Vor ein paar Tagen die Lösliche Forscher veröffentlichten ihre neue Entdeckung de eine neue Möglichkeit, Domains mit Homoglyphen zu registrieren Diese sehen aus wie andere Domänen, unterscheiden sich jedoch aufgrund des Vorhandenseins von Zeichen mit einer anderen Bedeutung.
Diese internationalisierten Domains (IDN) darf auf den ersten Blick nicht abweichen von bekannten Unternehmens- und Servicedomänen, sodass Sie sie zum Spoofing verwenden können, einschließlich des Erhalts der richtigen TLS-Zertifikate für sie.
Die erfolgreiche Registrierung dieser Domains sieht nach den richtigen Domains aus und bekannt und werden verwendet, um Social-Engineering-Angriffe auf Organisationen durchzuführen.
Matt Hamilton, ein Forscher bei Soluble, stellte fest, dass es möglich ist, mehrere Domänen zu registrieren Generisches Top-Level (gTLD) unter Verwendung des lateinischen Unicode-IPA-Erweiterungszeichens (z. B. ɑ und ɩ) und Registrierung der folgenden Domänen.
Die klassische Ersetzung durch eine anscheinend ähnliche IDN-Domain ist in Browsern und Registraren seit langem blockiert, da das Mischen von Zeichen aus verschiedenen Alphabeten verboten ist. Beispielsweise kann die gefälschte Domain apple.com ("xn--pple-43d.com") nicht durch Ersetzen des lateinischen "a" (U + 0061) durch das kyrillische "a" (U + 0430) seit dem Mischen erstellt werden Die Beherrschung von Buchstaben aus verschiedenen Alphabeten ist nicht gestattet.
2017 wurde ein Weg gefunden, um diesen Schutz zu umgehen indem Sie nur Unicode-Zeichen in der Domäne verwenden, ohne das lateinische Alphabet zu verwenden (z. B. Sprachzeichen mit lateinähnlichen Zeichen).
Jetzt Es wurde eine andere Methode zur Umgehung des Schutzes gefunden, basierend auf der Tatsache, dass Registrare die blockieren Mischung aus Latein und Unicode, Wenn jedoch die in der Domäne angegebenen Unicode-Zeichen zu einer Gruppe lateinischer Zeichen gehören, ist eine solche Mischung zulässig, da die Zeichen zum selben Alphabet gehören.
Das Problem ist, dass die Unicode Latin IPA-Erweiterung enthält Homoglyphen, die in der Schreibweise anderen lateinischen Zeichen ähnlich sind: Das Symbol "ɑ" ähnelt "a", "ɡ" - "g", "ɩ" - "l".
Die Möglichkeit, Domains zu registrieren, in denen Latein mit den angegebenen Unicode-Zeichen gemischt ist, wurde mit dem Verisign-Registrar identifiziert (es wurden keine anderen Registrare verifiziert), und Subdomains wurden in den Diensten Amazon, Google, Wasabi und DigitalOcean erstellt.
Obwohl die Untersuchung nur an von Verisign verwalteten gTLDs durchgeführt wurde, ist das Problem Dies wurde von den Giganten des Netzwerks nicht berücksichtigt Und trotz der Benachrichtigungen, die drei Monate später in letzter Minute gesendet wurden, wurde dies nur bei Amazon und Verisign behoben, da nur sie das Problem besonders ernst nahmen.
Hamilton hielt seinen Bericht privat Bis Verisign, das Unternehmen, das Domain-Registrierungen für bekannte Top-Level-Domain-Endungen (gTLDs) wie .com und .net verwaltet, das Problem behoben hat.
Die Forscher starteten auch einen Onlinedienst, um ihre Domains zu überprüfen. Suche nach möglichen Alternativen mit Homoglyphen, einschließlich der Überprüfung bereits registrierter Domains und TLS-Zertifikate mit ähnlichen Namen.
In Bezug auf HTTPS-Zertifikate wurden 300 Domänen mit Homoglyphen anhand der Zertifikats-Transparenz-Datensätze überprüft, von denen 15 bei der Erstellung von Zertifikaten registriert wurden.
Echte Chrome- und Firefox-Browser zeigen ähnliche Domänen in der Adressleiste in der Notation mit dem Präfix 'xn--' an. Die Domänen werden jedoch ohne Konvertierung in den Links angezeigt, mit denen schädliche Ressourcen oder Links in Seiten unter dem Feld eingefügt werden können als Download von legitimen Websites.
Beispielsweise wurde in einer der mit Homoglyphen identifizierten Domänen die Verbreitung einer schädlichen Version der jQuery-Bibliothek aufgezeichnet.
Während des Experiments Forscher gaben 400 US-Dollar aus und registrierten die folgenden Domains mit Verisign:
- amɑzon.com
- www.chɑse.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- stempowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- android.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
Si Sie möchten mehr Details darüber wissen Über diese Entdeckung können Sie sich beraten den folgenden Link.