【安全研究】Domain fronting域名前置网络攻击技术

  • 来源:深信服安全中心
  • 发布时间:2019-05-09
#

事件描述

背景

在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port 名称 等方式去访问它们,但是如果是SSL/TLS的话。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接。

建立连接的第一步就是请求服务器的证书。而服务器在发送证书时,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。因此就引入一个扩展叫SNI,SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,做法就是在 Client Hello 中补上 Host 信息。

图1

域前端的关键思想是在不同的通信层使用不同的域名,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。

此技术的原理为在不同通信层使用不同的域名。在明文的DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接,而实际要连接的被封锁域名仅在创建加密的HTTPS连接后发出,在Host头中携带了另一个恶意C2域名(Host头对于检查器是不可见的,但是对于接收HTTPS请求的前端服务器是可见的)。图片2.png

图片3.png

图3

在Amazon CloudFront申请一个账户并建立一个CloudFront,在"Origin Domain Name"写入自己的C&C控制器域名如Godsong.test,其他设置按自己需求来。

图片5.png

图5

图7

访问Aws颁发的域名https://d305blu4121c3m.cloudfront.net/6.txt,能返回原始流量转发说明测试成功。

图片9.png

图9

在实际应用中,可以使用Cobalt Strike ,Empire, Metasploit等工具修改其配置文件来控制流量传输,下文使用Cobalt Strike演示,设置一个Profile扩展并且指定Host头为d305blu4121c3m.cloudfront.net。

图片11.png

图11

Beacon传输器使用白名单域名如下:

图片13.png

图13

总结:Domain Fronting技术因为我们看到的域只是前端服务器域,很难区分那个是正常域名或恶意域名,但实际上恶意流量都要进入被控端服务器,这样的话就会在被控服务器上产生一些恶意指纹,网络数据包的大小和时间,以此方法来观察恶意特征检测等等。

参考文献

[1]https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1542139101.pdf 

图2,图6引用此文

[2]http://www.ert7.com/service/knowledge/3999.html