0x00 写在前面
本文探讨了一种利用.zip域名模拟文件压缩软件的网络钓鱼技术。通过使用HTML/CSS来伪装WinRAR和Windows 11资源管理器界面,并结合欺骗性功能,如收集凭据和文件扩展名切换,来增加钓鱼页面的合法性。建议组织封锁.zip和.mov域名以防止钓鱼攻击。
0x01 起因
上周,谷歌发布了几个新的顶级域名(TLD),包括.dad、.phd、.mov和.zip。安全社区的许多成员开始发布对于可以被误认为是文件扩展名的TLD的担忧,特别是.mov和.zip。本文的目的不是讨论我的观点,而是展示如何利用这种技术来增强网络钓鱼攻击。
通过这种网络钓鱼攻击,您可以在浏览器中模拟文件压缩软件(例如WinRAR),并使用.zip域名使其看起来更加合法。
0x02 模拟文件压缩软件
执行此攻击首先需要使用HTML/CSS来模拟文件压缩软件。我在GitHub上上传了两个示例供任何人使用。第一个示例模拟了WinRAR文件压缩程序,如下所示。
另一个示例模拟了Windows 11文件资源管理器窗口。
0x03 外观特点
WinRAR示例具有一些外观特点,可以增加钓鱼页面的合法性。例如,“扫描”图标会创建一个消息框,表示文件是安全的。
“提取到”按钮也可以用于上传文件。
0x04 使用案例
一旦在您的.zip域上设置了内容,您就有几种可能性来欺骗用户。下面提供两个示例用例。
0x05 案例一:凭据收集
第一个用例是通过在点击文件时打开一个新的网页来收集凭据。
0x06 案例二:文件扩展名切换
另一个有趣的用例是列出一个非可执行文件,当用户点击开始下载时,它会下载一个可执行文件。假设您有一个名为“invoice.pdf”的文件。当用户点击此文件时,它将开始下载一个.exe或任何其他文件。
0x07 投递
一些人在Twitter上指出,Windows文件资源管理器的搜索栏是一个很好的传递向量。如果用户搜索,mrd0x.zip,而机器上不存在该文件,它将自动在浏览器中打开。这对于这种情况非常完美,因为用户期望看到一个ZIP文件。
以下是发送给毫无戒心的目标的钓鱼电子邮件示例。
用户执行此操作后,将自动启动具有文件压缩模板的.zip域,看起来非常合法。
0x08 总结
新推出的顶级域名为攻击者提供了更多的钓鱼机会。强烈建议封锁.zip和.mov域名,因为它们已经被用于钓鱼,并且很可能会继续增加使用。
本文翻译整理自 https://mrd0x.com/file-archiver-in-the-browser/
0x09 关于我
李玮,网名里克,Ruby程序员,白帽子ing。2005年成立第一家公司锋线科技,开始创业。2016年1月,开始基于 F5 BIGIP 的相关研发工作,先后完成可编程防御平台项目(ThunderWeb),动态加固项目(JazzWeb),带领团队完成移动云Web全栈防护架构搭建,互联网资产测绘平台1.0,可编程防御平台(企业版)。设计并实施了移动云Web全栈防护共享IP/独享IP架构,设计近源清洗CDN架构。