Google 五月初放出来一波新的顶级域名,包括 .dad, .phd, .prof, .esq, .foo, .zip, .mov 和 .nexus。
https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech/
不知道为什么今天白天我才刷到这条消息,赶紧发动群友去捡漏。实际上这条新闻引发讨论也不过是几小时前的事情。
我自己没想好抢注什么,查了一下 .mom 和 .dad 都有,干脆凑了个《老爸老妈浪漫史》
不知道哪位仁兄恶趣味买了 jonathandata1.phd,疯狂嘲弄知名江湖骗子,打不死的小强 Jonathan Scott,会直接 302 跳转到著名移动购物 app 公司 NSO 的官网:
关于这个老哥的事迹,之前在一篇流水账里整理过一小部分:
之后这人除了发假漏洞浪费大家时间之外,还直勾钓鱼,钓上了 BBC 记者,信以为真邀请他煞有介事地做了一期播客。遭到安全圈群嘲后,BBC 不得不编辑掉节目。
“本期节目由于报道上有偏差,已编辑”
现在这个江湖骗子玩得很大,活跃于摩洛哥的电视台,似乎在做收钱洗地的活。做的事我不太敢往下写了,好奇的自己上 Google 搜 Jonathan Scott Morocco。
对了,截止发文,quit.phd 还可以注册。
扯远了。
在这堆顶级域里有两个颇具争议,zip 和 mov。特别是 zip。
第一眼看上去,url.zip 你会认为是个压缩包还是个域名?浏览器打开一看,是一个已经在运行的短网址服务。确实很容易让人迷惑。
有人注册了这个网站来声讨这个 TLD(顶级域名)的设计不科学:
financialstatement.zip
理由很直观。
假如收到一封电子邮件,文中出现一个 somefile.zip。对于稍微会一点计算机,却没有更新知识的长辈而言,很难区分这到底是一个网址还是一个文件名。
有很多软件界面提供自动标记链接的功能,比如聊天对话、字处理办公软件等。这些软件大多用关键字或正则来识别潜在的 URL 并自动转换。
这下好了,在聊天里回复一句“请打开 attachment.zip”,客户端是不是还得加个人工智能来预判一下要不要转成链接?
看大家热火朝天的讨论,这个问题好像不是第一天出现了吧?
比较年轻的读者就算没用过 DOS 好歹也用过 Windows。全世界最常见的 .com 顶级域名,在 Windows 系统下是一个可执行文件的扩展名。
以前病毒满天飞的时候,就有不少往电子邮件里发附件,扩展名改成 com/scr/bat 来骗点击的。
来唤醒一下沉睡的记忆……
对不起,放错图了。
看到这个图标有没有感到后背一凉?
讲道理 .zip 双击之后立马执行代码的可能性不是没有,也总比 .com 低。
说到文件名这个话题,忍不住插播这个实战价值很厉害,原理又让人啼笑皆非的漏洞。
Archive Utility
Impact: An archive may be able to bypass Gatekeeper
Description: The issue was addressed with improved checks.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) of Red Canary and Csaba Fitzl (@theevilbit) of Offensive Security
这个 bug 很有可能受到了微软之前报告的 CVE-2022-40821 的启发:
https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/
这个漏洞根源是在 XNU,是一个很直白的条件语句。当文件名以 ._ 开头时,XNU(之前)不允许给其添加 xattr 属性。
/* "._" Attribute files cannot have attributes */
if (vp->v_type == VREG && strlen(basename) > 2 && basename[0] == '.' && basename[1] == '_') {
error = EPERM;
goto out;
}
https://github.com/apple/darwin-xnu/blob/2ff845c2e033bd0ff64b5b6aa6063a1f8f65aa32/bsd/vfs/vfs_xattr.c#L2490
而正好 macOS 里有一个很重要的安全功能 GateKeeper 依赖 xattr。
从浏览器或者一些第三方 app 中下载的文件会被标记为不信任,如果是可执行文件则会弹出提示。如果数字签名经过 Apple 认证则会询问用户是否继续运行,反之直接默认不提供运行的选项。当然想执行还是可以,就是风险自担了。
这样一来解压出来的文件就不带 com.apple.quarantine 属性,可以被用户运行。实际操作上还需要结合诸如符号连接的技巧,因为 . 开头的文件名默认在 Finder 里不显示。
不过这个洞可以做到下载附件点击即运行(尤其是 Safari 默认配置会自作多情,自动解压压缩包),对蓝军钓鱼实在太实用了。听说那个啥又要开始了……
参考资料
[1]. 8 new top-level domains for dads, grads and techies
https://www.blog.google/products/registry/8-new-top-level-domains-for-dads-grads-tech/
[2]. Finding and reporting a Gatekeeper bypass exploit with help from Mac Monitor
https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/
[3]. Gatekeeper’s Achilles heel: Unearthing a macOS vulnerability
https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/