A. 【安全研究】Domain fronting域名前置網路攻擊技術
Domain Fronting技術,一種基於HTTPS通用規避的網路攻擊手段,也被稱作域前端網路攻擊技術。此技術主要應用於隱藏Metasploit,Cobalt Strike等團隊控制伺服器的流量,旨在繞過檢查器或防火牆的檢測,例如Amazon, Google,Akamai等大型廠商會提供域前端技術服務。在實際應用中,以Amazon CloudFront服務為例,可以展示其在Domain Fronting攻擊中的操作流程。在搭建多個網站服務時,通過使用不同的域名在不同通信層進行連接,實現隱藏連接真實端點,從而規避互聯網審查。
在進行SSL/TLS連接時,瀏覽器首先請求伺服器的證書。由於伺服器在發送證書時並不知道瀏覽器訪問的域名,因此無法根據不同的域名發送不同的證書。為了應對這一問題,引入了SNI(Server Name Indication)這一擴展,它允許在Client Hello中添加Host信息,從而實現一個伺服器可以同時擁有多個域名和證書。
Domain Fronting的核心思想是在不同通信層使用不同的域名,利用此技術,用戶可以通過HTTPS連接到被屏蔽的服務,表面上卻像是在與另一個完全不同的站點通信。其原理是在明文DNS請求和TLS伺服器名稱指示(SNI)中使用無害的域名初始化連接,而實際要連接的被封鎖域名僅在創建加密的HTTPS連接後發出,且Host頭信息會攜帶另一個惡意C2(Command and Control)域名(該信息對於檢查器不可見,但對於接收HTTPS請求的前端伺服器可見)。
在演示中,使用Amazon CloudFront作為內容交付網路服務,通過選擇一個受信任的域名(如"docs.telemetry.mozilla.org")作為前置域名,可以躲避防火牆審查。在CloudFront中設置自己的C&C控制器域名(如Godsong.test),並按照需求進行其他設置。完成後,CloudFront會自動分發一個隨機域名(如xxx.cloudfront.net),將此域名指向真實C&C伺服器,用戶訪問此域名時,其流量會轉發到真實的C&C伺服器。
在實際應用中,可以使用Cobalt Strike,Empire,Metasploit等工具修改其配置文件,控制流量傳輸。通過設置Profile擴展並指定Host頭信息,可以實現流量隱藏。在惡意程序運行後,使用Wireshark抓取傳輸流量數據包,可以觀察到相關請求和響應,以及在Wireshark中查看傳輸流量包的Host頭信息,以此方法來隱藏真實C&C伺服器地址。
Domain Fronting技術在實際使用中,能夠利用合法前置域名作為誘餌,使DNS請求和HTTPS連接看似正常,而在實際流量傳輸中,通過修改Host頭指向惡意C&C伺服器,實現對真實惡意流量的隱藏。這使得惡意流量的源頭難以被追蹤,同時在被控伺服器上產生的惡意指紋,如網路數據包的大小和時間等,也成為了觀察惡意特徵和檢測攻擊的重要依據。