专栏首页Ms08067安全实验室【安全研究】Domain fronting域名前置网络攻击技术

【安全研究】Domain fronting域名前置网络攻击技术

千里百科

Domain Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。

下列将会使用Amazon 提供CloudFront (CDN)服务举例。

背景

在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port名称 等方式去访问它们,但是如果是SSL/TLS的话。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接。

建立连接的第一步就是请求服务器的证书。而服务器在发送证书时,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。因此就引入一个扩展叫SNI,SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,做法就是在 Client Hello 中补上 Host 信息。

图1

域前端的关键思想是在不同的通信层使用不同的域名,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。

此技术的原理为在不同通信层使用不同的域名。在明文的DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接,而实际要连接的被封锁域名仅在创建加密的HTTPS连接后发出,在Host头中携带了另一个恶意C2域名(Host头对于检查器是不可见的,但是对于接收HTTPS请求的前端服务器是可见的)。

图2

演示

在Amazon CloudFront是一种内容交付网络服务。它为用户提供了一个全局分布式缓存,用于托管在其服务器上的文件。这减少了客户服务器上的负载,并允许CDN提供来自与请求者数据中心的缓存内容,当客户端连接到CloudFront的时候,其根据HOST头来判断客户端想要请求的域名,在做域前置攻击时候,只要在CloudFront中挑选一个受信任域名,如"https://docs.telemetry.mozilla.org",看起来是一个合法白名单域名,将他做为前置域名来躲避防火墙审查。

图3

在Amazon CloudFront申请一个账户并建立一个CloudFront,在"Origin Domain Name"写入自己的C&C控制器域名如Godsong.test,其他设置按自己需求来。

图4

申请完毕之后会自动分发一个随机域名 xxx.cloudfront.net样式,将颁发的随机域名指向真实C2服务器,用户访问此域名时候会解析到真实的C&C服务器。

图5

域名前置因为使用了合法前置域名做诱饵,在使用HTTPS链接时,DNS请求的也都是合法域名,而在HOST中请求修改请求指向为我们C&C服务器,相当于请求合法域名之后把流量转发到了中转web上。

图6

在CloudFront为我分配了一个域名,此域名转发到我的C&C地址上,在原始C&C服务器Web存放了一个名为6.txt记事本,地址为https://www.godsong.test/6.txt。

图7

访问Aws颁发的域名https://d305blu4121c3m.cloudfront.net/6.txt,能返回原始流量转发说明测试成功。

图8

使用合法白名单作为前置域名,修改Host指向为我们的C&C域名。

wget -U demo -q -O- docs.telemetry.mozilla.org/6.txt --header  
"Host:d305blu4121c3m.cloudfront.net"

如下图就成功利用Mozilla白名单域名技术来隐藏真实恶意流量。

图9

在实际应用中,可以使用Cobalt Strike ,Empire, Metasploit等工具修改其配置文件来控制流量传输,下文使用Cobalt Strike演示,设置一个Profile扩展并且指定Host头为d305blu4121c3m.cloudfront.net。

图10

创建一个监听器,主机写Cloudfront.net分发域名,监听80端口。

图11

Beacon传输器使用白名单域名如下:

图12

在恶意程序运行后,使用Wireshark 抓取传输流量数据包。如图所示,可以看到相关请求如下,以此方法来隐藏真实C&C服务器地址,在Wireshark 中查看传输流量包Host头也同样指向我们Cloudfront服务器,一定程度上隐蔽了真实攻击机地址。

图13

图14

总结:Domain Fronting技术因为我们看到的域只是前端服务器域,很难区分那个是正常域名或恶意域名,但实际上恶意流量都要进入被控端服务器,这样的话就会在被控服务器上产生一些恶意指纹,网络数据包的大小和时间,以此方法来观察恶意特征检测等等。

参考文献

[1]https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1542139101.pdf

图2,图6引用此文

[2]http://www.ert7.com/service/knowledge/3999.html

本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com),作者:深信服安全团队

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 自动化漏洞挖掘之初步构想

    我们总是在挖洞,很多情况下,挖洞并不是那么的快乐,这里分为2点,一种就是感觉漏洞太好挖了,但是会花费很多时间去挖洞。一种就是太难挖和某种因素,导致自己错过了某些...

    徐焱
  • Dns注入

    域名DNS指向的是我们服务器的域名,意味着解析域名时需向DNS服务器查询。通过递归查询可以获取数据库上的信息。要记住整个域名内的节点标签被限制在63个字符长度大...

    徐焱
  • 【HTB系列】靶机Bitlab的渗透测试

    1. curl 发送GET参数化请求 2. 对反弹回来的shell进行设置完善 3. 使用git hooks来进行提权

    徐焱
  • 10个最抢手最贵的数字货币域名,最高拍出上千万的价格

    最近曝出了域名Tokens.com以50万美元,约人民币319万元的价格交易。据悉,域名Tokens.com的买家是数字货币相关终端公司,域名卖...

    躲在树上的域小名
  • 网站域名选择应该注意什么问题?看网站域名选择的原则

    网站域名对网站本身来说蛮重要的,因为对于普通用户,到达网站的第一个动作就是域名的输入。如果域名选择不好,有可能在第一个环节就造成了用户的流失。网站...

    悉知科技建站
  • 腾讯安全威胁情报中心“明厨亮灶”工程:图分析技术在恶意域名挖掘和家族识别中的应用

    目前各个安全厂商都开始积极地挖掘情报数据的价值,研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务,众多企业的安全应急响应中心也开始接收威胁情报...

    腾讯安全
  • 腾讯安全威胁情报中心“明炉亮灶”工程:​自动化恶意域名检测揭秘

    构建恶意域名检测引擎,对海量域名进行自动化检测并识别出恶意域名,让威胁情报的检测和运营变得更智能、更高效,以缓解威胁情报分析师分面对海量威胁数据的分析压力。

    贺艳燕 safra he
  • 医美域名争霸 到底要价几何?

    近日,海外又发生了一起因买卖纠纷引发的域名仲裁案。一家提供医疗美容的公司因为收购域名不得,而起诉域名持有人。

    躲在树上的域小名
  • ENS域名注册终极指南

    ENS 是当下以太坊生态中最热门的话题之一,这股潮流的出现有很多因素。正如官网提到的那样[1]:“ENS 利用可读的域名,为链上、链下资源寻址提供了一种既安全又...

    辉哥
  • 大神来教你:域名的投资周期

    景玉生(猫叔),newgTV业务房展总监,国内最早的域名投资人之一、外贸网络论坛(BBS)和电子商务网站(B2C)创办人、曾任合资(中英)企业董事长,为大家带来...

    躲在树上的域小名

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动