利用.zip域名钓鱼攻击新型技术手法

admin

81618
文章

71
评论

2023年6月1日09:10:41评论29 views字数 1307阅读4分21秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

本文探讨了一种钓鱼技术：使用 .zip 域名，并在浏览器中模拟文件存档软件；原文地址：https://mrd0x.com/file-archiver-in-the-browser/

0x00 简介

上周谷歌发布了几个新的顶级域名（TLD），其中包括.dad、.phd、.mov和.zip。自发布以来，多个安全社区都开始讨论这些顶级域名所带来的影响，其主要原因是.mov和.zip会被误认为是文件扩展名。

当然，这篇文章的目的，并不是要表达我对这个话题的看法，相反，我将展示如何利用这些顶级域名进行网络钓鱼。

由于存在.zip顶级域名，那么在浏览器中，使用它模拟一个文件存档软件（如 WinRAR），效果会怎样，来看下图：

0x01 模拟文件存档软件

想要进行这类型的攻击，那么就需要先使用 HTML/CSS 模拟一个文件存档软件。这两个样本我已经上传至我的 GitHub，任何人都可以使用它。

https://github.com/mrd0x/file-archiver-in-the-browser

第一个是模拟 WinRAR 文件存档工具，如下图所示：

第二个是模拟 Windows 11 的文件资源管理器窗口。感谢 @_ghast1y 制作了这个：

0x02 外观特征

在上述的代码中，在 WinRAR 样本的外观上有一些特征，可以增加钓鱼页面的合法性。例如，“扫描”图标创建了一个消息框，说明文件是安全的。

“提取到”按钮也可以用来放置一个文件。

0x03 使用案例

当上述内容部署完成后（包括 .zip 域名设置），你可以通过以下方式来钓鱼。下面我提供两种案例：

3.1 收获凭证

第一个案例是在点击文件时，会打开一个新的网页来获取凭证。

3.2 文件扩展名切换

第二个案例则是，在列出一个不可执行的文件，当用户点击下载时，它下载的是一个可执行的文件。

比如，当你有一个 "Invoice.pdf" 文件，当用户点击这个文件时，它会下载一个 .exe 或者其他格式的文件。

0x04 其他

在 Twitter 上，有好些人提出一个观点，由于 Windows 关键管理器的搜索栏，在搜索不存在的文件时，比如搜索mrd0x.zip，会自动使用浏览器打开它。

对于这种情况来说，是完美的，因为用户会看到一个 zip 文件，但实际上是我们钓鱼的东西。

比如，邮件中的文案是这样的：

一旦用户执行了这个操作，那么它将自动启动具有文件存档模版的 .zip 域名，看起来相当 nice。

0x05 结论

新推出的顶级域名为攻击者提供了更多网络钓鱼的机会。强烈建议企业阻止.zip和.mov域名，因为它们已经被用于网络钓鱼，而且可能只会继续被越来越多地使用。

下面提供一种用于阻止（或隔离）来自 .zip TLD 的电子邮件的 Exchange 传输规则

图片来源：Rcoil

原文始发于微信公众号（潇湘信安）：利用.zip域名钓鱼攻击新型技术手法

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.

我的微信
微信扫一扫

我的微信公众号
微信扫一扫

利用.zip域名钓鱼攻击新型技术手法

3.1 收获凭证

3.2 文件扩展名切换

某SRC的一次0元账号劫持漏洞记录

通过复用TTY结构体实现提权利用

【已复现】Windows 内核权限提升漏洞(CVE-2023-35359)安全风险通告

什么是HG0930(数字临夏)?

管理员上线CS？我TM直接向日葵

springboot-env如何获取星号脱敏的密码明文？（学习时长：25min）

【漏洞复现】Juniper SRX EX 远程命令执行漏洞 CVE-2023-36845

纯前端页面也存在安全问题？

域用户枚举攻击

时空智友企业信息管理-文件上传漏洞复现

发表评论

在线咨询

微信