[資安筆記] 小心這個.mov.zip |熟悉的新資安風險?
閱讀時間約 6 分鐘
文前碎碎唸
相信在座的朋友們,大家對於『.zip』以及『.mov』這兩個結尾都不陌生吧?
這兩個結尾,都是我們在使用電腦的時候十分常見的副檔名,其中『.zip』應該不大需要解釋,是在檔案傳送、打包的時候,經常使用的壓縮檔代表。
而『.mov』則是在 Mac 或 IOS 等 Apple 生態系的系統上 Quicktime 使用的一種影片格式。
除了在電腦上使用之外,多虧了他們壓縮的便利性,讓這兩種格式在網路世界也十分的普遍,因此也常可以看到人們以這些格式來做檔案的分享。
不過且慢,在你看到他們後,千萬不要手癢點下去了。
我的老估狗啊
其實關於下載來路不明壓縮檔後就中毒的事件並不少,對於資安稍有注重的朋友們,應該也會在下載之前再三確認,以避免自己中標。
不過就在不久前 Google 宣布開始提供
『.dad、.phd、.prof、.esq、.foo、.nexus、.zip、.mov』
等 8 種新的網域名的申請,而其中正好包括了前面所提到的
『.mov』及『.zip』
兩個極為常見的結尾名稱。
也就是說,如果有人以這兩個網域來註冊的話,我們確實有機會看到這些常見檔名,在未來的某一天,會直接變成可以在瀏覽器中對應網站,或是實際檔案的網址連結。
這對於一般使用者來說,或許不是一件會讓人多注意的事,畢竟有多少人真的會去注意瀏覽器網址列的內容,也不大會有人直接把檔名貼到網址列中吧?
但對於有心的駭客來說,可能就不是那麼一回事了,甚至可以說這是天上掉下來的大好禮物。
認知與信任災難
不過,這些網域究竟會帶來什麼樣的風險呢?
首先,在某些軟體或是網頁服務中,當使用者輸入了一串長得像網址的文字時,編輯器會自動的將這串文字轉換成可點擊的超連結,讓使用者在點擊時可以直接進到對應的網站中。
然而,以大部分的使用者對於這兩個結尾的認知,大多數使用者都會直接將他們視為普通的電腦檔案,因此在看到網頁或是郵件中,若是看到像是
- download.zip
- sharedphoto.zip
這種文字,並帶有超連結的話,通常也會自然地認定為檔案下載的捷徑。
當然如果那個網址還沒被使用的話,那自然也不會有真正的影響,但萬一有人刻意將一些常見名稱註冊下來,並直接連結到一個包含病毒的對應壓縮檔下載的話,那使用者很可能就因此中鏢了。
尤其是如果這個「網址」是來自於一個信任的對象,那不論對方是否真的有意要陷害,接收者也都可能因此放下戒心而點下連結。
相對的,如果是以發送者的角度來看的話,可能今天只是單純想要提到附件中有某個要給對方的檔案,或單純只是在發文中提到某個個定名稱的話,就有可能意外觸發連結,進而讓接受方意外陷入風險中。
另外,部分瀏覽器或防毒軟體具有回報連結的功能,雖然可以快速的更新或封鎖相關的惡意網址,但萬一這些網址,就這麼剛好的跟發送時提到的名稱相同,那麼接收者也可能會因為點進去後所跳出的惡意網址警告,進而失去對發送方的信任。
方便的面具
看到這裡,或許有人會覺得,既然這麼危險,那我就不去點任何 XXX.zip 的連結不就好了嗎,但駭客們也不會是省油的燈,明處無法戰鬥的話,那麼就來點陰的,既然這樣連結上不了當,那就套上一層皮來騙吧。
這裡我們先來看看下面這個網址
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
直接解讀的話,就是從前面的路徑中去下載 v1.27.1.zip 這個檔案,而如果真的將網址貼到瀏覽器中的話,也確實是如此,很直接明瞭對吧?
那麼,我們再來看看下一個
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
看出差別了嗎?
如果你將這個網址貼到瀏覽器中的話,就會發現網頁自動被帶到 v1.27.1.zip 這個網址去,究竟是怎麼回事呢?
這種寫法,其實是過去將登入資料傳給「@」之後的網址來瀏覽受保護資料的常見方法,一般是以
「http://user:pass@trget.com」
的格式來輸入。
如果我們以這種格式來解析第二段網址的話,其實就是將前面那串都當成登入的資料,所以最後使用者實際連到的其實是「@」後面的那個路徑。
另外如果仔細觀察兩個網址,會發現後者為了避免瀏覽器對前面那串偽裝網址的正確解析,刻意的將網址中分隔的「/」符號,置換成看起來相似的「∕」以混淆視聽。
這時若駭客故意將這個網址指向實際檔案的話,就可以輕易在不讓使用者起疑心的情況下,散佈惡意程式了。
結語
現代科技變化快速,只要一有新的資源出現,接踵而來的就是新的風險。
雖然我本身並非資訊安全專業,但還是想藉此機會提醒在座的讀者,面對資安威脅逐漸險峻的網路時代,要多多了解現行的趨勢,並且對於不明確的東西保持一定戒心,並多方查證,才能免於受「駭」。
順帶一提,我先前因為好奇,而實際去查了一下後發現,在 Google Domain 上面以『.zip』結尾的網域,居然入門價只要每年 15 美元,難怪會被說是未來駭客的新寵之一。
另外,應該也有人會好奇,真的會有人用『download.zip』或『sharedphoto.zip』這種奇怪的網址嗎?
