Informações, notícias e muito mais!

Hackers utilizam técnica que esconde o tráfego de malware em uma CDN

Uma nova técnica chamada de Domain Fronting permite que cibercriminosos ocultem o tráfego gerado pelo servidor de C&C (Comando e Controle) dentro de uma CDN (Content Delivery Network – Rede de Entrega de Conteúdo). A técnica funciona como uma máscara para ocultar o tráfego das redes dos servidores de C&C, bem com também para a evasão de malware.

Uma rede de entrega de conteúdo (CDN) é um sistema de servidores distribuídos que entregam páginas e outros conteúdos da Internet para um usuário, com base na sua localização geográfica, na origem da página e no servidor de entrega de conteúdo.

Há muitos CDNs realizando esta operação de entregar conteúdo, como a CloudFlare, Akamai, Azure, Amazon e outros.

Esta técnica tem afetado muitos CDNs e teve um impacto considerável na rede da Akamai, que transportou uma quantidade altamente significativa de tráfego de vários domínios de alta reputação, mas com o tráfego mascarado.

De acordo com a Akamai, a sua CDN transporta cerca de 15% a 30% do tráfego da Internet no mundo, e é muito comum ver o tráfego de saída para a rede da Akamai a partir de praticamente qualquer alvo em potencial. Isso faz da CDN da Akamai um alvo em potencial para essa nova abordagem do ataque.

Esquema do ataque que utiliza a técnica de "Domain Fronting" para esconder o tráfego de malware dentro de uma CDN
Esquema do ataque que utiliza a técnica de “Domain Fronting” para esconder o tráfego de malware dentro de uma CDN / Fonte imagem: https://gbhackers.com/domain-fronting-a-new-technique-for-hiding-malware-command-and-control-c2-traffic-within-a-content-delivery-network/

O uso do TOR para o Domain Fronting

O TOR é utilizado para implementar o Domain Fronting com o objetivo de burlar a censura em vários países onde existe a restrição do acesso à Internet, que nega o acesso à um site em particular que é servido pelas redes de entrega da conteúdo.

“Um domínio específico da Akamai (a248.e.akamai.net) foi usado pela rede Tor para contornar as restrições de internet da China e depois foi bloqueado no país”, informou a CyberArk, empresa de cyber security.

Em julho de 2017, a CyberArk realizou uma pesquisa onde identificou que dezenas de milhares de domínios atendidos pela CDN da Akamai podem ser usados para o Domain Fronting. Desse montante, existem muitos domínios de empresas da Fortune 100.

Demonstração do ataque

Dois requisitos para o funcionamento da técnica

Como um atacante, você precisa de dois requisitos para poder implementar com sucesso o Domain Fronting:

  • Um mecanismo bidirecional e persistente de leitura/gravação (sistema ou aplicativo) precisa estar hospedado no CDN. O que significa, utilizar um aplicativo para trocar instruções e dados com o atacante;
  • O malware deve ser especialmente criado para utilizar este canal com o servidor de C&C, e as máquinas dos usuários precisam estar infectadas com esse malware.

Além disso, é necessário que:

Como o Server Name Indication (SNI) é uma extensão do protocolo TLS que permite que um servidor web atenda a vários sites pelo HTTPS, utilizando certificados diferentes, à partir do mesmo endereço IP, o invasor também precisará controlar o valor do campo SNI, como parte do handshake TLS. Como o SNI é enviado em texto puro durante o handskake com o cliente, o destino da solicitação real poderá ser vazado, sem que a sessão seja descriptografada.

Conclusão

A CyberArk conclui que essa técnica de evasão de malware e de mascaramento de tráfego, enfatiza o fato de que os invasores, funcionários internos ou pessoas de fora, encontrarão maneiras de estabelecer uma posição dentro da rede.

Uma CDN poderia vincular um certificado SSL específico para cada endereço IP virtual. Isso impediria que o malware “tivesse seu lugarzinho” nas CDNs, mas simplesmente não existem endereços Ipv4 públicos suficientes para que isso aconteça.

Fonte:

https://gbhackers.com/domain-fronting-a-new-technique-for-hiding-malware-command-and-control-c2-traffic-within-a-content-delivery-network/

Comentários