top of page

Die versteckten Risiken der .zip-TLD: Die neue Security Bedrohung im Netz

Google bietet nun seit kurzem Domain-Namen mit den Endungen .zip und .mov an. Leider haben Cyberkriminelle diese neuen Domains schnell für ihre Zwecke entdeckt. Da .zip und .mov auch gängige Dateiendungen sind, können diese Domains leicht zur Verwirrung führen und es schwierig machen, zwischen einer echten Domain und einer Datei zu unterscheiden. Warum das so problematisch ist und welche Maßnahmen Ihr Unternehmen sofort ergreifen sollte, erklären wir ausführlich in unserem Artikel.


.zip Domain Sicherheitswarnung

Was ist eine .zip oder eine .mov Domain?

Es gibt fünf unterschiedliche Arten von Top Level Domains. Darunter fallen:

  • (tTLD) als Test Top Level Domains

  • (ARPA) als Infrastructure Top-Level Domain

  • (ccTLD) als Country Code Top-level Domains

  • (sTLD) als Sponsored Top-level Domains 

  • (gTLD) als Generic Top-level Domains 


.zip und .mov wird als gTLD eingestuft und kann einfach über Squarespace bezogen werden. Danach steht einer Nutzung nichts mehr im Wege.


Eine Domain .zip und .mov kann es doch nicht geben oder?

Wir kennen doch alle Domains wie .at oder .de. Dabei handelt es sich um einfache Länderkennungen (ccTLD), welche meistens von einer Organisation im jeweiligen Land verwaltet wird. Doch im Prinzip kann jede Person eine neue Top Level Domain (TLD) beantragen. Dafür ist eine Evaluierungsgebühr von 185.000 US-Dollar fällig, die an die ICANN (Internet Corporation for Assigned Names and Numbers) entrichtet werden muss. Darüber hinaus muss man nachweisen, die notwendige Infrastruktur und das erforderliche Know-how zu haben. Somit kann eigentlich fast jeder eine neue TLD beantragen der diese Kriterien erfüllt. Dass Google dafür in Frage kommt ist klar und erklärt auch, warum die Genehmigung relativ einfach war.


Wo ist die Gefahr bei einer .zip oder .mov Domain?

Wir müssen von mehreren Gefahren bei den beiden Domainendungen ausgehen. Seit mehreren Jahren ist es für Anwender logisch, dass eine .mov Datei ein Video sein muss. Bei einer .zip wird es ein verkleinerter Ordner sein, über den per Mail oder anderer Programme, Daten ausgetauscht werden können. Dieses Denken in unseren Köpfen spielt nun Angreifern in die Hände. Denn viele Anwendungen und Online Dienste wandeln gültige TLDs in einen Link um. Somit weiß man nicht mehr, ob ein Post auf Twitter auf eine Datei verweist oder vielleicht doch auf eine schadhafte Webseite, die einen Exploit im Browser ausnützen kann.


Ein weiterer möglicher und doch sehr gezielter Angriff aus einem Blogpost auf Medium wäre folgendes Beispiel:


Unterscheiden Sie auf die schnelle folgende Links

https[:]//github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip

und

https[:]//github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Einer der beiden Links lädt ein valides Update herunter. Der andere eine schadhafte Datei. Damit kann man sehr einfach eine gute Phishing URL senden, die auch für Analysten echt aussieht. Sollte man das per Mail tun und man nutzt die Änderung der Schriftgröße auf 1, dann sieht man nicht mal mehr das @ im Link und kann einen schadhaften Link übermitteln, der einfach echt aussieht. Hier ein Beispiel.

Schadhafte .zip Mail

Beim Klick auf diesen Link würde eine schadhafte Datei heruntergeladen werden, ohne das der User mitbekommt von welcher Domain diese eigentlich kommt.


Ist es wirklich so eine Gefahr oder rein theoretisch möglich?

Die Gefahr ist absolut real und wurde auch schon wenige Stunden nach dem Erscheinen der neuen TLD bereits genutzt. Ein Großteil der Registrierungen ist aktuell rein für schadhafte Zwecke gedacht. Von klassischen Phishing Seiten, über Fake-Update Domains ist aktuell alles vorhanden. Angreifer adaptieren deren Techniken sehr schnell, um auch die neuesten Systeme auszutricksen.


Was kann ich als Unternehmen tun, um das Risiko zu reduzieren?

Wir sehen aktuell nur eine Möglichkeit das Risiko einfach und effektiv zu reduzieren. Blockieren Sie die TLDs .zip und .mov auf Ihren Geräten. Wir gehen aktuell nicht von einer legitimen Verwendung der Domain aus und haben bis dato auch keine Notwendigkeit gesehen .zip Domains zuzulassen. Erst wenn die Hersteller der Anwendungen und die Anwender damit mehr vertrauter sind, kann man überlegen die Blockierung aufzuheben. In der Zwischenzeit wäre es ratsamer alles zu blockieren und nur Einzelne .zip Dienste nach Bedarf freizugeben. Dieses Vorgehen raten nicht nur wir an, sondern auch die SANS selbst wie sie in einem Blogpost schreiben.


Kommentare
Deine Meinung teilenJetzt den ersten Kommentar verfassen.
bottom of page