【平安研讨】Domain fronting域名前置收集进击手艺 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

【平安研讨】Domain fronting域名前置收集进击手艺

申博_新闻事件 申博 95次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

千里百科

Domain
Fronting基于HTTPS通用隐匿手艺,也被称为域前端收集进击手艺。这是一种用来隐藏Metasploit,Cobalt
Strike等团队掌握效劳器流量,以此来肯定水平绕过搜检器或防火墙检测的手艺,如Amazon ,Google,Akamai
等大型厂商会供应一些域前端手艺效劳。

以下将会运用Amazon 供应CloudFront (CDN)效劳举例。

配景

在虚拟主机中搭建多个网站效劳,为了轻易我们辨别它们,能够 IP+Port 称号 等体式格局去接见它们,然则如果是SSL/TLS的话。依据HTTPS的事情道理,浏览器在接见一个HTTPS站点时,先与效劳器竖立SSL衔接。

竖立衔接的第一步就是要求效劳器的证书。而效劳器在发送证书时,是不知道浏览器接见的是哪一个域名的,以是不克不及依据分歧域名发送分歧的证书。因而就引入一个扩大叫SNI,SNI是为了处理一个效劳器运用多个域名和证书的SSL/TLS扩大,做法就是在
Client Hello 中补上 Host 信息。

【平安研讨】Domain fronting域名前置收集进击手艺

图1

域前端的症结头脑是在分歧的通讯层运用分歧的域名,是一种隐藏衔接实在端点来隐匿互联网检察的手艺。在运用层上运作时,域前置运用户能经由过程HTTPS衔接到被屏障的效劳,而表面上像在与另一个完整分歧的站点通讯。

此手艺的道理为在分歧通讯层运用分歧的域名。在明文的DNS要乞降TLS效劳器称号指导(SNI)中运用无害的域名来初始化衔接,而现实要衔接的被封闭域名仅在建立加密的HTTPS衔接后发出,在Host头中携带了另一个歹意C2域名(Host头关于搜检器是弗成见的,然则关于吸收HTTPS要求的前端效劳器是可见的)。【平安研讨】Domain fronting域名前置收集进击手艺

图2

演示

在Amazon

CloudFront是一种内容托付收集效劳。它为用户供应了一个全局分布式缓存,用于托管在其效劳器上的文件。这减少了客户效劳器上的负载,并许可CDN供应来自与要求者数据中心的缓存内容,当客户端衔接到CloudFront的时刻,其依据HOST头来推断客户端想要要求的域名,在做域前置进击时刻,只要在CloudFront中遴选一个受信托域名,如”https://docs.telemetry.mozilla.org”,看起来是一个正当白名单域名,将他做为前置域名来隐匿防火墙检察。

【平安研讨】Domain fronting域名前置收集进击手艺

图3

在Amazon CloudFront请求一个账户并竖立一个CloudFront,在”Origin Domain Name”写入本身的C&C掌握器域名如Godsong.test,其他设置按本身需求来。

【平安研讨】Domain fronting域名前置收集进击手艺

图4

请求终了以后会自动分发一个随机域名 xxx.cloudfront.net款式,将发表的随机域名指向实在C2效劳器,用户接见此域名时刻会剖析到实在的C&C效劳器。

【平安研讨】Domain fronting域名前置收集进击手艺

图5

域名前置由于运用了正当前置域名做钓饵,在运用HTTPS链接时,DNS要求的也都是正当域名,而在HOST中要求修正要求指向为我们C&C效劳器,相当于要求正当域名以后把流量转发到了中转web上。

【平安研讨】Domain fronting域名前置收集进击手艺

恶意软件也有漏洞,Mirai C2奔溃分析

简介 与其他代码一样,恶意软件也会存在漏洞。事实上,大多数恶意软件并不会进行质量控制,所以存在漏洞的概率更大。本文介绍Mirai代码中的一个小bug,该漏洞存在于多个变种中。其他攻击者可以利用该漏洞来破坏C2服务器。 漏洞利用 当用户名是1025+ “a”字符序列时Mirai服务器会奔溃 当有用户连接到Mirai C2服务器时,会要求输入用户名和密码来进行认证。如果用户在用户名处输入1025+字符串时,C2服务器可能会奔溃,如上图所示。 下面分析奔溃的原因,首先解释一个简单程序,然后分析Mirai。 编程风格很差的程序 下图是用GO语言编写的程序,功能是输入name并打印出来。该程序首先将name保存为字符串,然后复制到字节缓存中,然后将缓存打印出来。虽然看似没有什么问题,但是该程序有一个漏洞。因为缓存的大小声明为10。 缓存大小为10,可能会导致溢出 如果输入比较小的话,程序运行是正常的,比如Ankit这样的输入。但是如果输入值大于10,如Ankitxxxxxxxxxxxxxxxxxxxx,程序的运行就会出现错误。 Mirai代码分析 下面看一下Mirai的源码: Github上的部分Mirai代码 可以看出username传递给了Readline函数。从函数名可以看出该函数应该是个库函数,实际上这是一个定制的函数,声明

图6

在CloudFront为我分配了一个域名,此域名转发到我的C&C地点上,在原始C&C效劳器Web存放了一个名为6.txt记事本,地点为https://www.godsong.test/6.txt。

【平安研讨】Domain fronting域名前置收集进击手艺

图7

接见Aws发表的域名https://d305blu4121c3m.cloudfront.net/6.txt,能返回原始流量转发申明测试胜利。

【平安研讨】Domain fronting域名前置收集进击手艺

图8

运用正当白名单作为前置域名,修正Host指向为我们的C&C域名。

wget -U demo -q -O- docs.telemetry.mozilla.org/6.txt --header  
"Host:d305blu4121c3m.cloudfront.net"

以下图就成运用Mozilla白名单域名手艺来隐藏实在歹意流量。

【平安研讨】Domain fronting域名前置收集进击手艺

图9

在现实运用中,能够运用Cobalt
Strike ,Empire, Metasploit等东西修正其配置文件来掌握流量传输,下文运用Cobalt
Strike演示,设置一个Profile扩大而且指定Host头为d305blu4121c3m.cloudfront.net。

【平安研讨】Domain fronting域名前置收集进击手艺

图10

建立一个监听器,主机写Cloudfront.net分发域名,监听80端口。

【平安研讨】Domain fronting域名前置收集进击手艺

图11

Beacon传输器运用白名单域名以下:

【平安研讨】Domain fronting域名前置收集进击手艺

图12

在歹意程序运转后,运用Wireshark
抓取传输流量数据包。如图所示,能够看到相干要求以下,以此方法来隐藏实在C&C效劳器地点,在Wireshark
中检察传输流量包Host头也一样指向我们Cloudfront效劳器,肯定水平上隐藏了实在进击机地点。

【平安研讨】Domain fronting域名前置收集进击手艺

图13

【平安研讨】Domain fronting域名前置收集进击手艺

图14

总结

Domain Fronting手艺由于我们看到的域只是前端效劳器域,很难辨别谁人是一般域名或歹意域名,但现实上歹意流量都要进入被控端效劳器,如许的话就会在被控效劳器上发生一些歹意指纹,收集数据包的巨细和时候,以此方法来视察歹意特性检测等等。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明【平安研讨】Domain fronting域名前置收集进击手艺
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址