網(wǎng)絡(luò)安全研究人員和IT管理員對谷歌新的ZIP和MOV互聯(lián)網(wǎng)域名提出了擔(dān)憂，警告說攻擊者可能利用它們進(jìn)行網(wǎng)絡(luò)釣魚攻擊和惡意軟件傳輸。

本月早些時候，谷歌推出了8個新的高級域名（TLD），可以購買用于托管網(wǎng)站或電子郵件地址。

這些新域名包括.dad、.esq、.prof、.phd、.nexus、.foo，以及我們本篇提到的.zip和.mov域名。

雖然ZIP和MOV高級域名自2014年以來一直可用，但直到本月才開始普遍可用，允許任何人購買域名，如bleepingcomputer.zip，用于建立網(wǎng)站。

然而，這些域名被認(rèn)為是有風(fēng)險(xiǎn)的，因?yàn)檫@些域名也是論壇帖子、信息和在線討論中經(jīng)常分享的文件擴(kuò)展名。

擔(dān)憂

網(wǎng)上常見的兩種文件類型分別是ZIP壓縮文件和MPEG 4視頻，其文件名以.zip （壓縮文件）或.mov（視頻文件）結(jié)尾。

因此，人們發(fā)布含有以.zip和.mov為擴(kuò)展名的文件名是非常常見的。

然而，現(xiàn)在它們變成了域名，一些消息平臺和社交媒體網(wǎng)站會自動將帶有.zip和.mov擴(kuò)展名的文件名轉(zhuǎn)換成URL。

例如，在Twitter上，如果你向某人發(fā)送zip文件和訪問MOV文件的說明，這些無害的文件名會被自動轉(zhuǎn)換成URL，如下圖所示。

當(dāng)人們看到指示中的URL時，他們通常認(rèn)為該URL可以用來下載相關(guān)文件，并可能點(diǎn)擊該鏈接。例如，在BleepingComputer的文章、教程和討論區(qū)中，我們通常是將文件名與下載鏈接起來，提供說明。

但是，如果攻擊者擁有一個與鏈接文件名相同的.zip域名，那么人們可能會錯誤地訪問該網(wǎng)站，并上當(dāng)受騙或下載惡意軟件。

雖然攻擊者不太可能為了幾個受害者而注冊成千上萬的域名，但只需要一個企業(yè)員工錯誤地安裝惡意軟件，整個網(wǎng)絡(luò)都會受到影響。

濫用這些域名并不是理論上的，網(wǎng)絡(luò)情報(bào)公司Silent Push Labs已經(jīng)在microsoft-office[.zip上發(fā)現(xiàn)了一個類似釣魚的頁面，試圖竊取微軟賬戶的憑證。

網(wǎng)絡(luò)安全研究人員也開始玩起了域名，Bobby Rauch發(fā)表了關(guān)于利用Unicode字符和URL中的userinfo分隔符（@）開發(fā)的釣魚鏈接的研究。

Rauch的研究表明，攻擊者先制作釣魚網(wǎng)址，該網(wǎng)址看起來像GitHub上的合法文件下載網(wǎng)址，但實(shí)際上點(diǎn)擊后會把你跳轉(zhuǎn)到v1.27.1[.]zip的網(wǎng)站，如下圖所示。

矛盾的觀點(diǎn)

這些發(fā)現(xiàn)在開發(fā)者、安全研究人員和IT管理員中引發(fā)了一場爭論，一些人認(rèn)為這種擔(dān)心是沒有必要的，另一些人則認(rèn)為ZIP和MOV域名給已經(jīng)有風(fēng)險(xiǎn)的網(wǎng)絡(luò)環(huán)境增加了不必要的風(fēng)險(xiǎn)。

人們已經(jīng)開始注冊與常見的ZIP壓縮文件相關(guān)的.zip域名，如update.zip、financialstatement.zip、setup.zip、attachment.zip、officeupdate.zip和backup.zip，以顯示有關(guān)ZIP域名風(fēng)險(xiǎn)的信息。

開源開發(fā)者M(jìn)att Holt還要求將ZIP域名從Mozilla的公共后綴列表中刪除。

然而，PSL社區(qū)很快解釋說，雖然這些域名可能有一點(diǎn)風(fēng)險(xiǎn)，但它們?nèi)匀挥行В粦?yīng)該從PSL中刪除，因?yàn)檫@將影響合法網(wǎng)站的運(yùn)作。

與此同時，其他安全研究人員和開發(fā)人員，如微軟Edge開發(fā)人員Eric，也表示他們認(rèn)為關(guān)于這些新域名的擔(dān)心是過度的。

當(dāng)BleepingComputer就這些問題聯(lián)系谷歌時，他們表示，文件和域名之間的混淆風(fēng)險(xiǎn)是長期存在的，瀏覽器的保護(hù)措施已經(jīng)部署，以保護(hù)用戶免受干擾。

域名和文件名之間的混淆風(fēng)險(xiǎn)并不是一個新問題。 例如，3M公司的Command產(chǎn)品使用域名command.com，這也是MS DOS和早期版本的Windows上的一個重要程序。 應(yīng)用程序?qū)Υ擞斜Ｗo(hù)措施（如谷歌安全瀏覽），這些保護(hù)措施對.zip等域名也將適用。

同時，新的命名空間為命名提供了更多機(jī)會，如community.zip和url.zip。 谷歌非常重視網(wǎng)絡(luò)釣魚和惡意軟件，谷歌注冊處有一套機(jī)制來禁止或刪除我們所有的惡意域名，包括.zip。 我們將繼續(xù)監(jiān)測.zip和其他域名的使用情況，如果出現(xiàn)新的威脅，我們將采取適當(dāng)?shù)男袆觼肀Ｗo(hù)用戶。" -——谷歌。

如何避免

證所周知，點(diǎn)擊別人的鏈接或從你不信任的網(wǎng)站下載文件永遠(yuǎn)是不安全的。

像其他任何鏈接一樣，如果你在信息中看到一個.zip或.mov鏈接，在點(diǎn)擊它之前先研究一下。如果你仍然不確定該鏈接是否安全，請不要點(diǎn)擊它。通過遵循這些簡單的步驟，將新域名的影響降至最小。

然而，隨著越來越多的應(yīng)用程序自動將ZIP和MOV文件名變成鏈接，因此在上網(wǎng)時要時刻保持警惕。

參考鏈接：https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/