Die versteckten Risiken der .zip-TLD: Die neue Security Bedrohung im Netz

Seit kurzem bietet Google den Domain-Namen mit der Endung .zip und .mov an. Allerdings wurde relativ schnell klar, dass einige dieser Domains bereits von Cyberkriminellen genutzt werden. Die Tatsache, dass .zip und .mov auch Dateiendungen sind, erhöht das Potenzial dieser Domains, potenzielle Opfer in die Irre zu führen und macht den Unterschied zwischen Domain und Datei fast unmöglich erkennbar. Warum das so ist, und was Sie als Unternehmen dagegen sofort tun sollten, behandeln wir ganz übersichtlich in unserem Artikel.

Was ist eine .zip oder eine .mov Domain?

Es gibt fünf unterschiedliche Arten von Top Level Domains. Darunter fallen:

  • (tTLD) als Test Top Level Domains
  • (ARPA) als Infrastructure Top-Level Domain
  • (ccTLD) als Country Code Top-level Domains
  • (sTLD) als Sponsored Top-level Domains
  • (gTLD) als Generic Top-level Domains

.zip und .mov wird als gTLD eingestuft und kann einfach über Google bezogen werden. Danach steht einer Nutzung nichts mehr im Wege.

Eine Domain .zip und .mov kann es doch nicht geben oder?

Wir kennen doch alle Domains wie .at oder .de. Dabei handelt es sich um einfache Länderkennungen (ccTLD), welche meistens von einer Organisation im jeweiligen Land verwaltet wird. Doch im Prinzip kann jede Person eine neue Top Level Domain (TLD) beantragen. Dafür ist eine Evaluierungsgebühr von 185.000 US-Dollar fällig, die an die ICANN (Internet Corporation for Assigned Names and Numbers) entrichtet werden muss. Darüber hinaus muss man nachweisen, die notwendige Infrastruktur und das erforderliche Know-how zu haben. Somit kann eigentlich fast jeder eine neue TLD beantragen der diese Kriterien erfüllt. Dass Google dafür in Frage kommt ist klar und erklärt auch, warum die Genehmigung relativ einfach war.

Wo ist die Gefahr bei einer .zip oder .mov Domain?

Wir müssen von mehreren Gefahren bei den beiden Domainendungen ausgehen. Seit mehreren Jahren ist es für Anwender logisch, dass eine .mov Datei ein Video sein muss. Bei einer .zip wird es ein verkleinerter Ordner sein, über den per Mail oder anderer Programme, Daten ausgetauscht werden können. Dieses Denken in unseren Köpfen spielt nun Angreifern in die Hände. Denn viele Anwendungen und Online Dienste wandeln gültige TLDs in einen Link um. Somit weiß man nicht mehr, ob ein Post auf Twitter auf eine Datei verweist oder vielleicht doch auf eine schadhafte Webseite, die einen Exploit im Browser ausnützen kann.

Ein weiterer möglicher und doch sehr gezielter Angriff aus einem Blogpost auf Medium wäre folgendes Beispiel:

Unterscheiden Sie auf die schnelle folgende Links

https[:]//github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip

und

https[:]//github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Einer der beiden Links lädt ein valides Update herunter. Der andere eine schadhafte Datei. Damit kann man sehr einfach eine gute Phishing URL senden, die auch für Analysten echt aussieht. Sollte man das per Mail tun und man nutzt die Änderung der Schriftgröße auf 1, dann sieht man nicht mal mehr das @ im Link und kann einen schadhaften Link übermitteln, der einfach echt aussieht. Hier ein Beispiel.

Beim Klick auf diesen Link würde eine schadhafte Datei heruntergeladen werden, ohne das der User mitbekommt von welcher Domain diese eigentlich kommt.

Ist es wirklich so eine Gefahr oder rein theoretisch möglich?

Die Gefahr ist absolut real und wurde auch schon wenige Stunden nach dem Erscheinen der neuen TLD bereits genutzt. Ein Großteil der Registrierungen ist aktuell rein für schadhafte Zwecke gedacht. Von klassischen Phishing Seiten, über Fake-Update Domains ist aktuell alles vorhanden. Angreifer adaptieren deren Techniken sehr schnell, um auch die neuesten Systeme auszutricksen.

Was kann ich als Unternehmen tun, um das Risiko zu reduzieren?

Wir sehen aktuell nur eine Möglichkeit das Risiko einfach und effektiv zu reduzieren. Blockieren Sie die TLDs .zip und .mov auf Ihren Geräten. Wir gehen aktuell nicht von einer legitimen Verwendung der Domain aus und haben bis dato auch keine Notwendigkeit gesehen .zip Domains zuzulassen. Erst wenn die Hersteller der Anwendungen und die Anwender damit mehr vertrauter sind, kann man überlegen die Blockierung aufzuheben. In der Zwischenzeit wäre es ratsamer alles zu blockieren und nur Einzelne .zip Dienste nach Bedarf freizugeben. Dieses Vorgehen raten nicht nur wir an, sondern auch die SANS selbst wie sie in einem Blogpost schreiben.

Generell appellieren wir nun an Google diese TLD möglicherweise wieder zu entfernen. Die Welt benötigt diese Endung nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert