För några dagar sedan Lösliga forskare släppte sin nya upptäckt de ett nytt sätt att registrera domäner med homoglyfer som ser ut som andra domäner, men skiljer sig faktiskt på grund av närvaron av karaktärer med en annan betydelse.
Nämnda internationaliserade domäner (IDN) kan vid första anblicken inte skilja sig åt från kända företags- och tjänstedomäner, så att du kan använda dem för spoofing, inklusive att ta emot rätt TLS-certifikat för dem.
Framgångsrik registrering av dessa domäner ser ut som rätt domäner och välkända, och används för att utföra socialtekniska attacker mot organisationer.
Matt Hamilton, forskare vid Soluble, identifierade att det är möjligt att registrera flera domäner generisk toppnivå (gTLD) med Unicode Latin IPA-tilläggstecken (som such och ɩ), och kunde också registrera följande domäner.
Den klassiska ersättningen via en till synes liknande IDN-domän har länge blockerats i webbläsare och registratorer på grund av förbudet att blanda tecken från olika alfabet. Till exempel kan den falska domänen apple.com ("xn--pple-43d.com") inte skapas genom att ersätta latinska "a" (U + 0061) med kyrilliska "a" (U + 0430), eftersom Mixing behärskning av bokstäver från olika alfabet är inte tillåtet.
År 2017 upptäcktes ett sätt att kringgå sådant skydd genom att endast använda unicode-tecken i domänen utan att använda det latinska alfabetet (till exempel med språktecken med tecken som liknar latin).
Nu en annan metod för kringgående av skydd har hittats, baserat på det faktum att registratorer blockerar blandning av Latin och Unicode, men om Unicode-tecknen som anges i domänen tillhör en grupp latinska tecken är sådan blandning tillåten, eftersom tecknen tillhör samma alfabet.
Problemet är att Unicode Latin IPA-tillägget innehåller homoglyfer som i stavning liknar andra latinska tecken: symbolen "ɑ" liknar "a", "ɡ" - "g", "ɩ" - "l".
Möjligheten att registrera domäner där latin blandas med de angivna Unicode-tecknen identifierades med Verisign-registraren (inga andra registratorer verifierades) och underdomäner skapades i tjänsterna Amazon, Google, Wasabi och DigitalOcean.
Även om utredningen endast genomfördes i Verisign-hanterade gTLD, är problemet Det togs inte i beaktande av jättarna i nätverket och trots de meddelanden som skickades, tre månader senare, i sista minuten, fixades det bara på Amazon och Verisign eftersom bara de särskilt tog problemet mycket allvarligt.
Hamilton höll sin rapport privat tills Verisign, företaget som hanterar domänregistreringar för framstående toppdomänstillägg (gTLD) som .com och .net, fixade problemet.
Forskarna lanserade också en onlinetjänst för att verifiera sina domäner. letar efter möjliga alternativ med homoglyfer, inklusive verifiering av redan registrerade domäner och TLS-certifikat med liknande namn.
När det gäller HTTPS-certifikat verifierades 300 domäner med homoglyfer genom Certificate Transparency-posterna, varav 15 registrerades i genereringen av certifikat.
Riktiga Chrome- och Firefox-webbläsare visar liknande domäner i adressfältet i notationen med prefixet 'xn--', men domänerna ses dock utan konvertering i länkarna, som kan användas för att infoga skadliga resurser eller länkar på sidor, under förevändning att ladda ner dem från legitima webbplatser.
Till exempel registrerades spridningen av en skadlig version av jQuery-biblioteket på en av domänerna som identifierats med homoglyfer.
Under experimentet forskare spenderade $ 400 och registrerade följande domäner med Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- roidndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si du vill veta mer information om det om denna upptäckt kan du rådfråga följande länk.