​同形0 day漏洞被用于注册恶意域名 | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

​同形0 day漏洞被用于注册恶意域名

Sunbet_新闻事件 申博 37次浏览 已收录

Soluble研究人员发现一个影响Verisign和谷歌、亚马逊等SaaS服务的0day漏洞,攻击者利用该漏洞可以注册.com和.net的同形域名(就是用长得很像的字母),用于钓鱼、社会工程攻击等。

研究人员测试发现任何人都可以在gTLDs (.com, .net)上使用同形字符在SaaS服务上注册同形域名和子域名。截至目前,有些厂商还没有响应该漏洞。只有Verisign和Amazon (S3)修复了该问题,其中Verisign修改了gTLD注册规则来拦截用同形字符注册域名。

漏洞发现

研究人员在尝试用拉丁同形字符注册域名时发现了该漏洞。同形域名常被用于恶意目的,滥用同形域名注册可以引发与IDN同形攻击类似的攻击活动,引发一系列风险。

同形攻击是指攻击者注册了与现有知名企业的域名非常相似的新域名,而且会分配有效的证书。主要用于垃圾邮件攻击活动,攻击者依赖同形域名重定向受害者到传播恶意软件或窃取用户凭证的站点上。

同形攻击并不少见,web浏览器会在地址栏中用Punycode替换Unicode字符。Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用于DNS系统的编码。Punycode可以防止IDN欺骗。Verisign和相关的服务提供商已经建立了规则来拦截同形域名的注册,但是Unicode Latin IPA Extension字符没有加入到拦截的范围内。

下面是一些攻击者可以用来注册同形域名的拉丁字符和Unicode Latin IPA Extension字符:

​同形0 day漏洞被用于注册恶意域名

• “ɡ” (Voiced Velar Stop) 是最让人迷惑的,几乎分辨不出来。

• “ɑ” (Latin Alpha)如果不和“a”同时出现的话,也看起来非常逼真。

道高一尺魔高一丈,针对工业设备的勒索软件再次升级

至少从2017年开始,对影响工业生产和关键基础设施组织的勒索软件事件的公开披露大幅增加。知名的勒索软件家族,有WannaCry、LockerGoga、MegaCortex、Ryuk、Maze,以及现在的SNAKEHOSE(也称为Snake / Ekans),已经让工业生产行业的受害者付出了数百万美元的赎金和各种成本,这些攻击还对使各组织能够生产和提供货物和服务的物理过程造成重大中断和延误。 最近,随着金融犯罪分子的策略已从机会主义演变为勒索软件攻击策略,研究人员发现攻击者在攻击时的内部侦察的增加,使他们能够瞄准对生产链至关重要的系统。因此,勒索软件感染无论是影响企业网络中的关键资产,还是影响OT网络中的计算机,往往会导致同样的结果,这些攻击最终都会造成产品或服务供应不足或供应延迟。 要真正理解工业部门勒索软件发送操作的

• “ɩ” (Latin Iota)。在一些系统和字体中,该字母看起来和小写L非常相似。

​同形0 day漏洞被用于注册恶意域名

从2017年开始被利用

在注册了与真实域名无法区分的同形域名和子域名吼,攻击者可以发起一系列的攻击活动,包括但不限于针对性钓鱼、社会工程攻击等。

研究人员称从2017年开始,有超过12个同形域名有活动的HTTPS证书,其中包括一些著名的金融互联网商店、科技和财富100网站。而且有第三方机构使用同形技术为300个测试域名中的15个注册和生成了HTTPS证书。还有一个同形域名提供非官方的、恶意的jQuery库。

滥用该漏洞注册的同形域名主要用于针对政府、企业的社会工程攻击,而非常见的钓鱼攻击。在研究过程中研究人员用Unicode Latin IPA Extension同形字符注册了以下同形域名来证明攻击的潜在危险性:

amɑzon.com
Chɑse.com
Sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
Washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com

漏洞修复

Verisign是.com, .net, .edu和其他顶级域名的授权注册机构,已经修复了该漏洞,对使用同形字符来注册域名做出了一些限制,更新了新注册域名中允许使用的字符库以更改域名注册规则。ICANN也计划就该问题进行分析和提出解决方案。

注:ICANN(The Internet Corporation for Assigned Names and Numbers)互联网名称与数字地址分配机构是一个非营利性的国际组织。

此外,研究人员还发布了一个检测工具,参见:http://homoglyphs.storage.googleapis.com/index.html

更多技术细节参见完整报告:https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day

本文翻译自:https://www.bleepingcomputer.com/news/security/zero-day-bug-allowed-attackers-to-register-malicious-domains/:


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明​同形0 day漏洞被用于注册恶意域名
喜欢 (0)
[]
分享 (0)