События

Представлен метод сокрытия передачи данных по TLS в обход защиты периметра

Исследователи из Fidelis представили PoC-фреймворк для создания скрытого канала передачи данных с использованием TLS-протокола. Разработанный специалистами метод предполагает использование стандарта для инфраструктуры открытого ключа X.509 и позволяет скрыть подключение к C&C-серверу и передачу данных в обход защиты периметра сети (при наличии к ней доступа).

По словам исследователей, обмен данными базируется на рукопожатии TLS при обмене сертификатами. Установление TLS-сессии не требуется, поскольку скрытый обмен данными происходит во время рукопожатия с использованием расширения TLS X.509. Передаваемые через расширения X.509 данные могут обходить механизмы обнаружения, не предполагающие проверку значений сертификата. Поэтому лицо, уже имеющее доступ к сети, может обойти средства защиты периметра и осуществить обмен данными, пояснили эксперты.

Атака работает по тому же принципу, что и другие методы сокрытия передачи данных, например, DNS-туннелирование, предполагающее использование транспортного уровня TXT в протоколе DNS. Как отметили исследователи, в случае с расширением X.509 злоумышленник может использовать его как скрытый канал или добавить в сертификат произвольные данные.

В сертификатах TLS X.509 есть множество полей, где могут храниться строки. В этих полях содержится информация о версии, серийном номере, имени выдавшего сертификат УЦ, сроке действия и т.д. По словам исследователей, в них также могут храниться передаваемые данные. Поскольку обмен сертификатами происходит до установления TLS-сессии, по факту, передача данных не происходит, хотя на самом деле обмен данными осуществляется в момент обмена сертификатами.

Источник

Автор: Сергей Куприянов
6.02.2018 (10:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.