Представлен метод сокрытия передачи данных по TLS в обход защиты периметра

Исследователи из Fidelis представили PoC-фреймворк для создания скрытого канала передачи данных с использованием TLS-протокола. Разработанный специалистами метод предполагает использование стандарта для инфраструктуры открытого ключа X.509 и позволяет скрыть подключение к C&C-серверу и передачу данных в обход защиты периметра сети (при наличии к ней доступа).

По словам исследователей, обмен данными базируется на рукопожатии TLS при обмене сертификатами. Установление TLS-сессии не требуется, поскольку скрытый обмен данными происходит во время рукопожатия с использованием расширения TLS X.509. Передаваемые через расширения X.509 данные могут обходить механизмы обнаружения, не предполагающие проверку значений сертификата. Поэтому лицо, уже имеющее доступ к сети, может обойти средства защиты периметра и осуществить обмен данными, пояснили эксперты.

Атака работает по тому же принципу, что и другие методы сокрытия передачи данных, например, DNS-туннелирование, предполагающее использование транспортного уровня TXT в протоколе DNS. Как отметили исследователи, в случае с расширением X.509 злоумышленник может использовать его как скрытый канал или добавить в сертификат произвольные данные.

В сертификатах TLS X.509 есть множество полей, где могут храниться строки. В этих полях содержится информация о версии, серийном номере, имени выдавшего сертификат УЦ, сроке действия и т.д. По словам исследователей, в них также могут храниться передаваемые данные. Поскольку обмен сертификатами происходит до установления TLS-сессии, по факту, передача данных не происходит, хотя на самом деле обмен данными осуществляется в момент обмена сертификатами.

Источник