利用.zip域名釣魚攻擊新型技術手法

本文探討了一種釣魚技術：使用 .zip 域名，并在瀏覽器中模擬文件存檔軟件；

0x00 簡介

上周谷歌發布了幾個新的頂級域名（TLD），其中包括.dad、.phd、.mov和.zip。自發布以來，多個安全社區都開始討論這些頂級域名所帶來的影響，其主要原因是.mov和.zip會被誤認為是文件擴展名。

當然，這篇文章的目的，并不是要表達我對這個話題的看法，相反，我將展示如何利用這些頂級域名進行網絡釣魚。

由于存在.zip頂級域名，那么在瀏覽器中，使用它模擬一個文件存檔軟件（如 WinRAR），效果會怎樣，來看下圖：

0x01 模擬文件存檔軟件

想要進行這類型的攻擊，那么就需要先使用 HTML/CSS 模擬一個文件存檔軟件。這兩個樣本我已經上傳至我的 GitHub，任何人都可以使用它。

https://github.com/mrd0x/file-archiver-in-the-browser

第一個是模擬 WinRAR 文件存檔工具，如下圖所示：

第二個是模擬 Windows 11 的文件資源管理器窗口。感謝 @_ghast1y 制作了這個：

0x02 外觀特征

在上述的代碼中，在 WinRAR 樣本的外觀上有一些特征，可以增加釣魚頁面的合法性。例如，“掃描”圖標創建了一個消息框，說明文件是安全的。

“提取到”按鈕也可以用來放置一個文件。

0x03 使用案例

當上述內容部署完成后（包括 .zip 域名設置），你可以通過以下方式來釣魚。下面我提供兩種案例：

第一個案例是在點擊文件時，會打開一個新的網頁來獲取憑證。

第二個案例則是，在列出一個不可執行的文件，當用戶點擊下載時，它下載的是一個可執行的文件。

比如，當你有一個 "Invoice.pdf" 文件，當用戶點擊這個文件時，它會下載一個 .exe 或者其他格式的文件。

0x04 其他

在 Twitter 上，有好些人提出一個觀點，由于 Windows 關鍵管理器的搜索欄，在搜索不存在的文件時，比如搜索mrd0x.zip，會自動使用瀏覽器打開它。

對于這種情況來說，是完美的，因為用戶會看到一個 zip 文件，但實際上是我們釣魚的東西。

比如，郵件中的文案是這樣的：

一旦用戶執行了這個操作，那么它將自動啟動具有文件存檔模版的 .zip 域名，看起來相當 nice。

0x05 結論

新推出的頂級域名為攻擊者提供了更多網絡釣魚的機會。強烈建議企業阻止.zip和.mov域名，因為它們已經被用于網絡釣魚，而且可能只會繼續被越來越多地使用。

下面提供一種用于阻止（或隔離）來自 .zip TLD 的電子郵件的 Exchange 傳輸規則