Несколько дней назад Исследователи растворимых веществ опубликовали свое новое открытие de новый способ регистрации доменов с гомоглифами которые выглядят как другие домены, но на самом деле отличаются из-за наличия символов с другим значением.
Указанные интернационализированные домены (ИДН) может на первый взгляд не отличаться известных доменов компаний и служб, что позволяет использовать их для подделки, включая получение для них правильных сертификатов TLS.
Успешная регистрация этих доменов выглядит как правильные домены и хорошо известны, и используются для проведения атак социальной инженерии на организации.
Мэтт Гамильтон, исследователь из Soluble, обнаружил, что можно зарегистрировать несколько доменов. общий верхний уровень (gTLD) с использованием символа расширения Unicode Latin IPA (например, ɑ и ɩ), а также смог зарегистрировать следующие домены.
Классическая подмена через явно похожий домен IDN долгое время блокировалась браузерами и регистраторами из-за запрета смешивания символов из разных алфавитов. Например, поддельный домен apple.com («xn--pple-43d.com») не может быть создан путем замены латинского «a» (U + 0061) на кириллический «a» (U + 0430), т.к. владение буквами разных алфавитов не допускается.
В 2017 году был обнаружен способ обойти такую защиту. используя только символы Unicode в домене, без использования латинского алфавита (например, используя языковые символы с символами, подобными латинскому).
Сейчас найден еще один способ обхода защиты, исходя из того, что регистраторы блокируют смесь латиницы и Unicode, но если символы Unicode, указанные в домене, принадлежат к группе латинских символов, такое смешение разрешено, поскольку символы принадлежат одному алфавиту.
Проблема в том, что расширение Unicode Latin IPA содержит гомоглифы, схожие по написанию с другими латинскими буквами: символ «ɑ» напоминает «a», «ɡ» - «g», «ɩ» - «l».
Возможность регистрации доменов, где латынь смешана с указанными символами Unicode, была идентифицирована регистратором Verisign (другие регистраторы не проверялись), а субдомены были созданы в сервисах Amazon, Google, Wasabi и DigitalOcean.
Хотя расследование проводилось только в gTLD, управляемых Verisign, проблема Не учли гиганты сети и, несмотря на отправленные уведомления, три месяца спустя, в последнюю минуту, это было исправлено только в Amazon и Verisign, поскольку только они, в частности, очень серьезно относились к проблеме.
Гамильтон держал свой отчет в секрете пока Verisign, компания, которая управляет регистрацией доменов для известных расширений доменов верхнего уровня (gTLD), таких как .com и .net, не устранила проблему.
Исследователи также запустили онлайн-сервис для проверки своих доменов. поиск возможных альтернатив с гомоглифами, включая проверку уже зарегистрированных доменов и сертификатов TLS с похожими именами.
Что касается сертификатов HTTPS, 300 доменов с гомоглифами были проверены с помощью записей о прозрачности сертификатов, из которых 15 были зарегистрированы при генерации сертификатов.
Настоящие браузеры Chrome и Firefox показывают похожие домены в адресной строке в обозначении с префиксом «xn--», однако домены видны без преобразования в ссылках, которые могут быть использованы для вставки вредоносных ресурсов или ссылок на страницы под предлог для их скачивания с легальных сайтов.
Например, в одном из доменов, обозначенных гомоглифами, зафиксировано распространение вредоносной версии библиотеки jQuery.
Во время эксперимента исследователи потратили 400 долларов и зарегистрировали следующие домены с Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverge.com
- Washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- googleapis.com
- huffingtonpost.com
- instagram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si вы хотите узнать больше об этом об этом открытии вы можете проконсультироваться по следующей ссылке.