RSAC 2019: Зачем злоумышленникам domain fronting

Про существование такой техники, как domain fronting – способ прикрываться чужим доменом, многие узнали после того, как ее использовал мессенджер Telegram, чтобы избежать блокировки со стороны российского интернет-регулятора Роскомнадзора. О ней же решили поговорить сотрудники SANS Institute на конференции RSA 2019. Злоумышленники используют эту технику не столько как вектор атаки, сколько как метод управления зараженным компьютером и эксфильтрации похищенных данных. Эд Скодис (Ed Skoudis), о докладе которого мы уже рассказывали, описал типичный алгоритм действий киберпретупников, которые пытаются «раствориться в облаках».

Чаще всего сложные APT-атаки обнаруживают именно на этапе обмена данными с командным сервером. Внезапное общение компьютера, находящегося внутри корпоративной сети, с неизвестной машиной вовне — тревожный сигнал, на который команда ИБ-специалистов наверняка среагирует. Поэтому злоумышленники и пытаются всеми силами замаскировать это общение. В последнее время все чаще для этого используют различные сети доставки контента (Content Delivery Network, CDN).

Описанный Скодисом алгоритм выглядит следующим образом:

1. В сети компании есть компьютер, зараженный вредоносом.
2. Эта машина посылает DNS-запрос на чистый доверенный веб-сайт, размещенный в доверенной CDN.
3. Атакующий также является клиентом этой CDN и размещает на ней свой сайт.
4. Зараженный компьютер устанавливает шифрованное TLS-соединение с доверенным сайтом.
5. Внутри этого соединения, вредонос формирует HTTP 1.1-запрос, в котором обращается к сайту атакующих.
6. Этот сайт перенаправляет запрос на свои зловредные серверы.
7. Канал связи установлен.

Для ИБ-специалистов, которые защищают сеть компании все выглядит как общение компьютера с по зашифрованному каналу с безопасным сайтом, находящемся в знакомой CDN. Все потому, что они воспринимают CDN, клиентами которой является их фирма, доверенной частью сети. А это большая ошибка.

Все это, по мнению Скодиса, симптомы крайне опасной тенденции. Domain Fronting — неприятная уловка, но с ней можно справиться. Опасно то, что злоумышленники начали осваивать облачные технологии. Теоретически они могут создать цепочку из разных CDN и надежно спрятать свою активность за облачными сервисами, устроить «отмывку» связей. Шансы того, что одна CDN будет блокировать другую из соображений безопасности, стремятся к нулю – это наверняка повредит их бизнесу.

Для борьбы с этим типом уловок Скодис рекомендует использовать методы перехвата TLS-соединений. Однако главное понимать, что такое может произойти, и учитывать облачный вектор атаки при построении модели угроз.

Эксперты «Лаборатории Касперского» также сталкивались с аналогичными уловками злоумышленников. Наше решение Kaspersky Threat Management and Defense позволит обнаружить такой канал связи и блокировать его.