APT 29 использовала технику domain fronting для доступа к системам жертв

НОВОСТИ
2017-03-29 11:03:58
0
722

Хакеры использовали Tor и плагин с функцией domain fronting для маскировки трафика под легитимный.
По данным экспертов Mandiant, хакерская группировка APT 29, также известная как Cozy Bear, в течение двух лет использовала технику domain fronting («фронтирование домена») с целью обезопасить свой доступ к системам жертв. Злоумышленники использовали браузер Tor и специальный плагин с функцией domain fronting для маскировки трафика под легитимный, якобы направленный к известным сайтам, таким как Google.

Domain fronting представляет собой технику для сокрытия настоящей конечной точки подключения. С ее помощью можно подключиться к желаемому домену, однако со стороны будет казаться, будто подключение осуществлено к совсем другому домену (в случае с APT 29 к Google). Техника была впервые описана учеными Калифорнийского университета в Беркли в 2015 году, однако APT 29 начали использовать ее несколько раньше.
Tor использует транспортный протокол meek, позволяющий обходить цензуру и подключаться к заблокированным сайтам. Идея заключается в том, чтобы в качестве прокси использовать сеть доставки содержимого (CDN), например, Google, Akamai или Cloudflare. В таком случае для блокировки доступа к сайту цензорам придется заблокировать всю сеть.
Как пояснил ИБ-эксперт Mandiant Мэттью Данвуди (Matthew Dunwoody), APT 29 настроили скрытый сервис в сети Tor для обеспечения себе доступа к системам жертв. С помощью зашифрованного туннеля трафик перенаправлялся от клиента на локальные порты 139 – NetBIOS, 445 – Server Message Block и 3389 – Terminal Services. «Таким образом злоумышленники обеспечивали себе удаленный полный доступ к атакуемой системе за пределами локальной сети с помощью скрытого адреса в Tor (.onion)», – пояснил Данвуди.
Деятельность злоумышленников оставалась незамеченной, поскольку со стороны все выглядело так, будто они подключались к Google по TLS. Обычные HTTPS POST-запросы отправлялись на google.com, однако на самом деле через сервер meek-reflect.appspot.com трафик шел в сеть Tor. В настоящее время сервер отключен, однако, по словам исследователей, другие серверы облачной инфраструктуры Google и поддерживаемой CDN могут выполнять ту же функцию.
Антон Бочкарев, консультант по информационной безопасности Центра информационной безопасности компании "Инфосистемы Джет"
Одна из ключевых проблем злоумышленников при использовании анонимной сети TOR заключается в том, что существуют техники анализа исходящего трафика с выходных TOR-нод, ставящие анонимность пользователей под угрозу, а также  то, что многие средства защиты уделяют повышенное внимание TOR-трафику. Поэтому злоумышленники для маскировки TOR-трафика используют различные техники, в том числе и "фронтирование домена". Эта техника впервые начала применяться для обхода блокировки сайтов интернет-цензурой. Стоит отметить, что этот подход не основан на каких-либо уязвимостях или недекларируемых возможностях, а применяет лишь базовый функционал CDN-серверов, обслуживающих жертву. CDN используется для более быстрой доставки контента пользователям и представляет собой кэширующие прокси-сервера, которые и облюбовали теперь злоумышленники, как промежуточные. CDN используются и  многими Anti-DDOS решениями, например CloudFlare. Стоит отметить креативность мышления мошенников, которые догадались применять этот механизм для повышения собственной анонимности. Долгое время исследователи ИБ были на шаг позади хакеров, не догадываясь о такой возможности.

http://www.securitylab.ru/news/485696.php

0
722