【安全研究】Domain fronting域名前置 *** 攻击技术

访客4年前关于黑客接单593

千里百科

Domain Fronting基于HTTPS通用规避技术,也被称为域前端 *** 攻击技术。这是一种用来隐藏Metasploit,CobaltStrike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai等大型厂商会提供一些域前端技术服务。

下列将会使用Amazon 提供CloudFront (CDN)服务举例。

背景

在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port名称
等方式去访问它们,但是如果是SSL/TLS的话。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接。

建立连接的之一步就是请求服务器的证书。而服务器在发送证书时,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。因此就引入一个扩展叫SNI,SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,做法就是在
Client Hello 中补上 Host 信息。
image.png

image.png

此技术的原理为在不同通信层使用不同的域名。
在明文的DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接,而实际要连接的被封锁域名仅在创建加密的HTTPS连接后发出,在Host头中携带了另一个恶意C2域名(Host头对于检查器是不可见的,但是对于接收HTTPS请求的前端服务器是可见的)。
image.png

演示

在Amazon
CloudFront是一种内容交付 *** 服务。它为用户提供了一个全局分布式缓存,用于托管在其服务器上的文件。这减少了客户服务器上的负载,并允许CDN提供来自与请求者数据中心的缓存内容,当客户端连接到CloudFront的时候,其根据HOST头来判断客户端想要请求的域名,在做域前置攻击时候,只要在CloudFront中挑选一个受信任域名,如"https://docs.telemetry.mozilla.org",看起来是一个合法白名单域名,将他做为前置域名来躲避防火墙审查。
image.png

在Amazon CloudFront申请一个账户并建立一个CloudFront,在"Origin Domain
Name"写入自己的C&C控制器域名如Godsong.test,其他设置按自己需求来。
image.png

申请完毕之后会自动分发一个随机域名
xxx.cloudfront.net样式,将颁发的随机域名指向真实C2服务器,用户访问此域名时候会解析到真实的C&C服务器。

image.png

**域名前置因为使用了合法前置域名做诱饵,在使用HTTPS链接时,DNS请求的也都是合法域名,而在HOST中请求修改请求指向为我们C
&C服务器,相当于请求合法域名之后把流量转发到了中转web上。

image.png
在CloudFront为我分配了一个域名,此域名转发到我的C&C地址上,在原始C&C服务器Web存放了一个名为6.txt记事本,地址为https://www.godsong.test/6.txt。

image.png

访问Aws颁发的域名https://d305blu4121c3m.cloudfront.net/6.txt,能返回原始流量转发说明测试成功。

image.png

使用合法白名单作为前置域名,修改Host指向为我们的C&C域名。

如下图就成功利用Mozilla白名单域名技术来隐藏真实恶意流量。

image.png

在实际应用中,可以使用Cobalt Strike ,Empire, Metasploit等工具修改其配置文件来控制流量传输,下文使用Cobalt
Strike演示,设置一个Profile扩展并且指定Host头为d305blu4121c3m.cloudfront.net。

image.png

创建一个监听器,主机写Cloudfront.net分发域名,监听80端口。

image.png

Beacon传输器使用白名单域名如下:

image.png

在恶意程序运行后,使用Wireshark 抓取传输流量数据包。如图所示,可以看到相关请求如下,以此 *** 来隐藏真实C&C服务器地址,在Wireshark
中查看传输流量包Host头也同样指向我们Cloudfront服务器,一定程度上隐蔽了真实攻击机地址。

image.png
image.png

总结:Domain
Fronting技术因为我们看到的域只是前端服务器域,很难区分那个是正常域名或恶意域名,但实际上恶意流量都要进入被控端服务器,这样的话就会在被控服务器上产生一些恶意指纹, *** 数据包的大小和时间,以此 *** 来观察恶意特征检测等等。

参考文献

[1]https://www.sans.org/cyber-security-summit/archives/file/summit-
archive-1542139101.pdf

图2,图6引用此文

[2]http://www.ert7.com/service/knowledge/3999.html

Ms08067安全实验室

专注于普及 *** 安全知识。团队已出版《Web安全攻防:渗透测试实战指南》, 2019年11月出版《内网安全攻防:渗透测试实战指南》
****目前在编Python渗透测试,JAVA代码审计和逆向工程等方面书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com

相关文章

国际上和国内著名的黑客网站,黑客网络,学黑客网站劫持技术

图4和5.网络流量和代码段显现浏览器弹出不需要的广告c4ca4238add.xml布局文件在HackActivity文件中也有用到,咱们去看看,add.xml是在onCreate办法中到的,咱们去找o...

剖腹产后怎么瘦肚子?一个月回归产前身材

剖腹产后怎么瘦肚子?一个月回归产前身材

女性生完宝宝难免会身材走形,剖腹产的妈妈们身体受罪以外身材也会更难恢复以外的曼妙。每个女性都希望自己拥有不老的容颜,曼妙的身姿。而妊娠期过后最难瘦的就是肚子,那么剖腹产后怎么瘦肚子呢?接下来熊麻麻就来...

网站的友情链接是什么?

友情链接是什么? 友情链接,也称为网站交换链接、互惠链接、互换链接、联盟链接等。 友情链接是具有一定资源互补优势的网站之间的简单合作形式,即分别在自己的网站上放置对方网站的LOGO图片或文字的网站...

员工培训方案的内容,员工培训计划方案模板

员工培训方案的内容,员工培训计划方案模板。 员工培训工作和部门服务质量检查作为2020全年度的工作重点。将“建学习型企业,当智能型职工”的主题贯穿其中。积极探索学习型组织在组建工作中的实践途径,...

不正规的赚钱方法(比较好的正规的赚钱的方法)

不正规的赚钱方法(比较好的正规的赚钱的方法)

本文导读目录: 1、什么方法挣钱快赚钱正不正规? 2、有哪些业余赚钱的途径? 3、如何去赚钱?正规…不正规都行。 4、有什么不伤害众生还可以挣钱的 5、赚钱的办法都有哪些 6、怎么...

qq删除了好友对方还能看到聊天记录吗「qq十几年前的聊天记录」

  qq把对方拉黑了 对方还能看到聊天记录吗 以下文字资料是由(历史新知网小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!   当你和朋友聊天时,聊天记录是同时保存在你和他两台电脑上的。...