利用zip文件的攻击实战

0x00 写在前面

本文探讨了一种利用.zip域名模拟文件压缩软件的网络钓鱼技术。通过使用HTML/CSS来伪装WinRAR和Windows 11资源管理器界面，并结合欺骗性功能，如收集凭据和文件扩展名切换，来增加钓鱼页面的合法性。建议组织封锁.zip和.mov域名以防止钓鱼攻击。

0x01 起因

上周，谷歌发布了几个新的顶级域名（TLD），包括.dad、.phd、.mov和.zip。安全社区的许多成员开始发布对于可以被误认为是文件扩展名的TLD的担忧，特别是.mov和.zip。本文的目的不是讨论我的观点，而是展示如何利用这种技术来增强网络钓鱼攻击。

通过这种网络钓鱼攻击，您可以在浏览器中模拟文件压缩软件（例如WinRAR），并使用.zip域名使其看起来更加合法。

0x02 模拟文件压缩软件

执行此攻击首先需要使用HTML/CSS来模拟文件压缩软件。我在GitHub上上传了两个示例供任何人使用。第一个示例模拟了WinRAR文件压缩程序，如下所示。

另一个示例模拟了Windows 11文件资源管理器窗口。

0x03 外观特点

WinRAR示例具有一些外观特点，可以增加钓鱼页面的合法性。例如，“扫描”图标会创建一个消息框，表示文件是安全的。

“提取到”按钮也可以用于上传文件。

 

0x04 使用案例

一旦在您的.zip域上设置了内容，您就有几种可能性来欺骗用户。下面提供两个示例用例。

0x05 案例一：凭据收集

第一个用例是通过在点击文件时打开一个新的网页来收集凭据。

0x06 案例二：文件扩展名切换

另一个有趣的用例是列出一个非可执行文件，当用户点击开始下载时，它会下载一个可执行文件。假设您有一个名为“invoice.pdf”的文件。当用户点击此文件时，它将开始下载一个.exe或任何其他文件。

0x07 投递

一些人在Twitter上指出，Windows文件资源管理器的搜索栏是一个很好的传递向量。如果用户搜索,mrd0x.zip，而机器上不存在该文件，它将自动在浏览器中打开。这对于这种情况非常完美，因为用户期望看到一个ZIP文件。

以下是发送给毫无戒心的目标的钓鱼电子邮件示例。

用户执行此操作后，将自动启动具有文件压缩模板的.zip域，看起来非常合法。

0x08 总结

新推出的顶级域名为攻击者提供了更多的钓鱼机会。强烈建议封锁.zip和.mov域名，因为它们已经被用于钓鱼，并且很可能会继续增加使用。

本文翻译整理自 https://mrd0x.com/file-archiver-in-the-browser/

0x09 关于我

        李玮，网名里克，Ruby程序员，白帽子ing。2005年成立第一家公司锋线科技，开始创业。2016年1月，开始基于 F5 BIGIP 的相关研发工作，先后完成可编程防御平台项目（ThunderWeb），动态加固项目（JazzWeb），带领团队完成移动云Web全栈防护架构搭建，互联网资产测绘平台1.0，可编程防御平台（企业版）。设计并实施了移动云Web全栈防护共享IP/独享IP架构，设计近源清洗CDN架构。