En fejl tilladt at registrere phishing-domæner med Unicode-tegn

phishing-websted

For et par dage siden blev Opløselige forskere frigav deres nye opdagelse de en ny måde at registrere domæner med homoglyffer på der ligner andre domæner, men adskiller sig faktisk på grund af tilstedeværelsen af ​​tegn med en anden betydning.

Nævnte internationaliserede domæner (IDN) kan ved første øjekast ikke være anderledes fra kendte virksomheds- og servicedomæner, så du kan bruge dem til spoofing, herunder modtage de korrekte TLS-certifikater til dem.

En vellykket registrering af disse domæner ligner de korrekte domæner og velkendte og bruges til at udføre social engineering-angreb på organisationer.

Matt Hamilton, en forsker ved Soluble, identificerede, at det er muligt at registrere flere domæner generisk topniveau (gTLD) ved hjælp af Unicode Latin IPA-udvidelseskarakteren (såsom ɑ og ɩ) og kunne også registrere følgende domæner.

Den klassiske erstatning gennem et tilsyneladende lignende IDN-domæne er længe blevet blokeret i browsere og registratorer på grund af forbuddet mod at blande tegn fra forskellige alfabeter. For eksempel kan det falske domæne apple.com ("xn--pple-43d.com") ikke oprettes ved at erstatte det latinske "a" (U + 0061) med det kyrilliske "a" (U + 0430), da Mixing beherskelse af bogstaver fra forskellige alfabeter er ikke tilladt.

I 2017 blev der opdaget en måde at omgå en sådan beskyttelse på ved kun at bruge unicode-tegn i domænet uden at bruge det latinske alfabet (f.eks. ved hjælp af sprogtegn med tegn, der ligner latin).

Nu en anden metode til omgåelse af beskyttelse er fundet, baseret på det faktum, at registratorer blokerer blanding af latin og unicode, men hvis Unicode-tegnene, der er angivet i domænet, tilhører en gruppe latinske tegn, er sådan blanding tilladt, da tegnene tilhører det samme alfabet.

Problemet er, at Unicode Latin IPA-udvidelsen indeholder homoglyffer, der ligner stavning med andre latinske tegn: symbolet "ɑ" ligner "a", "ɡ" - "g", "ɩ" - "l".

Muligheden for at registrere domæner, hvor latin blandes med de angivne Unicode-tegn, blev identificeret med Verisign-registratoren (ingen andre registratorer blev bekræftet), og underdomæner blev oprettet i Amazon-, Google-, Wasabi- og DigitalOcean-tjenesterne.

Selvom efterforskningen kun blev udført på Verisign-styrede gTLD'er, er problemet det blev ikke taget i betragtning af giganterne i netværket Og på trods af de meddelelser, der blev sendt, tre måneder senere, i sidste øjeblik, blev det kun rettet mod Amazon og Verisign, da kun de især tog problemet meget alvorligt.

Hamilton holdt sin rapport privat indtil Verisign, det firma, der administrerer domæneregistreringer for fremtrædende topniveau domæneudvidelser (gTLD'er) som .com og .net, løste problemet.

Forskerne lancerede også en onlinetjeneste for at verificere deres domæner. på udkig efter mulige alternativer med homoglyffer, herunder verifikation af allerede registrerede domæner og TLS-certifikater med lignende navne.

Med hensyn til HTTPS-certifikater blev 300 domæner med homoglyffer verificeret gennem Certificate Transparency records, hvoraf 15 blev registreret i genereringen af ​​certifikater.

Rigtige Chrome- og Firefox-browsere viser lignende domæner i adresselinjen i notationen med præfikset "xn--", dog ses domænerne uden konvertering i linkene, som kan bruges til at indsætte ondsindede ressourcer eller links på sider, under dækket af at downloade dem fra legitime sider.

For eksempel blev spredning af en ondsindet version af jQuery-biblioteket registreret i et af domænerne identificeret med homoglyffer.

Under eksperimentet forskere brugte $ 400 og registrerede følgende domæner med Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si du vil vide flere detaljer om det om denne opdagelse kan du konsultere følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.