- 27,041
- 46
- 8 Ноя 2022
Старые методы фильтрации дают сбой там, где сеть кажется предсказуемой.
Команда ADAMnetworks описала новую технику обхода защитных DNS-фильтров, которая позволяет вредоносному трафику прятаться за доверенными доменами и инфраструктурой CDN. Такой приём опасен не только для компаний, которые полагаются на фильтрацию DNS, но и для владельцев обычных сайтов: их домены могут попасть в подозрительные списки из-за соседства с чужой вредоносной активностью.
Техника получила название Underminr. По данным ADAMnetworks, злоумышленник сначала получает IP-адрес разрешённого домена, размещённого на CDN , а затем подключается к тому же пограничному IP-адресу, но указывает в SNI или HTTP Host другой домен, который принимает та же инфраструктура. В результате защитная система видит обращение к разрешённому ресурсу, а фактический обмен данными идёт с другим сайтом.
Авторы отчёта подчёркивают, что Underminr отличается от старого domain fronting . В прежней схеме внешний домен и SNI обычно указывали на доверенный ресурс, а настоящий адрес скрывался в HTTP Host внутри зашифрованного соединения. В новой схеме ключевое несовпадение возникает между DNS -ответом и именем, которое CDN фактически обслуживает на общем IP.
ADAMnetworks утверждает, что уже видела подобные конфигурации в материалах, связанных со злоупотреблениями. По оценке компании, приём может помогать обходить Protective DNS, скрывать C2-соединения, доставлять дополнительную вредоносную нагрузку и выводить данные. Отдельный риск связан с Encrypted Client Hello, поскольку ECH закрывает внутренний SNI от пассивной проверки и мешает защитникам сопоставлять DNS-запрос с конечным TLS-направлением.
В отчёте описано несколько вариантов атаки. В простом сценарии вредоносное приложение получает IP доверенного домена и подключается к тому же адресу с другим SNI. В сценарии split первая TLS-сессия выглядит легитимной и проходит начальную проверку, после чего создаётся новое соединение к тому же CDN-узлу с подменённым именем. Ещё один вариант вообще не создаёт DNS-события для скрытого домена, если клиент подключается напрямую к IP-адресу.
Для владельцев доменов проблема выглядит неприятно: сайт может оказаться уязвимым, если DNS указывает на общую CDN-инфраструктуру, которая принимает чужие SNI или Host на том же узле. ADAMnetworks запустила сервис проверки Underminr, где домены получают зелёный, жёлтый или красный статус в зависимости от результата теста и наличия в списке известных злоупотреблений.
В качестве защиты компания советует отдельно учитывать разрешённые домены и скрытые адресаты, проверять связи между DNS-кэшем, SNI, Host и IP-адресом CDN, а также фильтровать ECH через контролируемые DNS-ответы. Для владельцев сайтов варианты сводятся к работе с CDN-провайдером или переносу хостинга в среду, где маршрутизация жёстче привязана к конкретному клиенту.
Команда ADAMnetworks описала новую технику обхода защитных DNS-фильтров, которая позволяет вредоносному трафику прятаться за доверенными доменами и инфраструктурой CDN. Такой приём опасен не только для компаний, которые полагаются на фильтрацию DNS, но и для владельцев обычных сайтов: их домены могут попасть в подозрительные списки из-за соседства с чужой вредоносной активностью.
Техника получила название Underminr. По данным ADAMnetworks, злоумышленник сначала получает IP-адрес разрешённого домена, размещённого на CDN , а затем подключается к тому же пограничному IP-адресу, но указывает в SNI или HTTP Host другой домен, который принимает та же инфраструктура. В результате защитная система видит обращение к разрешённому ресурсу, а фактический обмен данными идёт с другим сайтом.
Авторы отчёта подчёркивают, что Underminr отличается от старого domain fronting . В прежней схеме внешний домен и SNI обычно указывали на доверенный ресурс, а настоящий адрес скрывался в HTTP Host внутри зашифрованного соединения. В новой схеме ключевое несовпадение возникает между DNS -ответом и именем, которое CDN фактически обслуживает на общем IP.
ADAMnetworks утверждает, что уже видела подобные конфигурации в материалах, связанных со злоупотреблениями. По оценке компании, приём может помогать обходить Protective DNS, скрывать C2-соединения, доставлять дополнительную вредоносную нагрузку и выводить данные. Отдельный риск связан с Encrypted Client Hello, поскольку ECH закрывает внутренний SNI от пассивной проверки и мешает защитникам сопоставлять DNS-запрос с конечным TLS-направлением.
В отчёте описано несколько вариантов атаки. В простом сценарии вредоносное приложение получает IP доверенного домена и подключается к тому же адресу с другим SNI. В сценарии split первая TLS-сессия выглядит легитимной и проходит начальную проверку, после чего создаётся новое соединение к тому же CDN-узлу с подменённым именем. Ещё один вариант вообще не создаёт DNS-события для скрытого домена, если клиент подключается напрямую к IP-адресу.
Для владельцев доменов проблема выглядит неприятно: сайт может оказаться уязвимым, если DNS указывает на общую CDN-инфраструктуру, которая принимает чужие SNI или Host на том же узле. ADAMnetworks запустила сервис проверки Underminr, где домены получают зелёный, жёлтый или красный статус в зависимости от результата теста и наличия в списке известных злоупотреблений.
В качестве защиты компания советует отдельно учитывать разрешённые домены и скрытые адресаты, проверять связи между DNS-кэшем, SNI, Host и IP-адресом CDN, а также фильтровать ECH через контролируемые DNS-ответы. Для владельцев сайтов варианты сводятся к работе с CDN-провайдером или переносу хостинга в среду, где маршрутизация жёстче привязана к конкретному клиенту.
- Источник новости
- www.securitylab.ru