嗯⋯我只能說,還真的有 download.zip 這個網站的存在,至於 sharedphoto.zip 目前就還是空的了。
參考資料
- Google 新推出的域名 .zip 與 .mov 可能是下一個安全隱患
- Google 新推出域名 .zip 和 .mov!但為何遭到資安專家反對?
- What is happening with Google's .zip Domain?
- Can you ever (safely) include credentials in a URL?
- Google Did Something REALLY Stupid - Protect Yourself!
- Why security professionals are seething over Google’s new .zip domain
《全文。終了》
為什麼會看到廣告
留言0
查看全部
你可能也想看
Google News 追蹤
在現今數位化的時代,網路攻擊頻率持續上升,其中又以DDoS攻擊最為常見且具破壞性。面對這種威脅,企業如何保護自身的網路資源成為了一大挑戰。CDN(內容傳遞網絡)作為一種有效的防禦工具,不僅能提升網站的性能與用戶體驗,還能大幅降低DDoS攻擊的風險。
自從之前發現被對岸網站盜文,就決定在文章中間或末端加上一些文字聲明。由於我連載的平台有好幾個,所以花了一些時間,把每一個平台的每一篇文全都加上聲明,想藉此查看盜文都是從哪個連載平台盜的﹙雖然本來我心裡就有底了,但總要有證據嘛﹚。
而且,因為怕盜文時設有自動屏蔽、替換功能,我還特地將文字聲明
在這個資訊爆炸的時代,快速便捷地分享內容變得越來越重要。而台灣本土開發的 Mork 服務,不僅提供了簡單易用的縮網址功能,更整合了多項實用功能,讓使用者能夠更輕鬆地分享各種類型的內容。
底下為操作流程:
打開「磁碟工具程式」
點選「檔案」
點選「新增映像檔」
點選「來自檔案夾的映像檔」
選擇要製作成「dmg」的物件
選擇要存放「dmg」的資料夾與設定(檔名、加密與映像檔格式)
引言
隨著手機遊戲的流行,代儲服務作為一種方便且快速的方式,受到了越來越多玩家的青睞。 然而,隨之而來的安全問題也讓人擔憂。 極速手遊代儲網作為知名的代儲平台,在保障每一筆交易安全方面做出了巨大努力。 本文將深入探討代儲的藝術,以及極速手遊代儲網是如何保障每一筆交易的安全的。
代儲的重要性
在
這兩天的電影院產業盛會 CinemaCon 大會上,代表好萊塢片廠的 MPA 現任主席 Charles Rivkin 正式宣佈他們將重新推動10年前鎩羽而歸的反盜版立法遊說,讓權利人可以透過法院提出請求,強制 ISP 網路服務供應者切斷用戶和盜版網站之間的連線
介紹幾種免費雲端空間,容量大且有密碼保護功能,包括GigaFile、AC data、FILENOW、おくりん坊 Okurin和Easyupload。
雜湊、編碼和加密雖然在資訊安全中扮演不同的角色,但很多人往往容易搞混它們的用途,本篇文章將帶你了解他們的區別。
在現今數位化的時代,網路攻擊頻率持續上升,其中又以DDoS攻擊最為常見且具破壞性。面對這種威脅,企業如何保護自身的網路資源成為了一大挑戰。CDN(內容傳遞網絡)作為一種有效的防禦工具,不僅能提升網站的性能與用戶體驗,還能大幅降低DDoS攻擊的風險。
自從之前發現被對岸網站盜文,就決定在文章中間或末端加上一些文字聲明。由於我連載的平台有好幾個,所以花了一些時間,把每一個平台的每一篇文全都加上聲明,想藉此查看盜文都是從哪個連載平台盜的﹙雖然本來我心裡就有底了,但總要有證據嘛﹚。
而且,因為怕盜文時設有自動屏蔽、替換功能,我還特地將文字聲明
在這個資訊爆炸的時代,快速便捷地分享內容變得越來越重要。而台灣本土開發的 Mork 服務,不僅提供了簡單易用的縮網址功能,更整合了多項實用功能,讓使用者能夠更輕鬆地分享各種類型的內容。
底下為操作流程:
打開「磁碟工具程式」
點選「檔案」
點選「新增映像檔」
點選「來自檔案夾的映像檔」
選擇要製作成「dmg」的物件
選擇要存放「dmg」的資料夾與設定(檔名、加密與映像檔格式)
引言
隨著手機遊戲的流行,代儲服務作為一種方便且快速的方式,受到了越來越多玩家的青睞。 然而,隨之而來的安全問題也讓人擔憂。 極速手遊代儲網作為知名的代儲平台,在保障每一筆交易安全方面做出了巨大努力。 本文將深入探討代儲的藝術,以及極速手遊代儲網是如何保障每一筆交易的安全的。
代儲的重要性
在
這兩天的電影院產業盛會 CinemaCon 大會上,代表好萊塢片廠的 MPA 現任主席 Charles Rivkin 正式宣佈他們將重新推動10年前鎩羽而歸的反盜版立法遊說,讓權利人可以透過法院提出請求,強制 ISP 網路服務供應者切斷用戶和盜版網站之間的連線
介紹幾種免費雲端空間,容量大且有密碼保護功能,包括GigaFile、AC data、FILENOW、おくりん坊 Okurin和Easyupload。
雜湊、編碼和加密雖然在資訊安全中扮演不同的角色,但很多人往往容易搞混它們的用途,本篇文章將帶你了解他們的區別。