Producido | Laboratorio MS08067 (www.ms08067.com)
Enciclopedia de las mil millas
Cupón m.fenfaw.cnDomain Fronting se basa en la tecnología de evasión general HTTPS, también conocida como tecnología de ataque de red front-end de dominio. Esta es una tecnología utilizada para ocultar el control del tráfico del servidor por parte de equipos como Metasploit y Cobalt Strike, a fin de evitar la detección del comprobador o del firewall hasta cierto punto. Grandes proveedores como Amazon, Google, Akamai y otros grandes proveedores proporcionarán algunos servicios técnicos de front-end de dominio.
Los siguientes ejemplos utilizarán Amazon para proporcionar servicios de CloudFront (CDN).
antecedentes
Configurar múltiples servicios de sitios web en un host virtual, para que nos faciliten distinguirlos podemos acceder a ellos por IP + Nombre de puerto, etc., pero si es SSL / TLS. Según el principio de funcionamiento de HTTPS, cuando un navegador visita un sitio HTTPS, primero establece una conexión SSL con el servidor.
El primer paso para establecer una conexión es solicitar el certificado del servidor. Cuando el servidor envía el certificado, no sabe qué nombre de dominio está visitando el navegador, por lo que no puede enviar certificados diferentes según los diferentes nombres de dominio. Por lo tanto, se introduce una extensión llamada SNI. SNI es para resolver la extensión SSL / TLS de múltiples nombres de dominio y certificados usados por un servidor. El método es completar la información del Host en el Client Hello.
La idea clave del front end de dominio es utilizar diferentes nombres de dominio en diferentes capas de comunicación, es una tecnología que oculta los endpoints reales de la conexión para evitar la censura de Internet. Cuando se opera en la capa de aplicación, el frente del dominio permite a los usuarios conectarse al servicio bloqueado a través de HTTPS, mientras que en la superficie parece estar comunicándose con otro sitio completamente diferente.
El principio de esta tecnología es utilizar diferentes nombres de dominio en diferentes capas de comunicación . Se utiliza un nombre de dominio inofensivo en la solicitud de DNS de texto sin formato y la indicación de nombre de servidor TLS (SNI) para iniciar la conexión, y el nombre de dominio bloqueado que se va a conectar solo se envía después de que se crea la conexión HTTPS cifrada, que lleva otro código malicioso en el encabezado del host. Nombre de dominio C2 (el encabezado del host no es visible para el inspector, pero sí para el servidor de aplicaciones para el usuario que recibe solicitudes HTTPS).
Manifestación
En Amazon CloudFront es un servicio de red de entrega de contenido. Proporciona a los usuarios una caché distribuida global para archivos alojados en sus servidores. Esto reduce la carga en el servidor del cliente y permite que la CDN proporcione contenido en caché desde el centro de datos del solicitante. Cuando el cliente se conecta a CloudFront, determina el nombre de dominio que el cliente desea solicitar en función del encabezado HOST. Antes de realizar el dominio Cuándo configurar un ataque, simplemente elija un nombre de dominio confiable en CloudFront, como "https://docs.telemetry.mozilla.org", que parece ser un nombre de dominio legal incluido en la lista blanca, y utilícelo como un nombre de dominio frontal para evitar revisión del cortafuegos.
Solicite una cuenta con Amazon CloudFront y cree un CloudFront, escriba su propio nombre de dominio de controlador C&C como Godsong.test en "Nombre de dominio de origen" y otras configuraciones según sus necesidades.
Una vez completada la solicitud, se distribuirá automáticamente un nombre de dominio aleatorio estilo xxx.cloudfront.net, y el nombre de dominio aleatorio emitido se apuntará al servidor C2 real. Cuando el usuario acceda a este nombre de dominio, se resolverá en el servidor C&C real.
Debido a que la posición previa del nombre de dominio usa un nombre de dominio previo legal como cebo, cuando se usan enlaces HTTPS, las solicitudes de DNS también son nombres de dominio legales, y la solicitud de modificación en el HOST se dirige a nuestro servidor C&C, que es equivalente a reenviar tráfico después de solicitar un nombre de dominio legal. Vaya a la web de tránsito.
CloudFront me asignó un nombre de dominio, que se reenvió a mi dirección de C&C, y un bloc de notas llamado 6.txt se almacenó en el servidor web de C&C original con la dirección https: //www.godsong.test/6.txt.
Visite el nombre de dominio https://d305blu4121c3m.cloudfront.net/6.txt emitido por Aws, y se puede devolver el reenvío de tráfico original, lo que indica que la prueba fue exitosa.
Utilice la lista blanca legal como nombre de dominio frontal y modifique el punto de host a nuestro nombre de dominio C&C.
wget -U demo -q -O- docs.telemetry.mozilla.org/6.txt --header
"Host:d305blu4121c3m.cloudfront.net"
La siguiente figura muestra el uso exitoso de la tecnología de dominio de lista blanca de Mozilla para ocultar tráfico malicioso real.
En aplicaciones reales, puede usar Cobalt Strike, Empire, Metasploit y otras herramientas para modificar sus archivos de configuración para controlar la transmisión del tráfico. A continuación, se usa Cobalt Strike para demostrar, configurar una extensión de perfil y especificar el encabezado del host como d305blu4121c3m.cloudfront.net .
Cree un oyente, el host escribe Cloudfront.net para distribuir el nombre de dominio y escucha en el puerto 80.
El transmisor Beacon utiliza nombres de dominio incluidos en la lista blanca de la siguiente manera:
Una vez que se ejecuta el programa malicioso, Wireshark se utiliza para capturar paquetes de tráfico de transmisión. Como se muestra en la figura, puede ver que la solicitud relacionada es la siguiente. De esta manera, la dirección real del servidor C&C está oculta. El encabezado del host del paquete de tráfico de transmisión visto en Wireshark también apunta a nuestro servidor Cloudfront, que oculta la dirección real del atacante hasta cierto punto.
Resumen : tecnología Domain Fronting. Debido a que el dominio que vemos es solo el dominio del servidor front-end, es difícil distinguir si es un nombre de dominio normal o un nombre de dominio malicioso. De hecho, el tráfico malicioso debe ingresar al servidor final controlado, y luego se generará en el servidor controlado Algunas huellas dactilares maliciosas, el tamaño y la hora de los paquetes de datos de red, utilizan este método para observar la detección de características maliciosas, etc.
referencias
[1] https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1542139101.pdf
Figura 2, Figura 6 cita este artículo
[2] http://www.ert7.com /service/knowledge/3999.html
Póngase en contacto con el autor e indique la fuente de la reimpresión.
El laboratorio de seguridad Ms08067 se centra en la popularización y formación del conocimiento sobre seguridad cibernética. El equipo ha publicado "Ataque y defensa de seguridad web: Guía de práctica de pruebas de penetración", "Ataque y defensa de seguridad de intranet: Guía de práctica de pruebas de penetración", "Ataque y defensa de seguridad de Python: Guía de práctica de pruebas de penetración", "Auditoría de seguridad de código Java (Introducción ) "y otros libros.
La cuenta oficial del equipo comparte regularmente productos técnicos secos sobre el campo de tiro de CTF, la penetración de intranet y APT, comenzando desde cero, enfocándose en el combate real, y se compromete a ser una cuenta pública práctica de compartir productos secos.
Sitio web oficial: https://www.ms08067.com/
Escanee el código QR a continuación para unirse a la comunidad VIP del laboratorio. Después de
unirse, invite a unirse al grupo VIP interno. ¡El grupo interno de WeChat es válido permanentemente!
