标有没有感到后背一凉？

讲道理 .zip 双击之后立马执行代码的可能性不是没有，也总比 .com 低。

说到文件名这个话题，忍不住插播这个实战价值很厉害，原理又让人啼笑皆非的漏洞。

Archive Utility

Impact: An archive may be able to bypass Gatekeeper

Description: The issue was addressed with improved checks.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) of Red Canary and Csaba Fitzl (@theevilbit) of Offensive Security

这个 bug 很有可能受到了微软之前报告的 CVE-2022-40821 的启发：

https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/

这个漏洞根源是在 XNU，是一个很直白的条件语句。当文件名以 ._ 开头时，XNU（之前）不允许给其添加 xattr 属性。

/* "._" Attribute files cannot have attributes */if (vp->v_type == VREG && strlen(basename) > 2 && basename[0] == '.' && basename[1] == '_') {  error = EPERM;  goto out;}

https://github.com/apple/darwin-xnu/blob/2ff845c2e033bd0ff64b5b6aa6063a1f8f65aa32/bsd/vfs/vfs_xattr.c#L2490

而正好 macOS 里有一个很重要的安全功能 GateKeeper 依赖 xattr。

从浏览器或者一些第三方 app 中下载的文件会被标记为不信任，如果是可执行文件则会弹出提示。如果数字签名经过 Apple 认证则会询问用户是否继续运行，反之直接默认不提供运行的选项。当然想执行还是可以，就是风险自担了。

这样一来解压出来的文件就不带 com.apple.quarantine 属性，可以被用户运行。实际操作上还需要结合诸如符号连接的技巧，因为 . 开头的文件名默认在 Finder 里不显示。

不过这个洞可以做到下载附件点击即运行（尤其是 Safari 默认配置会自作多情，自动解压压缩包），对蓝军钓鱼实在太实用了。听说那个啥又要开始了……

参考资料

[1]. 8 new top-level domains for dads, grads and techies
https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech/

[2]. Finding and reporting a Gatekeeper bypass exploit with help from Mac Monitor
https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/

[3]. Gatekeeper’s Achilles heel: Unearthing a macOS vulnerability
https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/

原文始发于微信公众号（非尝咸鱼贩）：文件名还是顶级域，傻傻分不清