События

APT 29 использовала технику domain fronting для доступа к системам жертв

APT 29 использовала технику domain fronting для доступа к системам жертв

По данным экспертов Mandiant, хакерская группировка APT 29, также известная как Cozy Bear, в течение двух лет использовала технику domain fronting («фронтирование домена») с целью обезопасить свой доступ к системам жертв. Злоумышленники использовали браузер Tor и специальный плагин с функцией domain fronting для маскировки трафика под легитимный, якобы направленный к известным сайтам, таким как Google.

Domain fronting представляет собой технику для сокрытия настоящей конечной точки подключения. С ее помощью можно подключиться к желаемому домену, однако со стороны будет казаться, будто подключение осуществлено к совсем другому домену (в случае с APT 29 к Google). Техника была впервые описана учеными Калифорнийского университета в Беркли в 2015 году, однако APT 29 начали использовать ее несколько раньше.

Tor использует транспортный протокол meek, позволяющий обходить цензуру и подключаться к заблокированным сайтам. Идея заключается в том, чтобы в качестве прокси использовать сеть доставки содержимого (CDN), например, Google, Akamai или Cloudflare. В таком случае для блокировки доступа к сайту цензорам придется заблокировать всю сеть.

Как пояснил ИБ-эксперт Mandiant Мэттью Данвуди (Matthew Dunwoody), APT 29 настроили скрытый сервис в сети Tor для обеспечения себе доступа к системам жертв. С помощью зашифрованного туннеля трафик перенаправлялся от клиента на локальные порты 139 – NetBIOS, 445 – Server Message Block и 3389 – Terminal Services. «Таким образом злоумышленники обеспечивали себе удаленный полный доступ к атакуемой системе за пределами локальной сети с помощью скрытого адреса в Tor (.onion)», – пояснил Данвуди.

Деятельность злоумышленников оставалась незамеченной, поскольку со стороны все выглядело так, будто они подключались к Google по TLS. Обычные HTTPS POST-запросы отправлялись на google.com, однако на самом деле через сервер meek-reflect.appspot.com трафик шел в сеть Tor. В настоящее время сервер отключен, однако, по словам исследователей, другие серверы облачной инфраструктуры Google и поддерживаемой CDN могут выполнять ту же функцию.

Источник

Автор: Сергей Куприянов
28.03.2017 (10:06)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.